Fraude à l’eSIM : la nouvelle tactique des cybercriminels - Actus du 11/11/2024

Découvrez comment Halliburton fait face à une perte de 35 millions suite à un ransomware, la campagne GootLoader qui s'en prend aux lois sur le chat du Bengale en Australie, et la montée inquiétante de la fraude à l’eSIM par des cybercriminels. Ne manquez pas notre analyse!

Fraude à l’eSIM : la nouvelle tactique des cybercriminels - Actus du 11/11/2024

Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !

Halliburton annonce une perte de 35 millions de dollars après une attaque de ransomware

Halliburton a annoncé une perte de 35 millions de dollars suite à une attaque par ransomware survenue en août 2024, qui a contraint l'entreprise à fermer ses systèmes informatiques et à déconnecter certains clients. En tant que fournisseur mondial de services pour l'industrie énergétique, Halliburton opère dans 70 pays et emploie 48 000 personnes, avec des revenus dépassant 23,02 milliards de dollars. Dans un dépôt auprès de la SEC, la société a révélé qu'un tiers non autorisé avait accédé à ses systèmes, ce qui a entraîné des perturbations limitées. L'attaque a été attribuée au groupe de ransomware RansomHub, qui a également volé des données, bien que la nature et l'étendue de ces informations restent à déterminer. Malgré cet incident, Halliburton a déclaré que l'impact financier serait minime, avec une perte de 0,02 $ par action due à des revenus perdus ou retardés. Jeff Miller, PDG de Halliburton, a confirmé que les prévisions de flux de trésorerie et de retour aux actionnaires pour l'année restaient inchangées, avec une accélération attendue au quatrième trimestre. Toutefois, des coûts supplémentaires pourraient survenir si des données sensibles étaient divulguées à l'avenir.

Sources :

La nouvelle campagne GootLoader cible les utilisateurs à la recherche de lois sur le chat du Bengale en Australie

Une campagne ciblée utilise le malware GootLoader pour atteindre les utilisateurs recherchant la légalité des chats Bengal en Australie. Selon des chercheurs de Sophos, cette attaque exploite des résultats de recherche spécifiques, comme "Les chats Bengal sont-ils légaux en Australie ?", pour distribuer le malware. GootLoader, un chargeur de malware, utilise des techniques de poisoning SEO pour accéder aux victimes. Lorsqu'un utilisateur recherche des termes juridiques, il peut tomber sur des liens piégés menant à des sites compromis, où un fichier ZIP contenant un script JavaScript malveillant est proposé au téléchargement. Ce script initie une chaîne d'attaque en plusieurs étapes, aboutissant à l'exécution d'un script PowerShell capable de collecter des informations système et de télécharger d'autres malwares. Dans cette campagne, un lien vers un site légitime mais infecté d'un fabricant belge de panneaux LED a été utilisé. Bien que Sophos n'ait pas observé le déploiement de GootKit dans cette analyse, la méthode souligne l'utilisation continue de GootLoader dans des opérations de livraison de malware. Ce type d'attaque, qui exploite les résultats de recherche, n'est pas nouveau et existe depuis 2020.

Sources :

Fraude à l’eSIM : la nouvelle tactique des cybercriminels

Les cybercriminels exploitent de plus en plus les eSIM inactives pour accéder aux comptes bancaires, notamment ceux de personnes décédées. Cette fraude, récemment mise en lumière par ZATAZ, consiste à restaurer frauduleusement des eSIM afin de détourner des fonds. Un exemple marquant est celui d'un Moscovite, Sergueï, dont l'eSIM a été réactivée par des attaquants, leur permettant de retirer une somme importante de son compte sans que sa famille ne s'en aperçoive pendant plusieurs mois. Ce phénomène, en forte augmentation, s'accompagne de nombreuses tentatives d'accès à des comptes en ligne via des numéros de téléphone usurpés. Les cybercriminels collectent des informations personnelles, comme des détails d'identité, pour se faire passer pour la victime et obtenir un duplicata de l'eSIM. La réussite de ces opérations repose sur leur capacité à contourner les mesures de sécurité. Face à cette menace croissante, il est crucial que les opérateurs de téléphonie renforcent leurs protocoles de vérification. Les consommateurs doivent également rester vigilants, signaler toute activité suspecte et se protéger contre le vol d'identité pour limiter les risques de fraude.

Sources :

Données personnelles : quand la cybercriminalité menace l’économie numérique

La cybercriminalité en France, en forte augmentation, représente une menace sérieuse pour l'économie numérique, touchant des entreprises de toutes tailles. L'incident de Reduction-impots.fr, révélé par ZATAZ, illustre les enjeux cruciaux de la sécurité des données clients. Le 13 octobre 2024, cette société spécialisée dans l'optimisation fiscale a subi une cyberattaque majeure, entraînant l'exfiltration de sa base de données de plus de 2 millions de clients, comprenant des informations sensibles telles que numéros de téléphone et détails financiers. Le pirate a mis en vente ces données sur le dark web pour 3 000 dollars, offrant également un accès à la base. Cette situation soulève des inquiétudes quant à l'utilisation potentielle de ces informations pour des fraudes à grande échelle. Les statistiques révèlent une augmentation des cyberattaques de 38 % en 2024 par rapport à 2023, avec un temps moyen de résolution des failles de 290 jours et un impact financier moyen de 3,9 millions de dollars par violation aux États-Unis. ZATAZ, actif depuis plus de 20 ans, continue d'alerter les entreprises sur les menaces de cybercriminalité, ayant prévenu plus de 80 000 organisations.

Sources :

Le commerce des données volées : une menace en pleine expansion

Le commerce des données volées connaît une croissance alarmante, alimenté par l'augmentation des cyberattaques et des failles de sécurité. Les cybercriminels exploitent ces vulnérabilités pour exfiltrer des informations sensibles, qu'ils revendent ensuite sur des forums clandestins. Un exemple récent est l'attaque de la plateforme belge iBeauty, qui a vu les données de 550 000 clients, incluant numéros de téléphone et adresses électroniques, mises en vente sur le dark web pour 600 dollars. Cette attaque a été facilitée par une API mal configurée, laissant supposer que la faille pourrait encore être exploitée. Les pirates, bien que confrontés à une concurrence féroce et à la surveillance des forces de l'ordre, trouvent cette activité lucrative, attirant des acheteurs variés, des spammeurs aux criminels organisés. Les conséquences pour les entreprises touchées sont significatives, avec jusqu'à 30 % des clients susceptibles de se tourner vers des concurrents après une cyberattaque. De plus, 60 % des consommateurs déclarent être moins enclins à utiliser un service ayant subi une violation de données. La vigilance et la protection des données sont donc essentielles pour prévenir de telles menaces.

Sources :

Récapitulatif THN : principales menaces, outils et pratiques en matière de cybersécurité (du 4 au 10 novembre)

Les outils de sécurité en ligne, tels que l'authentification à deux facteurs et les logiciels de sécurité, sont désormais détournés par des hackers sophistiqués. Ces attaquants exploitent des vulnérabilités zero-day dans des appareils d'infrastructure, comme ceux de Sophos, pour installer des malwares personnalisés et accéder à distance aux systèmes compromis. Une campagne de menace nommée VEILDrive utilise des services légitimes de Microsoft, tels que Teams et OneDrive, pour propager des emails contenant de fausses informations sur les cryptomonnaies, infectant ainsi les cibles avec un accès à distance. Parallèlement, le groupe APT37, soutenu par la Corée du Nord, est lié à une nouvelle campagne de spear-phishing diffusant le malware RokRAT. Des vulnérabilités non corrigées dans le système d'infodivertissement Mazda Connect pourraient permettre l'exécution de code arbitraire et l'accès aux réseaux de contrôle du véhicule. Ces menaces soulignent l'importance des mises à jour régulières et de la surveillance des systèmes. Pour renforcer la sécurité, il est conseillé d'utiliser des outils de liste blanche d'applications et de surveiller les processus en cours avec Sysinternals Process Explorer. Des stratégies proactives peuvent aider à sécuriser les données et à minimiser les temps d'arrêt.

Sources :

Le retour sur investissement des investissements en sécurité : comment les leaders de la cybersécurité le prouvent

Avec l'augmentation des budgets de sécurité, les PDG et les conseils d'administration exigent des preuves concrètes que les initiatives de cybersécurité apportent une valeur ajoutée au-delà de la simple conformité réglementaire. La validation de la sécurité consiste à tester les défenses contre des techniques d'attaque réelles plutôt que théoriques. DTCC a longtemps pratiqué cette validation, mais cherchait une technologie pour amplifier ses performances. Grâce à une plateforme automatisée, DTCC a pu déléguer des tâches répétitives à Pentera, permettant à ses ingénieurs de se concentrer sur des exercices de red teaming plus complexes. Cette approche a permis une validation continue, réduisant la dépendance aux services coûteux. En commençant par des systèmes moins critiques, DTCC a progressivement instauré la confiance dans la plateforme, tout en facilitant la compilation des preuves pour les audits de conformité. De plus, Pentera a contribué à réduire les primes d'assurance cybernétique, offrant ainsi une valeur financière supplémentaire. En somme, l'automatisation des tâches répétitives a non seulement amélioré l'efficacité, mais a également permis de mieux protéger l'organisation contre les menaces réelles, tout en préservant le bien-être des experts en cybersécurité.

Sources :

Des failles de sécurité dans les boîtes à outils ML les plus populaires permettent des détournements de serveur et une escalade des privilèges

Des chercheurs en cybersécurité ont identifié près de deux douzaines de vulnérabilités dans 15 projets open-source liés à l'apprentissage automatique (ML). Selon une analyse de JFrog, ces failles touchent à la fois le serveur et le client, permettant aux attaquants de prendre le contrôle de serveurs critiques tels que les registres de modèles ML et les bases de données ML. Parmi les vulnérabilités notables, on trouve : CVE-2024-7340, une vulnérabilité de traversée de répertoire dans Weave, permettant à un utilisateur authentifié de lire des fichiers sensibles ; une faille de contrôle d'accès dans ZenML, permettant à un utilisateur de devenir administrateur ; et CVE-2024-6507, une injection de commande dans Deep Lake, facilitant l'exécution de commandes système. D'autres vulnérabilités dans Vanna.AI et Mage AI permettent également des exécutions de code à distance. JFrog souligne que l'exploitation de ces failles dans les pipelines MLOps pourrait entraîner des violations de données graves. Cette divulgation survient après la découverte de plus de 20 vulnérabilités similaires et le lancement d'un cadre défensif, Mantis, qui utilise des injections de prompt pour contrer les cyberattaques.

Sources :

HPE publie des correctifs de sécurité critiques pour les vulnérabilités des points d'accès Aruba

Hewlett Packard Enterprise (HPE) a publié des mises à jour de sécurité pour corriger plusieurs vulnérabilités affectant les points d'accès Aruba Networking, dont deux critiques pouvant entraîner une exécution de commandes non authentifiées. Ces failles touchent les points d'accès fonctionnant sous Instant AOS-8 et AOS-10, notamment les versions 10.4.1.4 et inférieures pour AOS-10, et 8.12.0.2 et inférieures pour AOS-8. Les vulnérabilités les plus graves, CVE-2024-42509 (score CVSS : 9.8) et CVE-2024-47460 (score CVSS : 9.0), permettent l'exécution de code arbitraire via des paquets spécialement conçus envoyés au port UDP 8211. HPE recommande d'activer la sécurité des clusters pour AOS-8 et de bloquer l'accès au port UDP 8211 pour AOS-10. Quatre autres vulnérabilités ont également été corrigées, dont des failles d'exécution de commandes à distance et de création de fichiers. Les utilisateurs sont conseillés de restreindre l'accès aux interfaces de gestion et de contrôler l'accès via des politiques de pare-feu. Bien qu'aucune exploitation n'ait été signalée, ces vulnérabilités représentent un risque potentiel pour les systèmes non corrigés.

Sources :

Les cybercriminels utilisent l'exploit Excel pour diffuser le malware RAT sans fichier Remcos

Des chercheurs en cybersécurité ont identifié une nouvelle campagne de phishing diffusant une variante sans fichier du malware commercial Remcos RAT. Ce dernier permet aux acheteurs de contrôler à distance des ordinateurs, mais est détourné par des acteurs malveillants pour collecter des informations sensibles. L'attaque débute par un email de phishing incitant les destinataires à ouvrir une pièce jointe Excel exploitant une vulnérabilité connue (CVE-2017-0199) pour télécharger un fichier HTA malveillant. Ce fichier, camouflé sous plusieurs couches de code, récupère un exécutable depuis un serveur distant et l'exécute. Le code malveillant utilise des techniques d'obfuscation et de contournement pour éviter la détection, déployant Remcos directement en mémoire. Remcos RAT peut alors collecter des métadonnées système et exécuter des commandes à distance, permettant à l'attaquant de gérer des fichiers, des processus, et même d'activer la caméra ou le microphone. Parallèlement, des acteurs malveillants exploitent les API de DocuSign pour envoyer de fausses factures, utilisant des comptes authentiques pour tromper les utilisateurs. D'autres techniques de phishing, comme la concaténation de fichiers ZIP, sont également utilisées pour contourner les outils de sécurité.

Sources :

Windows 11 ajoute un bouton « Partager » au menu Démarrer et à la barre des tâches

Microsoft introduit un bouton "Partager" dans Windows 11, visant à faciliter le partage de contenu. Ce bouton sera intégré dans le menu Démarrer et la barre des tâches, permettant aux utilisateurs de partager rapidement des fichiers, des liens ou du texte via des applications installées, des e-mails ou des appareils à proximité. Bien que la fonctionnalité soit déjà présente dans les résultats de recherche de Windows, son extension au menu Démarrer et à la barre des tâches est en cours de test. Les utilisateurs pourront faire un clic droit sur les applications pour partager des fichiers avec leurs amis ou leur famille. Cependant, toutes les applications ne disposent pas encore de ce bouton, et Microsoft travaille à l'amélioration de cette intégration. Les retours des utilisateurs sont partagés, certains saluant cette initiative comme un véritable atout, tandis que d'autres soulignent des similitudes avec l'interface d'Apple, tout en critiquant l'absence d'un écosystème aussi fluide. Actuellement, la fonctionnalité est en phase de test dans les versions préliminaires, et la date de déploiement pour tous les utilisateurs reste inconnue.

Sources :

Microsoft enquête sur un problème OneDrive à l'origine du blocage des applications macOS

Microsoft enquête sur un problème récemment identifié qui provoque des blocages des applications macOS lors de l'ouverture ou de l'enregistrement de fichiers dans OneDrive. Ce problème affecte uniquement les systèmes fonctionnant sous macOS Sequoia, la dernière version du système d'exploitation d'Apple. Selon une mise à jour de Microsoft, l'ouverture ou l'enregistrement de fichiers dans les dossiers Bureau ou Documents peut entraîner un gel de l'application concernée. En attendant une solution, les utilisateurs sont invités à forcer la fermeture du processus OpenAndSavePanelService qui se bloque et à enregistrer leurs fichiers dans un autre emplacement que le Bureau, les Documents ou les dossiers OneDrive. Microsoft a fourni des instructions pour contourner ce problème, notamment en utilisant le Moniteur d'activité pour forcer la fermeture du processus non réactif. De plus, la société examine un autre problème touchant à la fois Windows et macOS, où certains utilisateurs ne parviennent pas à localiser des fichiers présents dans leur OneDrive. Microsoft recommande de les rechercher manuellement via l'Explorateur de fichiers ou le Finder.

Sources :