Extradition du développeur de Lockbit : un tournant dans la lutte contre la cybercriminalité - Actus du 14/03/2025
Rostislav Panev, développeur israélien de Lockbit, extradé aux États-Unis pour cybercriminalité. Simultanément, GSMA annonce le cryptage de bout en bout pour RCS, renforçant la sécurité des messages multiplateformes. Découvrez l'impact sur la cybersécurité mondiale !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Le développeur présumé israélien de Lockbit Rostislav Panev a été extradé aux États-Unis pour des accusations de cybercriminalité
Rostislav Panev, un citoyen russo-israélien de 51 ans, a été extradé à États-Unis après avoir été arrêté en Israël en août 2024. Il est accusé d'être un développeur du groupe de ransomware LockBit, actif de 2019 à février 2024, période durant laquelle l'infrastructure en ligne du groupe a été saisie par les forces de l'ordre. Le procureur américain John Giordano a souligné que cette extradition démontre la détermination des États-Unis à poursuivre les membres de LockBit. Ce groupe est devenu l'un des plus prolifiques, attaquant plus de 2 500 entités dans 120 pays, dont près de 1 800 aux États-Unis, causant des pertes de plusieurs milliards de dollars. Panev aurait gagné environ 230 000 dollars en développant des codes malveillants, notamment pour désactiver des logiciels antivirus et déployer des ransomwares sur des réseaux victimes. En plus de Panev, six autres membres de LockBit ont été inculpés aux États-Unis, dont Dmitry Khoroshev, identifié comme l'administrateur du groupe. Certains de ces individus ont également été sanctionnés par le Bureau de contrôle des avoirs étrangers pour leur implication dans des cyberattaques.
Sources :
GSMA confirme le cryptage de bout en bout pour RCS, permettant une messagerie multiplateforme sécurisée
La GSMA a annoncé son soutien à l'encryption de bout en bout (E2EE) pour sécuriser les messages envoyés via le protocole Rich Communications Services (RCS), offrant ainsi des protections de sécurité essentielles pour les messages échangés entre les plateformes Android et iOS. Les nouvelles spécifications de la GSMA pour le RCS intègrent l'E2EE basé sur le protocole Messaging Layer Security (MLS) dans le cadre du RCS Universal Profile 3.0. Selon Tom Van Pelt, directeur technique de la GSMA, ces procédures garantissent la confidentialité et la sécurité des messages et fichiers lors de leur transmission. RCS deviendra ainsi le premier service de messagerie à grande échelle à proposer une E2EE interopérable entre différentes implémentations clients. Actuellement, l'implémentation de RCS par Google utilise le protocole Signal pour sécuriser les conversations, mais cela reste limité aux échanges au sein de l'application. Cette avancée survient après l'annonce par la GSMA de travailler sur l'E2EE, suite à la décision d'Apple d'intégrer le RCS dans son application Messages avec iOS 18. Google a exprimé son engagement à fournir une expérience de messagerie sécurisée et se réjouit de cette nouvelle spécification.
Sources :
Dev Ransomware de verrouillage présumé vers les États-Unis
Rostislav Panev, un citoyen russo-israélien de 51 ans, a été extradé à États-Unis pour faire face à des accusations liées à son rôle en tant que développeur clé du ransomware LockBit. Arrêté en Israël en août dernier, la police a découvert des preuves compromettantes sur son ordinateur, notamment des identifiants pour le panneau de contrôle interne de LockBit et du code source pour ses outils de cryptage et de vol de données. Le Département de la Justice américain l'a inculpé en décembre, l'accusant d'avoir gagné 230 000 dollars en cryptomonnaie en travaillant avec le groupe. Depuis sa création en 2019, LockBit a attaqué plus de 2 500 entités dans 120 pays, extorquant plus de 500 millions de dollars, dont 72 % des victimes étaient basées aux États-Unis. Panev a été un membre actif jusqu'en février 2024, date à laquelle une opération internationale a perturbé l'organisation. Son extradition fait suite à d'autres inculpations de membres de LockBit, dont son leader, Dmitry Khoroshev, actuellement recherché. Le gouvernement américain offre des récompenses pour des informations sur d'autres membres clés du groupe.
Sources :
Demo en direct des ransomwares: voir comment les pirates violaient les réseaux et exigent une rançon
Les menaces cybernétiques évoluent chaque jour, et ce webinaire en direct vous permettra de comprendre le déroulement des attaques par ransomware, depuis la première intrusion jusqu'à la demande de rançon. Joseph Carson, scientifique en sécurité chez Delinea et CISO consultatif, partagera ses 25 ans d'expertise en sécurité des entreprises. Grâce à une démonstration en direct, il expliquera chaque étape technique d'une attaque par ransomware, en utilisant un langage clair et accessible.
Les participants apprendront comment les hackers exploitent les failles logicielles et les mots de passe faibles pour pénétrer un réseau, ainsi que les tactiques utilisées pour se déplacer latéralement, chiffrer des fichiers et créer des portes dérobées. Ils découvriront également les vulnérabilités courantes, telles que les logiciels obsolètes et les serveurs mal configurés, avec des conseils pratiques pour les corriger. La simulation en direct montrera chaque étape d'une attaque, de l'intrusion à la demande de rançon. Enfin, des analyses d'exemples réels fourniront des informations sur les méthodes d'attaque et les stratégies de défense. L'inscription est gratuite et facile, offrant une occasion précieuse de protéger vos données contre les cybercriminels.
Sources :
Pourquoi la plupart des projets de microsegmentation échouent - et comment Andelyn Biosciences a bien fait les choses
La microsegmentation est devenue une stratégie clé pour atteindre la sécurité Zero Trust en limitant l'accès aux actifs critiques en fonction de l'identité plutôt que de la localisation réseau. Cependant, les approches traditionnelles, souvent lentes et perturbatrices, ont montré leurs limites face à la complexité des réseaux interconnectés. Après près de deux ans d'implémentation avec des difficultés opérationnelles, l'équipe de sécurité d'Andelyn Biosciences a décidé de passer à la solution de microsegmentation basée sur l'identité d'Elisity. Cette transition a permis d'appliquer rapidement des politiques d'accès au moindre privilège sans nécessiter de changements matériels ou de reconfiguration réseau. Bryan Holmes, VP des technologies de l'information chez Andelyn, a partagé leur parcours, soulignant comment ils ont pu gérer 2 700 politiques de sécurité actives sans perturber les opérations. Grâce à cette approche moderne, Andelyn a obtenu une visibilité complète sur son réseau en quelques semaines, évitant ainsi les temps d'arrêt critiques. La plateforme d'Elisity s'adapte dynamiquement aux mouvements des utilisateurs et des dispositifs, garantissant une sécurité efficace face à l'évolution des menaces. Cette solution est devenue essentielle pour la stratégie de sécurité de l'entreprise, réduisant le risque de mouvements latéraux non autorisés.
Sources :
New MassJacker Malware cible les utilisateurs de piratage, détournant les transactions de crypto-monnaie
Une nouvelle campagne de malware cible les utilisateurs à la recherche de logiciels piratés, diffusant un malware de type clipper appelé MassJacker, selon CyberArk. Ce malware surveille le contenu du presse-papiers des victimes pour faciliter le vol de cryptomonnaies en remplaçant les adresses de portefeuilles copiées par celles contrôlées par l'attaquant. L'infection débute sur le site pesktop[.]com, qui se présente comme une plateforme de téléchargement de logiciels piratés, mais incite également à télécharger divers malwares. Le processus commence par un exécutable qui exécute un script PowerShell, déployant un malware de botnet nommé Amadey et d'autres binaires .NET. Le binaire PackerE télécharge une DLL chiffrée qui injecte le payload MassJacker dans un processus Windows légitime. MassJacker inclut des vérifications anti-debugging et utilise des expressions régulières pour détecter les adresses de portefeuilles dans le presse-papiers. CyberArk a identifié plus de 778 531 adresses uniques des attaquants, dont 423 contenaient des fonds d'environ 95 300 $. En outre, environ 87 000 $ en cryptomonnaies ont été trouvés dans un seul portefeuille. L'identité des responsables de MassJacker reste inconnue, bien que des similitudes avec un autre malware, MassLogger, aient été notées.
Sources :
Obscure # Bat Malware utilise de fausses pages CAPTCHA pour déployer RootKit R77 et échapper à la détection
Une nouvelle campagne de malware, nommée OBSCURE#BAT par Securonix, utilise des tactiques d'ingénierie sociale pour déployer un rootkit open-source appelé r77. Ce malware permet aux attaquants de maintenir une persistance et d'échapper à la détection sur les systèmes compromis. Les chercheurs Den Iuzvyk et Tim Peck rapportent que le rootkit peut masquer des fichiers, des clés de registre ou des tâches commençant par un préfixe spécifique. La campagne cible principalement des utilisateurs anglophones, notamment aux États-Unis, au Canada, en Allemagne et au Royaume-Uni. L'attaque débute par un script batch Windows obfusqué qui exécute des commandes PowerShell pour déployer le rootkit. Deux méthodes d'accès initial ont été identifiées : une page de vérification CAPTCHA falsifiée et la promotion de logiciels légitimes comme le navigateur Tor. Le malware modifie le registre Windows pour s'installer discrètement et utilise des techniques d'obfuscation pour éviter la détection. Un payload .NET déploie un rootkit système nommé "ACPIx86.sys" et un rootkit utilisateur r77, qui surveille l'activité du presse-papiers et l'historique des commandes. Cette campagne illustre une chaîne d'attaque hautement évasive, compliquant la détection des menaces.
Sources :
Microsoft s'excuse d'avoir supprimé les extensions VScode utilisées par des millions
Microsoft a présenté ses excuses après avoir retiré les extensions 'Material Theme – Free' et 'Material Theme Icons – Free' du Visual Studio Marketplace, utilisées par plus de 9 millions d'utilisateurs. Ces extensions ont été supprimées fin février en raison de préoccupations de sécurité, suite à une analyse qui avait détecté des indicateurs de code potentiellement malveillant. Le développeur, Mattia Astorino, a été banni de la plateforme, mais a contesté ces accusations, affirmant que le problème provenait d'une dépendance obsolète utilisée pour afficher des notes de version. Il a expliqué que l'obfuscation du code avait entraîné l'inclusion involontaire de composants non nuisibles. Après une enquête, Microsoft a reconnu son erreur et a rétabli les extensions, tout en s'engageant à améliorer ses politiques concernant le code obfusqué. Scott Hanselman de Microsoft a exprimé des regrets pour la confusion causée et a remercié Astorino pour sa patience. Bien que des chercheurs en cybersécurité aient maintenu que le code contenait des éléments suspects, ils ont convenu qu'il n'y avait pas d'intention malveillante de la part de l'éditeur. Les extensions ont depuis été réécrites et sont désormais considérées comme sûres.
Sources :
Nouveaux ransomwares superblacks exploite Fortinet Auth contourne
Un nouvel opérateur de ransomware, nommé 'Mora001', exploite deux vulnérabilités d'authentification dans les pare-feu Fortinet pour déployer un ransomware personnalisé appelé SuperBlack. Les vulnérabilités, CVE-2024-55591 et CVE-2025-24472, ont été divulguées par Fortinet en janvier et février 2025. La première a été confirmée comme exploitée en tant que zero-day, tandis que la seconde a été ajoutée à l'avis de janvier, créant une confusion sur son exploitation. Cependant, des chercheurs de Forescout ont découvert des attaques SuperBlack fin janvier 2025, utilisant CVE-2025-24472 dès le 2 février. L'opérateur suit une chaîne d'attaque structurée, obtenant des privilèges 'superadmin' et créant de nouveaux comptes administratifs. Il vole des données avant de chiffrer les fichiers pour une double extorsion, en ciblant principalement les serveurs de fichiers et les contrôleurs de domaine. Des liens significatifs entre SuperBlack et le ransomware LockBit ont été identifiés, notamment des similitudes dans la structure de chiffrement et des adresses IP communes. Forescout a également partagé des indicateurs de compromission liés à ces attaques.
Sources :
Blocord-notes de Windows pour obtenir un résumé de texte AI dans Windows 11
Microsoft teste actuellement une nouvelle fonctionnalité de résumé de texte alimentée par l'IA dans Notepad, ainsi qu'une option "Draw & Hold" dans l'outil Snipping. Appelée "Summarize", cette fonctionnalité très attendue est déployée pour les utilisateurs de Windows 11 Insiders dans les canaux Canary et Dev, à condition d'avoir mis à jour Notepad vers la version 11.2501.29.0. Pour l'utiliser, il suffit de sélectionner le texte à résumer, puis de faire un clic droit pour choisir "Summarize" ou d'utiliser le raccourci clavier Ctrl + M. Notepad générera un résumé du texte sélectionné, permettant d'expérimenter avec différentes longueurs de résumé. Les utilisateurs peuvent désactiver ces options IA dans les paramètres de l'application. Il est nécessaire de se connecter à un compte Microsoft pour accéder à cet outil, qui utilise des crédits IA liés aux abonnements Microsoft 365. Parallèlement, une nouvelle option "Fichiers récents" est testée pour rouvrir facilement des documents fermés. Dans Snipping Tool, la fonctionnalité "Draw & Hold" permet de dessiner des formes précises. Ces mises à jour s'inscrivent dans une initiative plus large d'intégration de l'IA dans Notepad.
Sources :
Microsoft dit que le bouton pour restaurer les Outlook classiques est cassé
Microsoft enquête sur un problème connu qui provoque le plantage du nouveau client de messagerie Outlook lorsque les utilisateurs cliquent sur le bouton "Retour à l'Outlook classique". Ce bouton, censé permettre le retour à l'ancienne version, ne fonctionne pas comme prévu, entraînant la fermeture de l'application sans installer l'Outlook classique. Dans un document de support publié, Microsoft a reconnu que certains utilisateurs ne parvenaient pas à accéder à un article d'assistance pour télécharger l'Outlook classique. En attendant une solution, la société propose un contournement temporaire : installer le client classique via un lien dans le document de support. Les utilisateurs peuvent également télécharger le client classique autonome ou l'installer depuis le Microsoft Store. Pour ceux utilisant un compte professionnel ou scolaire, il est conseillé de contacter l'administrateur informatique pour obtenir de l'aide. Microsoft a récemment commencé à installer automatiquement le nouveau client de messagerie sur les systèmes Windows 10, et a déjà résolu d'autres problèmes liés à Outlook. La société continue de travailler sur des correctifs pour améliorer l'expérience utilisateur et résoudre les problèmes persistants.
Sources :
Bogue des patchs de genévriers qui permettent aux routeurs de porte dérobée chinoises
Juniper Networks a publié des mises à jour de sécurité d'urgence pour corriger une vulnérabilité dans le système d'exploitation Junos, exploitée par des hackers chinois pour introduire des portes dérobées dans des routeurs. Cette faille de gravité moyenne (CVE-2025-21590), signalée par un ingénieur de sécurité d'Amazon, permet à des attaquants locaux disposant de privilèges élevés d'exécuter du code arbitraire sur les routeurs vulnérables. Juniper a averti que des cas d'exploitation malveillante avaient été rapportés et a recommandé aux clients de mettre à jour leurs systèmes dès que possible. La vulnérabilité affecte plusieurs séries de dispositifs Juniper, et la Cybersecurity and Infrastructure Security Agency (CISA) a inclus cette faille dans son catalogue, ordonnant aux agences fédérales de sécuriser leurs appareils d'ici le 3 avril. Un rapport de Mandiant a révélé que des hackers chinois avaient exploité cette faille depuis 2024, déployant des portes dérobées avec des méthodes de communication distinctes. Ces attaques sont attribuées au groupe d'espionnage UNC3886, connu pour cibler des dispositifs de réseau et des plateformes de virtualisation.
