Google Cloud annonce AI Protection : La sécurité à l'ère de l'IA - Actus du 05/03/2025
Découvrez comment le "typhon de soie" chinois amplifie les cyberattaques, Google Cloud renforce la sécurité avec AI Protection, et YouTube alerte sur les vidéos IA frauduleuses. Plongez dans les nouvelles menaces et solutions de cybersécurité aujourd'hui!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Le typhon de soie lié à la Chine étend les cyberattaques des chaînes d'approvisionnement pour l'accès initial
Le groupe de hackers Silk Typhoon, auparavant connu sous le nom de Hafnium, a modifié ses tactiques pour cibler la chaîne d'approvisionnement informatique afin d'accéder aux réseaux d'entreprise. Selon le rapport de l'équipe de renseignement sur les menaces de Microsoft, ce groupe chinois exploite des outils de gestion à distance et des applications cloud pour établir un point d'entrée. Une fois qu'ils ont compromis une victime, ils utilisent des clés et des identifiants volés pour infiltrer les réseaux clients et abuser de diverses applications, y compris des services Microsoft, pour atteindre leurs objectifs d'espionnage. Silk Typhoon est décrit comme bien équipé et techniquement compétent, capable d'exploiter rapidement des vulnérabilités zero-day dans divers secteurs, notamment les services informatiques, la santé et le gouvernement. Le groupe a également été observé utilisant des shells web pour exécuter des commandes et exfiltrer des données. Depuis fin 2024, ils ont adopté de nouvelles méthodes, notamment l'abus de clés API volées pour compromettre les clients en aval. Parmi les vulnérabilités exploitées figurent celles affectant les pare-feu Palo Alto et Citrix, ainsi que plusieurs failles de Microsoft Exchange. Silk Typhoon utilise un réseau covert pour dissimuler ses activités malveillantes.
Sources :
Google Cloud annonce AI Protection : La sécurité pour l’ère de l’IA
Avec la démocratisation de l'intelligence artificielle (IA), la sécurité devient une priorité pour les organisations cherchant à réduire les risques associés à son adoption rapide. En réponse à ces préoccupations, Google Cloud a lancé AI Protection, une solution innovante destinée à sécuriser les charges de travail et les données liées à l'IA, quel que soit le type de cloud ou de plateforme utilisée. Cette solution permet aux équipes de sécurité de découvrir l'inventaire de l'IA, de protéger les actifs et de gérer les menaces, en ciblant des risques tels que l'injection de prompt, le jailbreak, la perte de données, les URL malveillantes et le contenu offensant. AI Protection s'intègre également au Google Security Command Center (SCC), offrant une vue centralisée de la posture de sécurité des organisations en matière d'IA, facilitant ainsi la gestion des risques en cohérence avec d'autres risques cloud. Pour renforcer cette initiative, les consultants Mandiant proposent des services de conseil pour aider les entreprises à évaluer et à mettre en œuvre des mesures de sécurité robustes, ainsi que des tests d'attaque basés sur les menaces récentes observées dans le domaine de l'IA.
Sources :
YouTube met en garde contre la vidéo générée par l'AI de son PDG utilisé dans les attaques de phishing
YouTube a averti que des escrocs utilisent une vidéo générée par IA mettant en scène son PDG, Neal Mohan, dans des attaques de phishing visant à dérober les identifiants des créateurs. Ces vidéos sont partagées en privé avec des utilisateurs ciblés via des e-mails prétendant que YouTube modifie sa politique de monétisation. Dans un message sur son site communautaire, YouTube a précisé que l'entreprise ne contacterait jamais ses utilisateurs par vidéo privée et a mis en garde contre ces arnaques. Les e-mails de phishing incitent les destinataires à cliquer sur un lien menant à une page frauduleuse où ils doivent "confirmer les nouvelles conditions du Programme Partenaire YouTube" en se connectant à leur compte, ce qui permet aux escrocs de voler leurs informations. Les escrocs créent un sentiment d'urgence en menaçant de restreindre les comptes pendant sept jours si les utilisateurs ne se conforment pas. Depuis janvier, de nombreux créateurs ont signalé avoir été victimes de ces attaques, leurs chaînes étant détournées pour diffuser des arnaques liées aux cryptomonnaies. YouTube propose des conseils pour éviter et signaler ces e-mails de phishing et a mis en place un assistant de support pour aider les utilisateurs à récupérer leurs comptes piratés.
Sources :
Recherchez: la nouvelle frontière des cyber-starts est dans le ciel
En novembre 2024, une série de drones non identifiés a été signalée au-dessus du New Jersey, suscitant l'inquiétude des autorités militaires et gouvernementales américaines. Le général Gregory Guillot de NORAD a exprimé des préoccupations concernant la détection et la surveillance des capacités sensibles sur les installations militaires. En janvier, le gouvernement allemand a approuvé un plan pour abattre les drones survolant ses bases militaires, après que des attaquants aient utilisé des logiciels malveillants pour espionner les ordinateurs des fabricants de drones. Ces cybercriminels ont exploité une technique de sideloading de bibliothèques dynamiques (DLL) pour installer un accès persistant sur les systèmes infectés, en utilisant un logiciel de planification des ressources d'entreprise (ERP) comme Digiwin. Les composants de Digiwin, contenant des vulnérabilités connues, ont permis aux attaquants d'accéder aux ordinateurs des fabricants de drones. La croissance rapide de l'industrie des drones, y compris les modèles civils utilisés à des fins militaires, a amplifié les risques d'espionnage et d'attaques sur la chaîne d'approvisionnement. Les attaques en cours à Taiwan, un acteur clé dans la fabrication de drones, soulignent les préoccupations légitimes des responsables américains face à la menace croissante des drones non identifiés.
Sources :
Défendre contre les attaques USB Drive avec Wazuh
Les attaques par USB représentent une menace sérieuse pour la cybersécurité, entraînant des violations de données, des pertes financières et des perturbations opérationnelles, tout en nuisant à la réputation des organisations. Un exemple marquant est le ver Stuxnet, découvert en 2010, qui ciblait les systèmes de contrôle industriels, notamment les installations nucléaires iraniennes. Ce malware exploitait des vulnérabilités zero-day et se propageait principalement via des clés USB, illustrant les dangers des médias amovibles. Les attaquants utilisent des techniques de social engineering pour inciter les victimes à connecter des clés USB infectées, souvent déguisées en objets promotionnels. Ils peuvent également infecter directement les dispositifs ou créer des fichiers apparemment inoffensifs contenant du code malveillant. Pour contrer ces menaces, des outils comme Wazuh surveillent les activités des USB en détectant les modifications de registre et les comportements suspects. De plus, le système udev sur Linux permet de gérer automatiquement les périphériques externes, offrant des détails précieux sur leur utilisation. En intégrant ces méthodes de détection et en appliquant des politiques strictes d'accès aux USB, les organisations peuvent renforcer leur cybersécurité et réduire les risques d'attaques.
Sources :
Dark Caracal utilise Poco Rat pour cibler les entreprises hispanophones en Amérique latine
Le groupe de cybercriminalité connu sous le nom de Dark Caracal a été lié à une campagne déployant un cheval de Troie d'accès à distance, appelé Poco RAT, ciblant des utilisateurs hispanophones en Amérique latine en 2024. Selon Positive Technologies, ce malware possède une "suite complète de fonctionnalités d'espionnage", permettant de télécharger des fichiers, capturer des captures d'écran et exécuter des commandes. Les attaques, précédemment documentées par Cofense, utilisaient des leurres liés aux finances pour déployer le malware. Positive Technologies a identifié des similitudes dans les techniques utilisées, reliant ces attaques à Dark Caracal, un groupe actif depuis 2012, connu pour des campagnes d'espionnage. Les nouvelles attaques se concentrent sur des entreprises en Venezuela, Chili, République dominicaine, Colombie et Équateur, utilisant des emails de phishing avec des thèmes de factures. Les documents piégés redirigent les victimes vers des archives .rev, qui contiennent un dropper Delphi lançant Poco RAT. Ce dernier établit une connexion avec un serveur distant, permettant aux attaquants de contrôler les machines compromises. Poco RAT ne possède pas de mécanisme de persistance intégré, ce qui suggère que les attaquants pourraient l'utiliser comme tremplin pour déployer d'autres malwares.
Sources :
Google déploie la détection de l'ARC pour Android pour lutter contre la fraude conversationnelle
Google a annoncé le déploiement de nouvelles fonctionnalités de détection des arnaques alimentées par l'intelligence artificielle (IA) pour sécuriser les utilisateurs d'appareils Android. Ces outils ciblent spécifiquement les arnaques conversationnelles, souvent perçues comme inoffensives au départ, mais pouvant évoluer vers des situations nuisibles. L'entreprise a collaboré avec des institutions financières pour mieux comprendre les arnaques rencontrées par les clients, permettant ainsi de créer des modèles d'IA capables de détecter des schémas suspects et d'envoyer des alertes en temps réel, tout en préservant la vie privée des utilisateurs. Ces modèles fonctionnent directement sur l'appareil et alertent les utilisateurs en cas de probable arnaque, leur offrant la possibilité de signaler ou de bloquer l'expéditeur. La fonctionnalité est activée par défaut pour les numéros non enregistrés dans les contacts. Bien que la détection des arnaques soit désactivée par défaut pour donner le contrôle aux utilisateurs, elle peut être activée à tout moment. Ce développement survient après que Google a révélé que plus d'un milliard d'utilisateurs de Chrome utilisent le mode de protection améliorée de Safe Browsing, qui utilise également des modèles avancés d'IA pour identifier les URL dangereuses.
Sources :
Le zoo de Toronto partage la mise à jour de l'attaque des ransomwares de l'année dernière
Le Zoo de Toronto, le plus grand zoo du Canada, a fourni des détails sur une attaque par ransomware survenue en janvier 2024, qui a entraîné un vol de données. Dans une notification finale, le zoo a indiqué que la violation de données affecte des informations personnelles et financières de ses employés, anciens employés, bénévoles et donateurs. Les données compromises incluent des noms, adresses, numéros de téléphone, adresses e-mail, ainsi que les quatre derniers chiffres des cartes de crédit et leurs dates d'expiration pour les transactions effectuées entre janvier 2022 et avril 2023. Bien que l'incident ait été signalé le 8 janvier, il n'a pas eu d'impact sur le bien-être des animaux ou les opérations quotidiennes du zoo. Le zoo a informé le Bureau du Commissaire à l'information et à la protection de la vie privée de l'Ontario et a conseillé aux personnes concernées de surveiller leurs relevés financiers. L'attaque a été revendiquée par le groupe de ransomware Akira, qui a prétendu avoir volé 133 Go de fichiers, y compris des sauvegardes de bases de données. Akira, actif depuis mars 2023, a déjà ciblé plus de 300 organisations et a collecté environ 42 millions de dollars en rançons.
Sources :
Chinois Apt Lotus Panda cible les gouvernements avec de nouvelles variantes de porte dérobée Sagerunex
Le groupe de cybercriminalité connu sous le nom de Lotus Panda, également appelé Billbug, cible des secteurs tels que le gouvernement, la fabrication, les télécommunications et les médias dans des pays comme les Philippines, le Vietnam, Hong Kong et Taïwan. Ce groupe, actif depuis 2009 et soupçonné d'être d'origine chinoise, utilise une porte dérobée appelée Sagerunex, mise à jour depuis 2016. Selon l'analyse de Joey Chen de Cisco Talos, Lotus Panda développe de nouvelles variantes de ce malware, exploitant des services légitimes comme Dropbox et Zimbra pour échapper à la détection. Les attaques récentes, bien que leur vecteur d'accès initial reste inconnu, s'appuient sur des techniques de spear-phishing et des attaques de watering hole. La version Zimbra de Sagerunex permet non seulement de collecter des informations sur les victimes, mais aussi de contrôler les machines compromises via des commandes envoyées par email. En plus de Sagerunex, d'autres outils comme un voleur de cookies et un utilitaire proxy nommé Venom sont utilisés pour exfiltrer des données. Lotus Panda effectue également des opérations de reconnaissance sur les environnements ciblés, cherchant à établir des connexions Internet même lorsque l'accès est restreint.
Sources :
Identité: le nouveau champ de bataille de cybersécurité
L'adoption rapide des services cloud et des applications SaaS, ainsi que le passage au télétravail, ont transformé le fonctionnement des entreprises, créant à la fois des opportunités et des menaces de sécurité. L'identité, en tant que point d'entrée de la sécurité des entreprises, est devenue la principale cible des cybercriminels. La fragmentation des technologies, où les entreprises privilégient des solutions "meilleures de leur catégorie", complique la visibilité et augmente les vulnérabilités. Avec un temps moyen de détection d'une violation de 290 jours, de nombreuses organisations sont mal préparées face à des menaces de plus en plus sophistiquées. Pour remédier à cela, la centralisation de l'identité à travers tous les systèmes peut réduire les lacunes de sécurité et offrir des insights en temps réel. Une plateforme d'identité centralisée permet d'identifier rapidement les risques et de prioriser les actions correctives. L'automatisation des scans et des réponses aux incidents améliore l'efficacité, même dans des environnements complexes. En intégrant de manière fluide les applications SaaS et les outils de sécurité, les entreprises peuvent renforcer leur protection et optimiser leurs opérations. En plaçant l'identité au cœur de leur stratégie de cybersécurité, elles peuvent mieux se défendre contre les menaces quotidiennes.
Sources :
SentinelLabs révèle une fuite de données impliquant une entreprise chinoise de cybersécurité liée à l’État
SentinelLabs, la branche de recherche de SentinelOne, a examiné une fuite de données provenant de TopSec, une entreprise chinoise de cybersécurité liée à l'État. Cette fuite révèle des informations sur l'infrastructure de l'entreprise et des logs d'employés, incluant plus de 7 000 lignes de code et des scripts connectés à des domaines gouvernementaux, académiques et médiatiques. Les analyses suggèrent que TopSec joue un rôle dans la modération du contenu pour la censure, une pratique essentielle du Parti communiste chinois (PCC) pour contrôler l'opinion publique sur des sujets sensibles. De plus, des preuves indiquent que TopSec a fourni des services à une entreprise publique le jour de l'annonce d'une enquête pour corruption contre son dirigeant, illustrant la collaboration entre l'État et les entreprises de cybersécurité pour gérer les crises. Cette fuite met en lumière les relations étroites entre les entités gouvernementales et les entreprises privées en Chine, où l'État exerce un contrôle strict sur la gestion de l'information. Bien que les circonstances de la fuite restent floues, les détails montrent que les ingénieurs de TopSec documentaient minutieusement leur travail, soulevant des préoccupations pour d'autres entreprises sur la gestion des données sensibles.
Sources :
Nouveaux logiciels malveillants Linux de couleur automatique cible les universités, les organisations gouvernementales
Une nouvelle menace pour les systèmes Linux, nommée Auto-Color, a été identifiée par les chercheurs de Palo Alto Networks, ciblant principalement les universités et les institutions gouvernementales. Ce malware agit comme une porte dérobée, permettant un accès persistant aux systèmes compromis. Auto-Color se distingue par sa capacité à se renommer après installation, utilisant des noms de fichiers inoffensifs tels que "door" ou "egg". Il emploie des techniques d'évasion pour dissimuler ses connexions et communications, tout en utilisant des algorithmes de cryptage. Ce malware présente des similitudes avec le malware Symbiote, connu pour ses méthodes furtives.
Après son installation, Auto-Color peut établir un accès à distance complet, en installant une bibliothèque malveillante (libcext.so.2) si l'utilisateur a des privilèges root. Sinon, il obtient un accès temporaire. Ce malware peut exécuter des commandes, modifier des fichiers et rediriger le trafic système vers les attaquants. Il inclut également une fonction de "kill-switch" pour effacer les traces d'infection. Bien que détecté pour la première fois en novembre 2024, les chercheurs n'ont pas pu déterminer les vecteurs d'infection. Ils ont cependant fourni des indicateurs de compromission pour aider les utilisateurs à sécuriser leurs systèmes.
Sources :
Microsoft prend sa retraite Skype, demande aux utilisateurs de passer aux équipes gratuitement
Microsoft a officiellement annoncé la fin de Skype, demandant à tous les utilisateurs de migrer vers Microsoft Teams ou d'autres applications alternatives. Cette décision, qui prendra effet en mai 2025, vise à répondre aux évolutions des modes de communication modernes. Les utilisateurs de Skype disposent donc d'environ deux mois pour explorer Teams et choisir la solution qui leur convient le mieux. Skype restera accessible jusqu'au 5 mai 2025, et Microsoft facilite la transition en permettant la synchronisation des contacts et des discussions entre Skype et Teams, afin que les utilisateurs ne perdent pas leurs données existantes. Bien que le passage à Teams soit recommandé, les utilisateurs peuvent également opter pour d'autres applications, avec la possibilité d'exporter leurs données Skype. Les utilisateurs premium de Skype bénéficieront d'une extension de l'utilisation de Skype jusqu'à l'épuisement de leurs crédits et abonnements, mais ne pourront plus utiliser le service une fois leurs abonnements expirés. Microsoft Teams, lancé en 2017, a gagné en popularité pendant la pandémie de COVID-19, mais Skype, malgré sa fidélité, n'a pas réussi à s'imposer comme une application de chat complète, ce qui a conduit à sa retraite.
Sources :
- https://latesthackingnews.com/2025/03/05/microsoft-retires-skype-asks-users-to-switch-to-teams-free/
Des milliers de garanties à risque AMS à tort erronées à l'échelle mondiale
Des chercheurs de la société de cybersécurité Modat ont révélé que des milliers de systèmes de gestion d'accès (AMS) mal configurés exposent des données sensibles en ligne, compromettant ainsi la sécurité de bâtiments critiques à l'échelle mondiale. Leur rapport souligne que ces AMS, accessibles sur Internet, représentent une menace sérieuse, touchant divers secteurs tels que l'éducation, la santé, la fabrication, la construction, le secteur pétrolier et même les systèmes gouvernementaux. Au cours d'une analyse mondiale, ils ont identifié plus de 49 000 AMS mal configurés, principalement dans des bâtiments non résidentiels, permettant l'accès à des informations sensibles telles que les noms, adresses e-mail, numéros de téléphone et données biométriques des employés. Les chercheurs ont également pu accéder à des données sur les horaires d'accès des employés et manipuler des informations d'accès pour les véhicules, mettant ainsi en péril la sécurité physique des infrastructures. Pour atténuer ces risques, Modat recommande de placer ces systèmes derrière des pare-feu et des VPN, d'effectuer des mises à jour de sécurité régulières, de changer rapidement les identifiants d'autorisation et de scanner régulièrement les vulnérabilités.
Sources :
Meta a licencié des employés pour des fuites d'informations présumées
Meta, anciennement Facebook, a récemment licencié environ 20 employés en raison de fuites d'informations internes. Selon un rapport de The Verge, ces licenciements font suite à des enquêtes internes qui ont révélé que certains employés partageaient des discussions confidentielles et des détails sur des projets non annoncés. Dave Arnold, porte-parole de Meta, a rappelé que la divulgation d'informations internes est contraire aux politiques de l'entreprise, malgré des rappels réguliers aux employés. Les fuites d'informations, qui incluent des commentaires de Mark Zuckerberg lors de réunions internes, suscitent des inquiétudes croissantes au sein de l'entreprise, car elles compromettent la sécurité et affectent le moral des équipes. Guy Rosen, responsable de la sécurité de l'information chez Meta, a souligné que ces fuites entraînent des conséquences au-delà de la sécurité immédiate, en démoralisant les employés et en détournant des ressources précieuses. Meta prévoit de poursuivre ses investigations et d'appliquer des mesures disciplinaires supplémentaires, indiquant que d'autres licenciements pourraient survenir. Bien que l'identité des employés licenciés reste inconnue, il est clair que Meta adopte une approche stricte pour lutter contre les fuites internes.
Sources :
L'Australie interdit les produits Kaspersky des systèmes gouvernementaux
L'Australie a récemment interdit l'utilisation des produits Kaspersky dans tous les secteurs gouvernementaux, invoquant des préoccupations de sécurité. Selon un cadre politique du ministère australien des Affaires intérieures, les produits de Kaspersky Lab Inc. présentent un risque inacceptable pour les réseaux et les données du gouvernement, en raison de menaces d'espionnage et d'ingérence étrangère. Stephanie Foster, secrétaire du ministère, a souligné que l'analyse des menaces a conduit à cette décision, qui vise à protéger les systèmes gouvernementaux. Les entités gouvernementales doivent immédiatement supprimer toutes les installations liées à Kaspersky et signaler leur conformité au ministère. Cette interdiction s'applique à tous les appareils utilisés par le gouvernement, y compris les téléphones mobiles, ordinateurs portables et tablettes. L'Australie n'est pas la première à prendre une telle mesure ; les États-Unis et le Canada ont également interdit les produits Kaspersky pour des raisons similaires. Kaspersky, en raison de ses liens avec la Russie, a été au centre de controverses et a rencontré des difficultés pour promouvoir ses produits sur les réseaux sociaux, notamment avec des publicités bloquées par les autorités américaines. Cette décision s'inscrit dans un contexte plus large de vigilance accrue face aux menaces de cybersécurité.
Sources :
Cybercriminalité : plongée au cœur des rançongiciels Black Basta et Ghost, et comment s’en protéger
La menace des rançongiciels demeure préoccupante pour les entreprises mondiales, comme le montrent deux récentes fuites d’informations sur les groupes Black Basta et Ghost. Les échanges internes de Black Basta révèlent une organisation criminelle structurée, marquée par des rivalités et des frustrations, qui améliore constamment ses techniques d’attaque, y compris l’imitation des méthodes d’ingénierie sociale d’autres groupes. En parallèle, une alerte des agences américaines CISA, FBI et MS-ISAC met en lumière le groupe Ghost, qui exploite des vulnérabilités des systèmes connectés à Internet, y compris des failles anciennes, soulignant l’importance de la gestion des correctifs. Ces deux cas soulignent la nécessité pour les entreprises françaises de renforcer leur cyber-résilience. Les experts de Cohesity recommandent plusieurs mesures de protection : effectuer des sauvegardes régulières et hors ligne des données critiques, surveiller les activités suspectes sur les réseaux, appliquer rigoureusement les correctifs de sécurité, segmenter les réseaux pour limiter la propagation des attaques, et utiliser l’authentification multi-facteurs (MFA) pour sécuriser les accès. Ces stratégies sont essentielles pour se défendre contre les menaces croissantes des rançongiciels.
Sources :
Menaces invisibles : quand le tourisme industriel devient une porte d’entrée pour l’espionnage économique
La DGSI met en garde contre les risques d’ingérence économique et d’espionnage lors des visites de sites industriels et de laboratoires sensibles, notamment pendant les journées du Patrimoine en France, prévues les 16 et 17 septembre. Des incidents récents, comme un étudiant étranger trop curieux et une tentative d’intrusion avec un badge falsifié, illustrent ces menaces croissantes. Un cas notable implique un individu se faisant passer pour journaliste, qui a tenté d'accéder à des documents confidentiels pour le compte d'une entreprise concurrente. Face à ces dangers, la DGSI recommande des mesures strictes : obtenir l’autorisation des autorités pour les visites, définir des parcours précis excluant les zones sensibles, et établir un espace d’accueil pour filtrer les visiteurs. L’identité des visiteurs doit être communiquée à l’avance, l’accès aux systèmes informatiques doit être restreint, et toute prise de photos ou d’enregistrements doit être interdite. Le personnel doit être formé pour détecter les comportements suspects, et aucun visiteur ne doit s’éloigner du groupe sans accompagnement. Ces recommandations visent à renforcer la sécurité des sites stratégiques face à des tentatives d’espionnage.
Sources :
Sept forfaits go malveillants trouvés en déploiement de logiciels malveillants sur les systèmes Linux et MacOS
Des chercheurs en cybersécurité mettent en garde contre une campagne malveillante ciblant l'écosystème Go, impliquant des modules typosquattés destinés à déployer des malwares sur les systèmes Linux et macOS. Selon Kirill Boychenko de Socket, au moins sept paquets ont été publiés, imitant des bibliothèques Go largement utilisées, dont un ciblant spécifiquement les développeurs du secteur financier. Ces paquets, toujours disponibles dans le dépôt officiel, partagent des noms de fichiers malveillants et des techniques d'obfuscation cohérentes, indiquant un acteur malveillant coordonné. Bien que la plupart des dépôts GitHub aient été supprimés, un reste est encore accessible. L'analyse de Socket révèle que ces paquets contiennent du code permettant l'exécution de commandes à distance, en récupérant un script hébergé sur un serveur distant après un délai d'une heure, probablement pour éviter la détection. L'objectif final est d'installer un fichier exécutable capable de voler des données ou des identifiants. Cette découverte survient un mois après qu'une autre attaque de la chaîne d'approvisionnement logicielle ait été signalée dans l'écosystème Go, soulignant la persistance et l'adaptabilité de l'adversaire.
Sources :
Fake Bianlian Ransom Notes envoyées par la poste aux PDG américains dans l'escroquerie de courrier postal
Des escrocs se font passer pour le groupe de ransomware BianLian en envoyant de fausses lettres de rançon aux PDG d'entreprises américaines par courrier postal. Ces notes, signalées par Guidepoint Security, prétendent provenir du "BIANLIAN Group" et sont envoyées depuis une adresse à Boston. Les lettres, datées du 25 février 2025, sont adressées aux PDG et contiennent des allégations de vol de données adaptées à chaque secteur d'activité, comme des informations sur les patients pour les entreprises de santé. Les demandes de rançon varient entre 250 000 et 500 000 dollars en Bitcoin, avec des adresses et QR codes fournis pour le paiement. Bien que les lettres incluent des mots de passe compromis pour paraître crédibles, les experts estiment qu'elles sont fausses et visent à intimider les dirigeants pour obtenir un paiement. GuidePoint Security a confirmé que ces demandes sont illégitimes et ne proviennent pas du groupe BianLian. Les administrateurs informatiques doivent alerter les dirigeants sur cette arnaque pour éviter des inquiétudes inutiles. Cette méthode représente une évolution des escroqueries par extorsion par e-mail, ciblant désormais les PDG plutôt que les particuliers.
Sources :
Microsoft Teams Tactics, malware connect Black Basta, cactus ransomware
Une nouvelle recherche a révélé des liens entre les gangs de ransomware Black Basta et Cactus, qui utilisent des attaques d'ingénierie sociale similaires et le malware BackConnect pour accéder aux réseaux d'entreprise. En janvier, Zscaler a découvert un échantillon de malware Zloader avec une nouvelle fonctionnalité de tunneling DNS, qui a été lié à BackConnect, un outil de proxy permettant aux cybercriminels de masquer leurs activités. Ces malwares sont associés à Black Basta, qui a émergé en avril 2022, et qui a historiquement utilisé Qakbot pour infiltrer les réseaux. Après des perturbations dans les opérations de Qbot en 2023, Black Basta a commencé à utiliser BackConnect, suggérant une collaboration continue avec les développeurs de Qbot. Un rapport de Trend Micro a également établi que le groupe Cactus utilise BackConnect, indiquant un chevauchement potentiel entre les membres des deux groupes. Les attaques de Cactus imitent celles de Black Basta, notamment en utilisant Microsoft Teams pour tromper les victimes. Bien que Black Basta semble s'affaiblir depuis décembre 2024, de nombreux membres pourraient avoir rejoint Cactus, renforçant l'idée que Cactus pourrait être une rebranding de Black Basta ou simplement un groupe avec des membres communs.
Sources :
Le nouveau botnet onven11bot infecte 86 000 appareils pour les attaques DDOS
Un nouveau botnet nommé 'Eleven11bot' a infecté plus de 86 000 appareils IoT, principalement des caméras de sécurité et des enregistreurs vidéo en réseau (NVR), pour mener des attaques DDoS. Lié de manière lâche à l'Iran, ce botnet a déjà ciblé des fournisseurs de services de télécommunication et des serveurs de jeux en ligne. Découvert par des chercheurs de Nokia, Eleven11bot est considéré comme l'un des plus grands botnets DDoS observés ces dernières années, avec une croissance rapide dépassant 30 000 appareils. Selon Jérôme Meyer de Nokia, sa taille est exceptionnelle parmi les botnets d'acteurs non étatiques. La plateforme de surveillance des menaces The Shadowserver Foundation a signalé 86 400 appareils infectés, principalement aux États-Unis, au Royaume-Uni, au Mexique, au Canada et en Australie. Les attaques ont atteint plusieurs centaines de millions de paquets par seconde et peuvent durer plusieurs jours. Le malware se propage en forçant des identifiants administratifs faibles et en scannant les réseaux pour des ports Telnet et SSH exposés. GreyNoise recommande de bloquer les adresses IP malveillantes associées et de sécuriser les appareils IoT en mettant à jour les firmwares et en changeant les mots de passe par défaut.
Sources :
Cisco avertit WebEx pour Broadworks Flaw exposant des informations d'identification
Cisco a averti ses clients d'une vulnérabilité dans Webex for BroadWorks, permettant à des attaquants non authentifiés d'accéder à des identifiants à distance. Cette intégration combine les fonctionnalités de visioconférence de Cisco Webex avec la plateforme de communications unifiées BroadWorks. Bien qu'aucun identifiant CVE n'ait encore été attribué, Cisco a publié un avis de sécurité indiquant qu'un changement de configuration a été effectué pour corriger le problème, et recommande aux utilisateurs de redémarrer leur application Webex. La vulnérabilité, considérée comme de faible gravité, pourrait permettre à un attaquant d'accéder à des données si un transport non sécurisé est configuré pour la communication SIP. De plus, un utilisateur authentifié pourrait voir des identifiants en texte clair dans les journaux du client et du serveur. Cisco conseille aux administrateurs de configurer un transport sécurisé pour la communication SIP et de faire tourner les identifiants pour se protéger d'éventuelles compromissions. La société a précisé qu'aucune utilisation malveillante de cette vulnérabilité n'a été observée jusqu'à présent. Par ailleurs, une autre vulnérabilité Cisco a été signalée comme exploitée activement.
Sources :
Google étend la détection Android AI Scam à plus d'appareils de pixels
Google a annoncé l'élargissement de ses fonctionnalités de détection des arnaques alimentées par l'IA sur Android, visant à protéger les utilisateurs contre des escroqueries de plus en plus sophistiquées. Ces nouvelles fonctionnalités répondent à une augmentation des campagnes d'escroquerie assistées par l'IA, qui ont déjà fraudé plus de 1 trillion de dollars selon la Global Anti-Scam Alliance. Les nouvelles mesures ciblent spécifiquement les arnaques conversationnelles, souvent perçues comme inoffensives au départ. Google a collaboré avec des banques pour mieux comprendre les arnaques actuelles, notamment celles qui manipulent les victimes pour obtenir des données sensibles ou des paiements. Les fonctionnalités incluent une détection améliorée des arnaques dans Google Messages, qui avertit les utilisateurs des tentatives d'escroquerie, et un système similaire pour les appels, utilisant l'outil AI Gemini Nano pour analyser les conversations en temps réel. Bien que ces fonctionnalités respectent la vie privée des utilisateurs en traitant les données localement, la détection des arnaques pour les appels est désactivée par défaut. Les utilisateurs peuvent l'activer via les paramètres de l'application Téléphone. Le déploiement initial concerne les utilisateurs de Pixel 9 aux États-Unis, au Royaume-Uni et au Canada.
Sources :
Une fuite massive : 70 millions de comptes français en vente sur le dark web
Une fuite massive de données soulève des préoccupations quant à la sécurité des informations personnelles. Un exemple alarmant montre que 833 663 utilisateurs ont exposé leur prénom ou des éléments de leur adresse électronique, facilitant ainsi le piratage. Le cybercriminel à l'origine de cette fuite a utilisé diverses méthodes frauduleuses pour rassembler ces données dans un fichier de 2 To. En saisissant leurs identifiants sur un faux site, les victimes transmettent involontairement leurs informations au pirate. L'année dernière, le Service Veille ZATAZ a observé des milliards de données compromises, souvent issues de piratages de plateformes de e-commerce ou de réseaux sociaux. Ces informations sont ensuite revendues ou combinées pour créer des bases de données plus complètes. Les pirates utilisent des logiciels appelés infostealers pour enregistrer les frappes clavier et voler les identifiants. Pour se protéger, il est conseillé d'utiliser des mots de passe uniques pour chaque service, d'activer l'authentification à deux facteurs, de vérifier si son adresse e-mail a été compromise, de se méfier des messages suspects et de maintenir ses logiciels à jour. Les utilisateurs peuvent également vérifier l'impact de cette fuite via le service ZATAZ.
Sources :
L’agence spatiale polonaise victime d’une cyberattaque d’ampleur, les hackers restent inconnus
Le 2 mars 2025, l'agence spatiale polonaise (POLSA) a subi une cyberattaque majeure, entraînant la déconnexion de son réseau d'Internet par les équipes de cybersécurité. Le ministre du Numérique, Krzysztof Gawkowski, a confirmé une intrusion dans l'infrastructure informatique de l'agence. Cette attaque s'inscrit dans un contexte plus large de cybermenaces, la Pologne étant devenue une cible privilégiée pour les hackers pro-russes en raison de son soutien militaire à l'Ukraine et de son rôle dans l'accueil des réfugiés ukrainiens. Depuis 2023, les cyberattaques contre le pays ont doublé, avec plus de 400 000 incidents signalés au premier semestre 2024. Le gouvernement polonais a accusé des groupes d'espionnage russes et biélorusses d'être derrière ces attaques. Une intrusion dans une institution comme POLSA pourrait avoir des conséquences graves, exposant des informations sensibles liées à la défense nationale et aux opérations satellitaires. Bien que la Pologne ne soit pas un acteur majeur dans le lancement de fusées, elle est membre de l'Agence spatiale européenne (ESA), ce qui souligne l'importance de la sécurité de ses infrastructures spatiales et technologiques.
Sources :
Les nouveaux logiciels malveillants polyglots frappent l'aviation, les entreprises de communication par satellite
Un nouveau malware polyglotte, identifié comme Sosano, cible des entreprises du secteur de l'aviation et des communications par satellite aux Émirats arabes unis. Découvert par Proofpoint en octobre 2024, ce malware permet aux attaquants d'établir une porte dérobée sur les dispositifs infectés, leur offrant la possibilité d'exécuter des commandes à distance. Les attaques sont attribuées à un acteur malveillant nommé 'UNK_CraftyCamel', dont les opérations présentent des similitudes avec celles de groupes alignés à l'Iran, mais se distinguent par un accent sur l'espionnage cybernétique. Le malware utilise des fichiers polyglottes, qui contiennent plusieurs formats de fichiers, permettant aux attaquants de contourner les logiciels de sécurité. L'attaque débute par un courriel de phishing ciblé, incitant les victimes à télécharger une archive ZIP contenant des fichiers malveillants déguisés. Lors de l'exécution, le malware établit une connexion avec un serveur de commande et de contrôle, attendant des instructions pour exécuter diverses opérations. Pour se défendre contre ces menaces, il est recommandé d'adopter une approche multifacette, incluant la formation des utilisateurs et le blocage de certains types de fichiers à la passerelle de messagerie.
Sources :
Les chercheurs relient les tactiques du ransomware du cactus aux anciens affiliés de Black Basta
Des acteurs malveillants utilisant les familles de ransomware Black Basta et CACTUS ont été observés exploitant le même module BackConnect (BC) pour maintenir un contrôle persistant sur les hôtes infectés, indiquant une possible transition d'affiliés de Black Basta vers CACTUS. Selon Trend Micro, ce module permet aux attaquants d'exécuter des commandes à distance, facilitant le vol de données sensibles. Le module BC, suivi sous le nom de QBACKCONNECT en raison de ses liens avec le chargeur QakBot, a été documenté pour la première fois en janvier 2025. Au cours de l'année écoulée, les chaînes d'attaque de Black Basta ont utilisé des tactiques de bombardement d'e-mails pour inciter les cibles à installer Quick Assist, permettant ainsi l'injection d'un chargeur DLL malveillant. Ce changement de méthode d'accès initial est attribué à une opération des forces de l'ordre ayant démantelé l'infrastructure de QakBot. Trend Micro a également observé une attaque CACTUS utilisant des méthodes similaires, bien que l'encryptage du réseau de la victime ait échoué. Les fuites récentes des journaux de discussion de Black Basta ont révélé des connexions entre les membres des deux groupes, suggérant un partage de techniques et de procédures.
