Gorilla : le botnet qui attaque 100 pays avec 300 000 DDoS - Actus du 07/10/2024
Découvrez comment les cybercriminels profitent de la sortie de "Joker : Folie à Deux", le redoutable botnet Gorilla et l'impact colossal des attaques sur les API vulnérables. Protégez votre entreprise des menaces numériques qui coûtent jusqu'à 186 milliards de dollars par an !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Les cybercriminels exploitent la sortie de « Joker : Folie à Deux » pour arnaquer les fans
Kaspersky met en garde contre des arnaques de phishing ciblant les fans du film « Joker : Folie à Deux ». Les cybercriminels exploitent l'engouement autour de la sortie du film en proposant de fausses offres d'abonnement pour visionner le film gratuitement. Ces sites frauduleux incitent les utilisateurs à fournir leurs informations bancaires, leur permettant ainsi d'accéder à des données sensibles pour des transactions illégales ou leur vente sur le Dark Web. D'autres stratagèmes incluent des programmes d'investissement fictifs et des jeux concours, où les victimes sont redirigées vers des pages promouvant des gains faciles. Les escrocs demandent des informations personnelles et des données de carte de crédit sous prétexte de frais de livraison pour des prix inexistants. À l'approche de la sortie du film, le risque d'escroqueries augmente, incitant les utilisateurs à vérifier la légitimité des sites avant de partager leurs informations. Kaspersky recommande d'installer un logiciel antivirus fiable pour se protéger contre ces menaces et rappelle que le streaming de films encore à l'affiche est illégal et peut entraîner des sanctions. Olga Svistunova, experte en sécurité, souligne l'importance de la vigilance face à ces arnaques.
Sources :
Gorilla : le nouveau botnet lance plus de 300 000 attaques DDoS dans 100 pays
Des chercheurs en cybersécurité ont identifié une nouvelle famille de malwares botnet nommée Gorilla (ou GorillaBot), dérivée du botnet Mirai. Selon la société NSFOCUS, ce botnet a généré plus de 300 000 commandes d'attaque entre le 4 et le 27 septembre 2024, avec une moyenne de 20 000 commandes DDoS par jour. Gorilla a ciblé plus de 100 pays, notamment la Chine, les États-Unis, le Canada et l'Allemagne, attaquant des institutions variées comme des universités, des sites gouvernementaux et des banques. Il utilise principalement des attaques par inondation UDP, SYN et ACK, exploitant la nature sans connexion du protocole UDP pour usurper des adresses IP. Gorilla est compatible avec plusieurs architectures de processeurs et se connecte à cinq serveurs de commande et de contrôle. Il exploite également une vulnérabilité dans Apache Hadoop YARN RPC pour exécuter du code à distance. Pour assurer sa persistance, il crée un fichier de service dans le système, permettant le téléchargement et l'exécution d'un script shell à chaque démarrage. NSFOCUS souligne que Gorilla démontre une sophistication élevée en matière de techniques de dissimulation et de contrôle à long terme sur les appareils IoT.
Sources :
Les API vulnérables et les attaques de robots coûtent aux entreprises jusqu'à 186 milliards de dollars par an
Les organisations perdent entre 94 et 186 milliards de dollars par an en raison de vulnérabilités des API (interfaces de programmation d'applications) et d'abus automatisés par des bots. Un rapport du Marsh McLennan Cyber Risk Intelligence Center révèle que ces menaces représentent jusqu'à 11,8 % des événements et pertes cybernétiques mondiaux. L'étude, qui analyse plus de 161 000 incidents de cybersécurité, montre une tendance inquiétante : les menaces liées aux API vulnérables et aux bots sont de plus en plus interconnectées. En 2022, les incidents de sécurité liés aux API ont augmenté de 40 %, avec une hausse supplémentaire de 9 % en 2023. Les bots, souvent utilisés pour des activités malveillantes comme le vol d'identifiants et les attaques DDoS, exploitent les vulnérabilités des API, rendant leur détection plus difficile. Les grandes entreprises, en particulier celles générant plus de 100 milliards de dollars de revenus annuels, sont particulièrement exposées, les attaques par API représentant jusqu'à 26 % de tous les incidents de sécurité. Pour contrer ces menaces, une collaboration étroite entre les équipes marketing, IT et sécurité est essentielle pour identifier et protéger les points vulnérables, garantissant ainsi la sécurité des données sensibles et la réputation des marques.
Sources :
Les matchs de Ligue 1 sur DAZN affichent des codes mystérieux à l’écran : voilà pourquoi
Depuis août 2024, DAZN a introduit un système de watermarking visible pour ses abonnés diffusant la Ligue 1 en France, un changement par rapport à ses prédécesseurs. Chaque abonné reçoit un code unique qui apparaît sur l'écran, permettant à DAZN de traquer les flux illégaux et de désactiver les comptes des pirates. Bien que cette méthode soit efficace pour identifier les abonnés à l'origine du piratage, elle présente des limites. En effet, des décalages entre le flux direct et les diffusions piratées peuvent permettre aux pirates de masquer le code. De plus, certains réussissent à extraire le signal sans watermarking. Malgré les efforts de DAZN, le piratage persiste, car il est difficile de couper le flux d'un abonné payant en cas de détection de piratage. Le watermarking sert principalement à collecter des preuves pour des actions judiciaires ultérieures. En somme, bien que DAZN ait mis en place des mesures de lutte contre le piratage, les défis techniques et la persistance des pratiques illégales compliquent la situation.
Sources :
Modernisation de l'authentification : webinaire sur l'authentification multifacteur, les mots de passe et le passage à l'authentification sans mot de passe
L'intérêt pour l'authentification sans mot de passe a considérablement augmenté avec l'essor du travail hybride et la numérisation généralisée, entraînant une nécessité accrue de sécurité des données et d'interfaces conviviales. Les systèmes traditionnels basés sur des mots de passe, bien qu'efficaces, sont vulnérables aux menaces telles que le phishing et le vol d'identité, ce qui pousse les organisations à envisager des alternatives. De plus, la difficulté pour les utilisateurs de mémoriser plusieurs mots de passe les incite souvent à en réutiliser un, compromettant ainsi la sécurité. Les méthodes sans mot de passe, comme la biométrie et l'authentification multi-facteurs (MFA), offrent une meilleure sécurité tout en améliorant l'expérience utilisateur. Cependant, ces systèmes présentent également des défis. La nécessité de mesures de sécurité fiables est accentuée par la montée des cyberattaques. Le webinaire "Modernization of Authentication: Passwords vs Passwordless and MFA", animé par James Azar et Darren James, abordera ces enjeux, en soulignant l'importance des mots de passe dans certains contextes et le rôle crucial de la MFA. Ce webinaire est essentiel pour ceux qui cherchent à renforcer leur sécurité face à des menaces croissantes et à des normes de conformité évolutives.
Sources :
Le nouveau botnet Gorilla lance plus de 300 000 attaques DDoS dans 100 pays
Des chercheurs en cybersécurité ont découvert une nouvelle famille de malwares botnet appelée Gorilla (ou GorillaBot), dérivée du code source du botnet Mirai. Identifiée par la société NSFOCUS, cette menace a émis plus de 300 000 commandes d'attaque entre le 4 et le 27 septembre 2024, avec une moyenne de 20 000 commandes par jour, ciblant plus de 100 pays, notamment la Chine, les États-Unis, le Canada et l'Allemagne. Gorilla utilise principalement des techniques d'attaques par déni de service distribué (DDoS) telles que l'inondation UDP et le SYN flood, exploitant la nature sans connexion du protocole UDP pour usurper des adresses IP et générer un trafic massif. Le botnet est compatible avec plusieurs architectures CPU et se connecte à des serveurs de commande et de contrôle pour recevoir des instructions. De plus, il intègre des fonctions pour exploiter une vulnérabilité dans Apache Hadoop YARN RPC, permettant l'exécution de code à distance. Pour assurer sa persistance, Gorilla crée un fichier de service dans le système, téléchargeant et exécutant un script shell à chaque démarrage. NSFOCUS souligne que ce botnet démontre une conscience élevée de la détection, utilisant des algorithmes de cryptage pour dissimuler des informations clés.
Sources :
Une faille critique du SDK Apache Avro permet l'exécution de code à distance dans les applications Java
Une vulnérabilité critique a été révélée dans le kit de développement logiciel (SDK) Java d'Apache Avro, permettant l'exécution de code arbitraire sur les instances vulnérables. Suivie sous le numéro CVE-2024-47561, cette faille affecte toutes les versions antérieures à 1.11.4. Selon les mainteneurs du projet, le parsing de schémas dans les versions 1.11.3 et précédentes permet à des acteurs malveillants d'exécuter du code. Il est donc recommandé aux utilisateurs de mettre à jour vers la version 1.11.4 ou 1.12.0, qui corrigent ce problème. Apache Avro, similaire aux Protocol Buffers de Google, est un projet open-source offrant un cadre de sérialisation de données neutre en langage pour le traitement de données à grande échelle. La vulnérabilité touche toute application permettant aux utilisateurs de fournir leurs propres schémas Avro pour le parsing. Kostya Kortchinsky de l'équipe de sécurité de Databricks a découvert cette faille. Parmi les mesures d'atténuation, il est conseillé de nettoyer les schémas avant de les analyser et d'éviter le parsing de schémas fournis par les utilisateurs. Cette vulnérabilité pourrait avoir de graves implications pour de nombreuses organisations, principalement basées aux États-Unis, si elle n'est pas corrigée.
Sources :
Récapitulatif de la cybersécurité THN : principales menaces et tendances (30 septembre - 6 octobre)
Cette semaine en cybersécurité a été marquée par des affrontements gouvernementaux, des malwares sournois et des manigances dans les app stores. Les autorités ont identifié Aleksandr Ryzhenkov, un membre éminent du groupe cybercriminel Evil Corp, sanctionnant au total 16 individus associés. Le ministère américain de la Justice et Microsoft ont saisi 107 domaines utilisés par un acteur menaçant russe, COLDRIVER, pour des campagnes de vol de données. Parallèlement, des hackers nord-coréens, liés à APT37, ont déployé un nouveau trojan, VeilShell, ciblant des pays d'Asie du Sud-Est. Les utilisateurs de Truth Social ont également été victimes d'escroqueries. Des chercheurs allemands ont révélé des failles majeures dans l'infrastructure RPKI, essentielle pour la sécurité du protocole BGP. En réponse à la décision de Telegram de partager des données avec les autorités, des groupes cybercriminels se tournent vers d'autres applications comme Signal et Discord. Malgré cela, Telegram reste attractif pour sa large base d'utilisateurs. Pour contrer ces menaces, il est recommandé d'adopter des modèles de sécurité unifiés, d'automatiser les vérifications de conformité et d'éduquer les équipes sur les risques de cybersécurité. Cette semaine a démontré que les menaces peuvent surgir là où on s'y attend le moins.
Sources :
Google bloque le chargement latéral d'applications Android non sécurisées en Inde pour améliorer la protection contre la fraude
Google a annoncé le lancement d'une nouvelle initiative de sécurité en Inde, visant à bloquer automatiquement l'installation d'applications Android potentiellement dangereuses provenant de sources autres que le Google Play Store. Ce programme, qui a déjà été testé à Singapour, en Thaïlande et au Brésil, a pour objectif de protéger les utilisateurs contre les applications malveillantes installées via des navigateurs web, des applications de messagerie et des gestionnaires de fichiers. Depuis son lancement à Singapour en février, près de 900 000 installations à haut risque ont été bloquées. Eugene Liderman, directeur de la stratégie de sécurité mobile chez Google, a expliqué que cette protection renforcée analyse en temps réel les permissions déclarées par les applications tierces, en ciblant celles souvent abusées pour des fraudes financières. Si des permissions sensibles sont détectées dans le fichier manifeste de l'application, Google Play Protect interviendra pour bloquer l'installation. Ce projet débutera le mois prochain et sera progressivement déployé sur tous les appareils Android en Inde. Google encourage les développeurs à revoir les permissions de leurs applications pour se conformer aux meilleures pratiques. Cette initiative s'inscrit dans le cadre de l'effort continu de Google pour lutter contre la fraude en ligne en Inde.
Sources :
La Cour européenne limite l'utilisation des données personnelles de Facebook par Meta pour des publicités ciblées
La Cour de justice de l'Union européenne (CJUE) a statué que Meta Platforms doit restreindre l'utilisation des données personnelles collectées sur Facebook pour la publicité ciblée, même avec le consentement des utilisateurs. Cette décision pourrait avoir des répercussions majeures pour les entreprises publicitaires en Europe. La CJUE a précisé qu'un réseau social comme Facebook ne peut pas utiliser indéfiniment les données personnelles pour la publicité ciblée, soulignant la nécessité de respecter les exigences de minimisation des données du Règlement général sur la protection des données (RGPD). L'article 5(1)(c) du RGPD impose aux entreprises de limiter le traitement aux données strictement nécessaires, interdisant l'agrégation et l'analyse des données personnelles à des fins publicitaires sans restrictions temporelles. Cette affaire a été initiée par l'activiste de la vie privée Maximilian Schrems en 2014, qui a dénoncé le ciblage publicitaire basé sur son orientation sexuelle. Noyb, l'organisation cofondée par Schrems, a salué le jugement, affirmant qu'il s'applique à toutes les entreprises de publicité en ligne ne respectant pas des pratiques strictes de suppression des données. Pendant ce temps, au Texas, un procès a été intenté contre TikTok pour des violations présumées des lois sur la vie privée des enfants.
Sources :
CTF Ingénierie sociale du Québec
Le CTF Social Engineering du HackFest 2024 à Québec, dirigé par Shane MacDougall, expert reconnu dans le domaine, se prépare intensément. La compétition, qui commence dans 11 jours, implique une collecte d'informations sur une "cible" désignée, réalisée uniquement à partir de sources ouvertes. Les participants doivent répondre à 100 questions pour obtenir des "flags", allant des données simples comme les numéros de téléphone aux informations plus complexes sur l'entreprise. La compétition se déroule en trois phases : la collecte d'informations, des appels téléphoniques en direct pour obtenir des flags, et une finale où les finalistes doivent convaincre des employés de l'entreprise cible. Le rapport de collecte, qui représente 50 % de la note, est crucial, et les participants doivent éviter toute communication avec l'entreprise pendant cette phase. Les résultats seront annoncés le vendredi, avec une nouvelle cible pour la finale. Le CTF vise à sensibiliser les entreprises sur les dangers du social engineering. Des conférences et démonstrations, y compris sur l'utilisation d'outils pour la collecte d'informations, seront également présentées lors de l'événement. Les participants sont encouragés à assister au HackFest pour découvrir ces enjeux.
Sources :
Quelles sont les dernières innovations pour sécuriser vos paiements en ligne ?
Dans un contexte de croissance des transactions en ligne, la sécurité des paiements devient primordiale. Les innovations telles que la tokenisation, l'authentification biométrique et les portefeuilles numériques redéfinissent les standards de protection. Google a récemment amélioré son système de validation des achats sur le Play Store, remplaçant les mots de passe traditionnels par des méthodes biométriques, comme l'empreinte digitale ou la reconnaissance faciale, pour simplifier et sécuriser les transactions. Cette évolution vise à réduire les risques de piratage et à faciliter l'expérience utilisateur. Parallèlement, des solutions alternatives comme la carte Google Play et les portefeuilles numériques tels qu'Apple Pay et Google Pay émergent, permettant des paiements sans carte physique. Ces systèmes utilisent la tokenisation pour protéger les informations bancaires, rendant les transactions plus sûres. L'essor des cryptomonnaies offre également des options de paiement décentralisées, bien que leur réglementation soit encore en développement. Ces avancées témoignent d'une transition vers des méthodes de paiement plus fluides et sécurisées, où l'utilisation de cartes bancaires devient progressivement optionnelle, répondant ainsi aux préoccupations croissantes des consommateurs concernant la protection de leurs données personnelles et financières.
