GamaCopy : un imitateur de Gamaredon dans le cyberespionnage russe - Actus du 27/01/2025
🔒 Découvrez le récapitulatif THN : menaces clés et astuces cybersécurité [27 jan]. Qui remportera TikTok ? Microsoft ou Oracle ? Transformez votre carrière avec succès dans la cybersécurité. Ne manquez pas ces insights cruciaux ! 💡 #CyberSécurité #TikTok #ReconversionProfessionnelle
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
⚡ Récapitulatif hebdomadaire THN : principales menaces, outils et conseils en matière de cybersécurité [27 janvier]
Cette semaine, nous explorons les menaces sophistiquées liées à l'IA, les mises à jour réglementaires et les vulnérabilités urgentes dans la technologie de santé. Un nouveau malware, variant d'un backdoor vieux de 25 ans nommé cd00r, permet aux attaquants d'établir une connexion inversée. Parmi les actualités majeures, des failles de sécurité ont été découvertes dans les pare-feu de Palo Alto Networks, rendant les modèles PA-3260, PA-1410 et PA-415 vulnérables à des exploits de firmware. Un groupe de hackers chinois, PlushDaemon, a mené une attaque de chaîne d'approvisionnement contre un fournisseur VPN sud-coréen, utilisant un malware appelé SlowStepper. Par ailleurs, un botnet Mirai a réalisé une attaque DDoS record de 5,6 Tbps contre un fournisseur de services Internet en Asie de l'Est. Enfin, un ancien analyste de la CIA a plaidé coupable pour avoir partagé des informations top secrètes concernant des plans d'attaque d'Israël contre l'Iran. Ces événements soulignent l'importance de la cybersécurité et la nécessité d'une vigilance accrue face aux menaces émergentes. Des outils et des webinaires sont proposés pour aider les organisations à renforcer leur sécurité et à réduire les risques.
Sources :
Le grand gagnant du rachat de TikTok pourrait être Microsoft ou Oracle
TikTok a évité de justesse un bannissement aux États-Unis grâce à l'intervention de Donald Trump, qui a suspendu l'exécution d'une loi menaçante. Cependant, l'application d'origine chinoise doit maintenant vendre ses activités à des investisseurs américains dans un délai de 75 jours. Plusieurs candidats potentiels pour cette acquisition émergent, notamment Elon Musk, l'influenceur MrBeast, et Perplexity, un moteur de recherche en IA. Les géants technologiques Oracle et Microsoft sont également en lice pour récupérer les actifs clés de TikTok. Selon le National Public Radio (NPR), un accord pourrait impliquer une participation minoritaire de ByteDance, le propriétaire chinois, tout en transférant la supervision des données et de l'algorithme à Oracle. Ce scénario rappelle les tentatives de 2020, lorsque Microsoft et Oracle avaient déjà été mentionnés comme repreneurs potentiels, mais les négociations avaient été suspendues avec l'arrivée de Joe Biden au pouvoir. Le retour de Trump relance donc les discussions autour de TikTok, qui reste sous haute surveillance en raison de ses liens avec la Chine et des préoccupations concernant la sécurité des données.
Sources :
Réussir sa reconversion professionnelle dans la cybersécurité
La reconversion vers la cybersécurité représente une opportunité significative face à une pénurie de compétences dans ce domaine. Peu importe votre parcours, que ce soit en informatique, commerce ou d'autres secteurs, vos compétences comportementales, ou "soft skills", telles que la rigueur et la capacité à résoudre des problèmes, peuvent vous démarquer. Les recruteurs recherchent des profils qualifiés, et une formation certifiante en cybersécurité peut constituer un atout majeur. Cette formation couvre des thématiques essentielles comme les normes, la gestion des risques et la sécurité technique, et une certification reconnue par l'État est très appréciée par les entreprises. En plus de la formation, il est crucial de démontrer ses compétences par la pratique. Participer à des CTF (Capture the Flag) ou développer des projets personnels, comme un blog ou une chaîne YouTube sur la sécurité des données, peut renforcer votre crédibilité. En somme, se reconvertir dans la cybersécurité est une démarche prometteuse, offrant un secteur dynamique et stimulant, où l'expérience passée et les compétences acquises peuvent faire toute la différence.
Sources :
Avons-nous vraiment besoin du Top 10 NHI de l’OWASP ?
La sécurité des identités non humaines (NHI) émerge comme un enjeu crucial dans le domaine de la cybersécurité, englobant les risques liés aux clés API, comptes de service, applications OAuth, clés SSH, rôles IAM et autres identités de machines. Les incidents de sécurité exploitant les NHI vont au-delà des secrets exposés, incluant des permissions excessives et des attaques de phishing OAuth. Les listes existantes de l'OWASP ne traitent pas adéquatement ces défis uniques. Avec l'augmentation des attaques ciblant les NHI, il est devenu essentiel de fournir aux développeurs un guide dédié aux risques associés. Les impacts potentiels sur les opérations commerciales et la prévalence des problèmes de sécurité sont préoccupants, notamment en raison de l'utilisation abusive des privilèges. Des exemples concrets, comme l'attaque Midnight Blizzard sur Microsoft, illustrent les dangers des configurations défaillantes. Les pipelines CI/CD, souvent mal configurés, sont des cibles privilégiées pour les attaquants. De plus, 37 % des incidents liés aux NHI proviennent de pratiques de provisionnement inadéquates. Pour remédier à cela, Astrix Security a mis en place le tableau de bord de conformité OWASP NHI Top 10, permettant aux professionnels de la sécurité de visualiser les risques et de prioriser les actions à entreprendre.
Sources :
Cybersécurité en entreprise : bilan et enseignements d’une décennie d’analyses avec le CESIN
Le 10ᵉ baromètre annuel du CESIN, réalisé avec OpinionWay, analyse une décennie d'évolutions en cybersécurité au sein des entreprises françaises. En 2024, 401 RSSI et Directeurs Cybersécurité ont partagé leurs observations sur les tendances et menaces actuelles. Bien que 47% des entreprises aient subi une cyberattaque significative, ce chiffre reste stable, indiquant une résilience accrue. Cependant, 65% des entreprises touchées ont connu des perturbations opérationnelles, soulignant l'importance d'une gestion proactive. Les stratégies comme l'authentification multi-facteurs, le Zero Trust et les solutions EASM et CAASM sont de plus en plus adoptées pour sécuriser les environnements cloud. Malgré ces avancées, seulement 62% des entreprises ayant subi une attaque ont porté plainte, ce qui souligne la nécessité d'une collaboration renforcée avec les autorités. Par ailleurs, l'intelligence artificielle est en forte croissance, avec 69% des entreprises l'intégrant dans leurs processus, mais seulement 35% l'utilisent pour la cybersécurité. Ce baromètre met en lumière la nécessité d'innovation, de sensibilisation et de collaboration pour faire face à des menaces de plus en plus sophistiquées et garantir une cybersécurité collective efficace.
Sources :
GamaCopy imite les tactiques de Gamaredon dans le cyberespionnage ciblant les entités russes
Un nouvel acteur de menace, désigné sous le nom de GamaCopy, a été observé en train d'imiter les techniques du groupe de piratage Gamaredon, ciblant des entités russophones. Selon l'équipe de renseignement sur les menaces avancées de Knownsec 404, cette campagne utilise des contenus liés à des installations militaires comme appâts pour déployer UltraVNC, permettant un accès à distance aux systèmes compromis. Les TTP (Tactiques, Techniques et Procédures) de GamaCopy ressemblent à celles de Gamaredon, qui mène des attaques contre l'Ukraine. Cette révélation survient après que Kaspersky a signalé que des agences gouvernementales russes avaient été ciblées par Core Werewolf, un groupe également lié à GamaCopy. Les attaques utilisent des fichiers d'archive auto-extractibles créés avec 7-Zip pour introduire des charges utiles, incluant un script batch qui installe UltraVNC sous le nom "OneDrivers.exe" pour éviter la détection. Knownsec 404 note que GamaCopy partage plusieurs similitudes avec les campagnes de Core Werewolf, notamment l'utilisation de fichiers 7z-SFX et la connexion via le port 443. Ce groupe fait partie d'une série d'acteurs menaçants qui ont émergé après le début de la guerre russo-ukrainienne.
Sources :
MintsLoader diffuse le malware StealC et BOINC dans des cyberattaques ciblées
Des chasseurs de menaces ont révélé une campagne en cours utilisant un chargeur de malware nommé MintsLoader pour distribuer des charges secondaires comme le voleur d'informations StealC et la plateforme de calcul BOINC. Selon l'analyse de la société de cybersécurité eSentire, MintsLoader, basé sur PowerShell, est souvent livré via des emails de spam contenant des liens vers des pages Kongtuke/ClickFix ou des fichiers JScript. Cette campagne cible principalement les secteurs de l'électricité, du pétrole et du gaz, ainsi que les services juridiques aux États-Unis et en Europe, avec des activités détectées dès janvier 2025. Les techniques utilisées incluent des pages de vérification CAPTCHA falsifiées pour inciter les utilisateurs à exécuter des scripts PowerShell malveillants. Le processus commence par un clic sur un lien dans un email, entraînant le téléchargement d'un fichier JavaScript obfusqué qui exécute MintsLoader. Ce dernier communique avec un serveur de commande et de contrôle pour récupérer des charges utiles intermédiaires. StealC, commercialisé sous le modèle malware-as-a-service, est conçu pour éviter d'infecter des machines en Russie et dans d'autres pays de l'ex-URSS. Cette campagne s'inscrit dans un contexte plus large de prolifération de malwares accessibles via des forums de hacking.
Sources :
UnitedHealth déclare désormais que 190 millions de personnes seront touchées par la violation de données de 2024
UnitedHealth a annoncé que 190 millions d'Américains ont vu leurs données personnelles et de santé compromises lors d'une attaque par ransomware ciblant sa filiale Change Healthcare, un chiffre presque doublé par rapport aux 100 millions précédemment rapportés. Cette cyberattaque, survenue en février 2024, a été attribuée au groupe de ransomware BlackCat, qui a exploité des identifiants volés pour pénétrer le service d'accès à distance de l'entreprise, qui ne disposait pas d'authentification à deux facteurs. Les attaquants ont dérobé 6 To de données, incluant des informations sensibles telles que des dossiers médicaux, des informations d'assurance et des numéros de sécurité sociale. L'attaque a provoqué des perturbations majeures dans le système de santé américain, empêchant les médecins et les pharmacies de traiter des demandes de remboursement. UnitedHealth a confirmé avoir payé une rançon de 22 millions de dollars pour obtenir un déchiffreur et éviter la publication des données volées. Cependant, les attaquants ont ensuite exigé un paiement supplémentaire pour ne pas divulguer d'autres données. Les pertes financières liées à cette attaque sont estimées à 2,45 milliards de dollars pour les neuf premiers mois de 2024.
