FunkSec : le ransomware piloté par l'IA qui utilise la double extorsion - Actus du 10/01/2025
Découvrez comment la migration Kubernetes de Proton, la fuite de données chez STIIIZY et l'installation forcée du nouvel Outlook sur Windows 10 pourraient impacter votre quotidien numérique. Ne manquez pas notre analyse approfondie de ces actualités tech cruciales !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Panne mondiale de Proton causée par la migration de Kubernetes et un changement de logiciel
Le 10 janvier 2025, la société suisse Proton, spécialisée dans les services en ligne axés sur la confidentialité, a subi une panne mondiale due à une migration d'infrastructure vers Kubernetes et à un changement logiciel. L'incident a débuté vers 10h00 ET, affectant des services tels que Proton VPN, Proton Mail, Proton Calendar, Proton Drive, Proton Pass et Proton Wallet. Les utilisateurs ont rencontré des messages d'erreur lors de leurs tentatives de connexion. La panne a été résolue en environ deux heures, Proton Mail et Proton Calendar étant les derniers services à revenir en ligne. Selon le rapport d'incident, un changement logiciel a limité le nombre de nouvelles connexions aux serveurs de base de données de Proton, provoquant une surcharge lorsque le nombre d'utilisateurs a brusquement augmenté vers 16h00 à Zurich. Bien que Proton ait eu suffisamment de capacité pour gérer les connexions, la migration vers Kubernetes a compliqué la gestion de la charge. Environ 50 % des requêtes pour Proton Mail et Proton Calendar ont échoué, entraînant une disponibilité intermittente. Proton a depuis résolu tous les problèmes de connexion et surveille la situation pour d'éventuels problèmes supplémentaires.
Sources :
La violation de données de STIIIZY expose les identifiants et les achats des acheteurs de cannabis
La marque de cannabis STIIIZY a récemment annoncé une violation de données après qu'un groupe de cybercriminalité ait compromis son fournisseur de services de point de vente (POS), exposant ainsi des informations sensibles sur ses clients. La violation a été signalée pour la première fois le 20 novembre 2024, lorsque le fournisseur a informé STIIIZY que des comptes avaient été piratés. Une enquête a révélé que des données personnelles, y compris des numéros de permis de conduire, des numéros de passeport, des photos et des historiques de transactions, avaient été volées entre le 10 octobre et le 10 novembre 2024. Les clients concernés sont ceux ayant effectué des achats dans certaines boutiques de San Francisco, Alameda et Modesto. STIIIZY a mis en place des mesures de sécurité supplémentaires et propose un service de surveillance de crédit gratuit aux clients touchés, tout en les conseillant de surveiller leur historique de crédit pour détecter d'éventuels comptes frauduleux. Le groupe de ransomware "Everest" a revendiqué l'attaque, affirmant avoir volé les données de 422 075 clients. Ce groupe, actif depuis 2020, a évolué vers des attaques de ransomware et est connu pour cibler également le secteur de la santé.
Sources :
Microsoft va forcer l'installation du nouveau Outlook sur les PC Windows 10 en février
Microsoft a annoncé qu'il forcera l'installation de son nouveau client de messagerie Outlook sur les systèmes Windows 10 à partir de la mise à jour de sécurité de février 2025. Cette décision, communiquée via le Microsoft 365 Admin Center, concerne les utilisateurs des applications Microsoft 365. Le nouveau client Outlook sera installé automatiquement pour ceux qui déploient la mise à jour facultative du 28 janvier et sera imposé à tous lors de la mise à jour de sécurité du 11 février. Ce nouvel Outlook coexistera avec l'application classique sans modifier les configurations ou les paramètres par défaut des utilisateurs. Bien qu'il ne soit pas possible de bloquer son installation, les utilisateurs pourront le désinstaller après son installation. Microsoft a précisé que le nouveau Outlook sera accessible dans la section Applications du menu Démarrer. Pour ceux qui souhaitent le supprimer, une commande PowerShell spécifique peut être utilisée. La première version préliminaire de ce nouvel Outlook a été lancée en mai 2022, et il est devenu disponible pour les comptes personnels en septembre 2023 et pour les clients commerciaux en août 2024. Cette initiative soulève des préoccupations concernant la confidentialité des données des utilisateurs.
Sources :
Éliminer les difficultés liées aux rapports de cybersécurité : un guide pratique pour les MSP
Cet article aborde la nécessité de repenser les rapports en cybersécurité pour les vCISOs (Chief Information Security Officers virtuels). Souvent encombrés de jargon technique et de données complexes, ces rapports ne parviennent pas à convaincre les décideurs. L'objectif est de transformer ces rapports en outils de valorisation, de confiance et de démonstration de l'impact positif des initiatives de cybersécurité sur le succès commercial. En suivant les stratégies proposées, les vCISOs peuvent simplifier le processus de reporting, gagner du temps et renforcer le rôle de la cybersécurité en tant que moteur d'affaires. Les rapports doivent fournir des informations claires et exploitables, reliant les initiatives de cybersécurité aux résultats mesurables, comme la réduction des risques et l'amélioration de la conformité. L'utilisation de visuels, tels que des graphiques et des tableaux, facilite la compréhension des données complexes. Des plateformes comme Cynomi permettent d'automatiser la collecte de données et de créer des rapports visuellement attrayants. En alignant les rapports sur les objectifs commerciaux et en traduisant les résultats techniques en insights actionnables, les vCISOs se positionnent comme des conseillers de confiance, aidant leurs clients à naviguer efficacement dans leur parcours de cybersécurité.
Sources :
FunkSec, un ransomware piloté par l'IA, cible 85 victimes en utilisant des tactiques de double extorsion
Des chercheurs en cybersécurité ont identifié une nouvelle famille de ransomware assistée par intelligence artificielle, nommée FunkSec, qui a émergé fin 2024 et a déjà touché plus de 85 victimes. Selon Check Point Research, FunkSec utilise des tactiques de double extorsion, combinant vol de données et chiffrement pour forcer les victimes à payer des rançons, souvent inférieures à 10 000 dollars. Le groupe a lancé un site de fuite de données en décembre 2024 pour centraliser ses opérations, incluant des annonces de violations et des outils pour mener des attaques DDoS. La majorité des victimes se trouvent aux États-Unis, en Inde, en Italie, au Brésil, en Israël, en Espagne et en Mongolie. FunkSec se distingue par son modèle de ransomware-as-a-service (RaaS) et son rôle de courtier de données, vendant des informations volées entre 1 000 et 5 000 dollars. Certains membres semblent également engagés dans des activités hacktivistes, ciblant des mouvements politiques comme "Free Palestine". Le ransomware, écrit en Rust, a été développé avec une assistance potentielle de l'IA, permettant une itération rapide malgré un manque d'expertise technique. Les activités de FunkSec soulignent la convergence inquiétante entre hacktivisme et cybercriminalité.
Sources :
Procédure pratique : Microsegmentation pour tous les utilisateurs, charges de travail et appareils par Elisity
Les secteurs de la santé et de la fabrication rencontrent des défis spécifiques lors de l'intégration de divers dispositifs, allant des appareils médicaux anciens aux capteurs IoT, sur leurs réseaux de production. Ces dispositifs manquent souvent de sécurité robuste, ce qui crée des vulnérabilités que les solutions de segmentation traditionnelles peinent à résoudre. Cet article examine les capacités techniques d'Elisity, testées dans un environnement simulé de soins de santé. Au cœur de la plateforme se trouve le Cloud Control Center, qui offre une gestion centralisée des politiques et une visibilité accrue. Les composants "Elisity's Virtual Edge" peuvent être déployés sur des commutateurs compatibles ou dans des clouds privés, intégrant des données provenant de sources variées comme Active Directory et ServiceNow. Lors des tests, la plateforme a automatiquement découvert des équipements médicaux et a permis de créer des politiques adaptées à des dispositifs variés tels que les machines à rayons X. Le processus de déploiement a été rapide, nécessitant peu de personnel et sans interruption de service. En conclusion, Elisity propose une solution efficace pour surmonter les défis de la micro-segmentation traditionnelle, offrant une approche pragmatique pour améliorer la sécurité des réseaux tout en respectant les réalités opérationnelles des entreprises.
Sources :
Vulnérabilité Zero-Day Ivanti – Analyse de Google Cloud Security / Mandiant
Mandiant a récemment révélé des détails sur une vulnérabilité zero-day (CVE-2025-0282) affectant les appliances Ivanti Connect Secure VPN, qui a été divulguée et corrigée par Ivanti. Cette vulnérabilité a été exploitée par un acteur d'espionnage présumé lié à la Chine depuis décembre 2024. Bien que Mandiant n'ait pas encore pu attribuer cette exploitation à un groupe spécifique, des analyses ont montré des liens avec des malwares précédemment associés à UNC5337 et UNC5221. Les conséquences de cette vulnérabilité incluent l'exécution de code à distance, le déplacement latéral dans les réseaux compromis et l'installation de portes dérobées persistantes, rendant difficile la récupération des systèmes affectés. Mandiant a observé que les attaquants déploient un malware nommé « PHASEJAM » pour établir une présence initiale et empêcher les mises à jour système, tout en trompant les administrateurs avec de fausses barres de progression. Ivanti recommande aux utilisateurs de réinitialiser leurs systèmes pour contrer cette menace. De plus, l'outil d'intégrité intégré (ICT) d'Ivanti s'est révélé efficace pour détecter les compromissions, bien que les attaquants tentent de contourner cette détection en modifiant le registre des fichiers.
Sources :
Un chercheur de Google Project Zero découvre un exploit Zero-Click ciblant les appareils Samsung
Des chercheurs en cybersécurité ont révélé une vulnérabilité critique, désormais corrigée, affectant le décodeur Monkey's Audio (APE) sur les smartphones Samsung, pouvant entraîner une exécution de code. Suivie sous le numéro CVE-2024-49415 (score CVSS : 8.1), cette faille touche les appareils Samsung fonctionnant sous Android 12, 13 et 14. Selon Samsung, cette vulnérabilité, liée à un "écriture hors limites" dans libsaped.so, permet aux attaquants distants d'exécuter du code arbitraire sans interaction utilisateur (attaque "zero-click"). La faille se manifeste particulièrement lorsque Google Messages est configuré pour les services de communication enrichis (RCS), ce qui est par défaut sur les Galaxy S23 et S24. La chercheuse Natalie Silvanovich a expliqué que la fonction saped_rec dans libsaped.so peut provoquer un débordement de tampon en écrivant plus de données que prévu. Dans un scénario d'attaque, un message audio spécialement conçu pourrait être envoyé via Google Messages, entraînant un crash du processus de codec multimédia de l'appareil ciblé. Le correctif de décembre 2024 de Samsung traite également une autre vulnérabilité dans SmartSwitch (CVE-2024-49413, score CVSS : 7.1) permettant l'installation d'applications malveillantes par des attaquants locaux.
Sources :
RedDelta déploie le logiciel malveillant PlugX pour cibler la Mongolie et Taïwan dans le cadre de campagnes d'espionnage
Le groupe de cybermenaces RedDelta, lié à la Chine, a ciblé la Mongolie, Taïwan, le Myanmar, le Vietnam et le Cambodge pour déployer une version personnalisée du logiciel malveillant PlugX entre juillet 2023 et décembre 2024. Selon l'analyse du groupe Insikt de Recorded Future, les attaques ont utilisé des documents d'appât liés à des événements politiques et nationaux, comme la candidature de Terry Gou à la présidence taïwanaise et des invitations à des réunions de l'ASEAN. RedDelta aurait compromis le ministère de la Défense mongol en août 2024 et le Parti communiste vietnamien en novembre 2024, tout en ciblant également des victimes en Malaisie, au Japon, aux États-Unis, en Éthiopie, au Brésil, en Australie et en Inde. Actif depuis 2012, RedDelta est connu pour affiner ses chaînes d'infection, utilisant des fichiers LNK, MSI et MSC, souvent distribués via des campagnes de phishing. Le groupe a également commencé à utiliser le réseau de distribution de contenu Cloudflare pour masquer son trafic de commande et de contrôle. Les activités de RedDelta s'alignent sur les priorités stratégiques chinoises, se concentrant sur les gouvernements et organisations diplomatiques en Asie du Sud-Est, ce qui reflète un retour à son historique de ciblage après des opérations en Europe.
Sources :
CrowdStrike met en garde contre une arnaque par phishing ciblant les demandeurs d'emploi avec le cryptomineur XMRig
La société de cybersécurité CrowdStrike a alerté sur une campagne de phishing exploitant sa propre marque pour distribuer un mineur de cryptomonnaie déguisé en application de gestion de la relation client (CRM) dans le cadre d'un processus de recrutement fictif. L'attaque débute par un courriel de phishing se faisant passer pour une offre d'emploi chez CrowdStrike, incitant les destinataires à télécharger une application malveillante via un lien intégré. Cette application, une fois lancée, effectue des vérifications pour éviter la détection avant de télécharger le mineur XMRig. CrowdStrike a découvert cette campagne le 7 janvier 2025 et a signalé des arnaques similaires. Les victimes reçoivent un message leur indiquant qu'elles ont été présélectionnées pour un poste de développeur junior et doivent rejoindre un appel en téléchargeant l'outil CRM. Si le système répond à certains critères, un message d'erreur apparaît, tandis que le mineur est téléchargé en arrière-plan. Parallèlement, Trend Micro a révélé une fausse preuve de concept exploitant une vulnérabilité dans le protocole LDAP de Microsoft, incitant les chercheurs en sécurité à télécharger un voleur d'informations. Ces attaques soulignent les dangers croissants des campagnes de phishing et des leurres malveillants.
Sources :
Des pirates ciblent des dizaines d’extensions VPN et IA pour Google Chrome
Des attaques récentes ciblent des extensions Chrome via des mises à jour frauduleuses, compromettant la sécurité des utilisateurs. Les cybercriminels ont réussi à infiltrer des versions piégées d'extensions, profitant de la confiance des utilisateurs envers des éditeurs légitimes. Bien que le Chrome Web Store soit le portail officiel pour l'installation et la gestion des extensions, les événements récents montrent que ce système de contrôle est insuffisant. L'attaque contre Cyberhaven illustre ce risque, où des utilisateurs, croyant installer un service de protection, se retrouvent exposés à des fuites de données. Environ 36 extensions ont été touchées, affectant potentiellement 2,6 millions d'utilisateurs. Google a déjà retiré des extensions malveillantes, mais la compromission de comptes développeurs légitimes complique la situation. Les réponses incluent le blocage des extensions compromises et le déploiement de correctifs, mais ces mesures peuvent être contournées. Les attaquants peuvent également revendre des accès à d'autres groupes criminels. La sensibilisation et la publication de ces incidents peuvent dissuader certains criminels, mais la nécessité d'un contrôle plus rigoureux demeure, bien que cela exige des ressources considérables.
Sources :
Les faux e-mails d'offres d'emploi de CrowdStrike ciblent les développeurs avec des mineurs de crypto-monnaie
CrowdStrike a récemment averti d'une campagne de phishing ciblant les développeurs via de faux emails d'offres d'emploi. Découverte le 7 janvier 2025, cette attaque incite les victimes à télécharger un logiciel malveillant, un mineur de cryptomonnaie Monero (XMRig), en se faisant passer pour un agent de recrutement de l'entreprise. Les emails remercient les candidats d'avoir postulé pour un poste de développeur et les dirigent vers un site imitant le portail officiel de CrowdStrike, où ils sont invités à télécharger une application CRM pour les employés.
Le processus de téléchargement inclut des vérifications pour éviter la détection dans un environnement d'analyse. Si les vérifications sont réussies, un message d'erreur fictif indique que le fichier d'installation est corrompu, tandis qu'en arrière-plan, le mineur est téléchargé et installé. Ce dernier fonctionne discrètement, utilisant peu de ressources pour éviter d'être détecté. CrowdStrike recommande aux chercheurs d'emploi de vérifier l'authenticité des recruteurs et de se méfier des demandes urgentes ou des offres trop alléchantes. Les candidats ne devraient jamais être invités à télécharger des applications tierces dans le cadre d'un processus de recrutement.
Sources :
Le plus grand fournisseur de traitement de la toxicomanie aux États-Unis informe ses patients d'une violation de données
BayMark Health Services, le plus grand fournisseur de traitements pour les troubles liés à l'usage de substances en Amérique du Nord, a informé un nombre indéterminé de patients d'une violation de données survenue en septembre 2024. Basée au Texas, l'organisation dessert quotidiennement plus de 75 000 patients dans plus de 400 sites à travers 35 États américains et trois provinces canadiennes. La violation a été détectée le 11 octobre 2024, suite à une perturbation des systèmes informatiques. Une enquête a révélé que des attaquants avaient accédé aux systèmes de BayMark entre le 24 septembre et le 14 octobre. Les données compromises incluent des informations personnelles et médicales, telles que les noms, numéros de sécurité sociale, dates de naissance et informations d'assurance des patients. En réponse, BayMark propose une année de surveillance d'identité gratuite via Equifax pour les patients concernés. Le groupe de ransomware RansomHub a revendiqué l'attaque, affirmant avoir volé 1,5 To de fichiers, qui ont été publiés sur le dark web. Cette violation survient alors que le département américain de la Santé propose des mises à jour pour renforcer la sécurité des données de santé, en réponse à une augmentation des violations dans le secteur.
Sources :
Un voleur de Banshee échappe à la détection grâce à l'algorithme de cryptage Apple XProtect
Une nouvelle version du malware Banshee, ciblant les systèmes macOS, a réussi à échapper à la détection en utilisant un algorithme de chiffrement de chaînes inspiré de la technologie XProtect d'Apple. Apparue en 2024 comme un service de vol d'informations, Banshee a vu son code source fuiter sur des forums, permettant à d'autres développeurs de l'améliorer. Selon Check Point Research, cette méthode de chiffrement permet à Banshee de se fondre dans les opérations normales tout en collectant des données sensibles sur les hôtes infectés. Contrairement aux versions précédentes, cette variante ne fait plus exception pour les utilisateurs russes. L'algorithme de chiffrement de Banshee, qui utilise des chaînes chiffrées déchiffrées uniquement lors de l'exécution, lui permet d'échapper aux méthodes de détection statiques. Le malware est principalement diffusé via de faux dépôts GitHub, ciblant les utilisateurs de macOS avec des logiciels usurpés. Bien que l'opération Banshee soit restée inactive depuis novembre 2024, des campagnes de phishing continuent de propager le malware, qui vise à voler des données dans des navigateurs populaires et à tromper les utilisateurs pour obtenir leurs mots de passe macOS.
Sources :
Microsoft corrige un bug OneDrive provoquant le blocage des applications macOS
Microsoft a résolu un problème connu qui provoquait des gelées d'applications sur macOS lors de l'ouverture ou de l'enregistrement de fichiers dans OneDrive. Ce bug affectait uniquement les systèmes fonctionnant sous macOS 15 Sequoia, comme l'a expliqué l'entreprise en novembre. Les utilisateurs rencontraient des blocages lorsqu'ils tentaient d'ouvrir ou d'enregistrer des fichiers dans les dossiers Bureau ou Documents. Microsoft a depuis corrigé ce problème pour les utilisateurs de macOS 15.2 et a proposé une solution temporaire pour ceux qui n'ont pas encore mis à jour. Les clients sont conseillés de forcer la fermeture du processus OpenAndSavePanelService, qui se bloque, et d'enregistrer leurs fichiers dans un autre emplacement que le Bureau, les Documents ou OneDrive. La procédure recommandée inclut l'utilisation du Moniteur d'activité pour identifier et forcer la fermeture du processus problématique. En outre, Microsoft enquête sur un autre bug affectant la recherche de fichiers enregistrés dans OneDrive, suggérant aux utilisateurs de les localiser manuellement via l'Explorateur de fichiers ou l'application Finder. L'entreprise a également corrigé un bug antérieur lié à des erreurs de connexion de version de l'application OneDrive.
Sources :
Proton Mail toujours en panne alors que Proton se remet d'une panne mondiale
Le 9 janvier 2025, Proton, une entreprise spécialisée dans la protection de la vie privée, a subi une panne mondiale majeure affectant la plupart de ses services, notamment Proton Mail et Proton Calendar. L'incident a débuté vers 10h00 ET, rendant impossible l'accès aux comptes des utilisateurs sur ProtonVPN, Proton Mail, Proton Calendar, Proton Drive, Proton Pass et Proton Wallet, en raison de problèmes de réseau. La page de statut de Proton a indiqué qu'ils enquêtaient sur des problèmes intermittents affectant certains utilisateurs et qu'ils s'efforçaient de rétablir les services rapidement. Bien que la plupart des services aient été restaurés, Proton Mail et Proton Calendar ont continué à rencontrer des difficultés. À 12h37 ET, Proton a annoncé que la connectivité de Proton Mail avait été rétablie, tandis que les efforts pour restaurer Proton Calendar étaient en cours. À 13h27 ET, tous les services étaient de nouveau opérationnels. Des utilisateurs ont exprimé leurs frustrations sur les réseaux sociaux, certains suggérant que la panne pourrait être liée à une attaque DDoS ou à une violation de données. Proton a été contacté pour des commentaires supplémentaires sur cette panne.
Sources :
Des vulnérabilités majeures ont été corrigées dans les contrôleurs SonicWall, Palo Alto Expedition et Aviatrix
Palo Alto Networks a publié des correctifs pour plusieurs vulnérabilités dans son outil de migration Expedition, dont une faille de haute sévérité permettant à un attaquant authentifié d'accéder à des données sensibles. Les vulnérabilités incluent une injection SQL (CVE-2025-0103) permettant de révéler des informations de la base de données, une vulnérabilité XSS réfléchie (CVE-2025-0104) pouvant conduire au vol de session, et des failles de suppression et d'énumération de fichiers (CVE-2025-0105 et CVE-2025-0106). Une autre vulnérabilité permet à un attaquant d'exécuter des commandes système (CVE-2025-0107), exposant ainsi des mots de passe et des clés API. Les correctifs sont disponibles dans les versions 1.2.100 et 1.2.101, et Palo Alto ne prévoit pas d'autres mises à jour. Il est conseillé de restreindre l'accès au réseau d'Expedition ou de désactiver le service si non utilisé. Parallèlement, SonicWall a également publié des correctifs pour des vulnérabilités dans SonicOS, dont certaines pourraient permettre un contournement d'authentification. Enfin, une faille critique a été identifiée dans Aviatrix Controller, nécessitant des mises à jour pour éviter l'exécution de code arbitraire.
Sources :
Les pirates informatiques de MirrorFace ciblent le gouvernement et les politiciens japonais depuis 2019
Le groupe de hackers chinois soutenu par l'État, connu sous le nom de "MirrorFace", cible le gouvernement japonais et des politiciens depuis 2019, selon la National Police Agency (NPA) et le Cabinet Cyber Security Center du Japon. Cette campagne de cyber-espionnage, toujours en cours, vise principalement à voler des informations sur des technologies japonaises avancées et à recueillir des renseignements sur la sécurité nationale. MirrorFace, également appelé "Earth Kasha", a été observé en train de mener des attaques par phishing pour déployer des malwares tels que 'MirrorStealer' et 'LODEINFO'. Les hackers exploitent des vulnérabilités dans des équipements réseau, notamment ceux de Fortinet et Citrix, pour infecter des ordinateurs cibles avec divers malwares. La NPA a identifié trois campagnes distinctes : la première ciblant des think tanks et des entités gouvernementales, la seconde exploitant des vulnérabilités dans des dispositifs connectés, et la troisième utilisant des liens malveillants pour infecter des institutions académiques et des médias. Pour échapper à la détection, MirrorFace utilise des tunnels Visual Studio Code et la fonctionnalité Windows Sandbox, permettant d'exécuter des commandes sans alerter les systèmes de sécurité. La NPA recommande une surveillance accrue des journaux PowerShell et des activités suspectes dans les environnements virtuels.
Sources :
Le nouveau moyen pour dérober des crypto ? Prendre en otage les détenteurs
Depuis fin 2024, les agressions contre les investisseurs en cryptomonnaies se multiplient, avec au moins trois kidnappings récents. Le dernier incident a eu lieu en France, où un influenceur crypto basé à Dubaï a vu son père, âgé de 56 ans, enlevé lors du réveillon du Nouvel An. Retrouvé par la police dans le coffre d'une voiture, il avait été ligoté et maltraité pour forcer son fils à payer une rançon. Ce dernier a alerté les autorités, permettant une intervention rapide. Un autre cas s'est produit à Karachi, au Pakistan, où un trader a été extorqué de 320 000 euros par des ravisseurs, dont un membre des forces de sécurité. En Europe, une tentative d'enlèvement à Bruxelles a été déjouée grâce à l'intervention policière. Les experts, comme Jameson Lopp, prévoient une augmentation des attaques physiques en 2025, avec des prévisions alarmantes d'un pic historique. En 2024, 22 cas de ce type ont été signalés, marquant une hausse de 22 % par rapport à l'année précédente, ce qui pourrait représenter une menace croissante pour les investisseurs en cryptomonnaies.
Sources :
Le piratage du Trésor américain lié au Silk Typhoon
Des hackers soutenus par l'État chinois, connus sous le nom de Silk Typhoon, ont été liés à une cyberattaque contre le Bureau de contrôle des actifs étrangers (OFAC) du Trésor américain, survenue début décembre. Selon des rapports, les attaquants ont utilisé une clé API de support à distance volée pour compromettre une instance de BeyondTrust, permettant ainsi d'accéder au réseau du Trésor. Ils ont également infiltré le Bureau de recherche financière du Trésor, bien que l'impact de cette violation soit encore en évaluation. Les autorités américaines ont confirmé que les hackers ciblaient spécifiquement l'OFAC pour collecter des informations sur les individus et organisations chinois susceptibles d'être sanctionnés. Un rapport de Bloomberg a corroboré cette hypothèse, indiquant que Silk Typhoon avait volé une clé numérique de BeyondTrust pour accéder à des informations non classifiées. Ce groupe, également connu sous le nom de Hafnium, est reconnu pour ses campagnes de cyberespionnage, exploitant des vulnérabilités zero-day. En réponse, l'administration Biden envisage un décret exécutif pour renforcer la cybersécurité du gouvernement, imposant des exigences telles que l'authentification multifactorielle et le stockage sécurisé des clés cryptographiques.
