Hôpitaux : quand les cybercriminels augmentent le taux de mortalité - Actus du 29/10/2024
Bitfinex : 5 ans de prison pour le hacker ! Découvrez comment l'observabilité avancée en cybersécurité peut prévenir de telles attaques. Saviez-vous que les cyberattaques sur les hôpitaux augmentent le taux de mortalité ? Ne ratez pas notre article pour tout savoir !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Une peine de cinq ans de prison pour le hacker de Bitfinex
L'article traite de la peine demandée par les procureurs pour Ilya Lichtenstein, accusé de piratage et de blanchiment d'argent, qui pourrait être réduite à cinq ans au lieu des 10 à 12 ans habituellement recommandés. Sa coopération avec les autorités, notamment en fournissant des informations sur d'autres enquêtes, et l'absence d'antécédents criminels sont des facteurs en sa faveur. Lichtenstein a blanchi environ 21 % des 119 754 BTC volés, tandis que sa complice, Heather Morgan, pourrait écoper d'une peine de 18 mois en raison de son implication moindre. L'arrestation du couple en février 2022 a été facilitée par l'enquête sur le marché noir AlphaBay, où les fonds volés auraient été blanchis. Parallèlement, les autorités russes ont arrêté près de 100 personnes dans une vaste opération contre le blanchiment d'argent lié à la cybercriminalité, en lien avec les systèmes UAPS et Cryptex. Cette opération survient après des accusations américaines contre deux ressortissants russes, suggérant une possible collaboration internationale dans la lutte contre le blanchiment d'argent. Les activités criminelles liées à ces systèmes étaient d'une ampleur considérable, soulignant l'importance de la coopération entre les agences de différents pays.
Sources :
Mois de la Cybersécurité : l’observabilité avancée comme rempart préventif !
À l'issue du Mois de la Cybersécurité, Gigamon souligne un défi crucial pour les organisations adoptant le cloud : améliorer la visibilité et la sécurité de leurs infrastructures cloud hybrides. Selon l'Enquête 2024 sur la Sécurité du Cloud Hybride, 83 % des entreprises estiment que la visibilité sur les données en mouvement est essentielle pour la sécurité, tandis que 73 % privilégient la visibilité latérale, Est-Ouest. Cependant, 60 % d'entre elles manquent de visibilité sur ce trafic, les rendant vulnérables aux menaces. De plus, 87 % considèrent qu'une meilleure visibilité sur le trafic chiffré est indispensable, mais 62 % admettent que ce trafic est souvent négligé. Chaïm Mazal, CSO de Gigamon, souligne que les outils de sécurité traditionnels se concentrent sur le trafic Nord-Sud, laissant des angles morts dangereux face à des menaces croissantes comme les ransomwares. Pour remédier à cela, l'observabilité avancée est mise en avant comme une solution clé, permettant d'éliminer ces angles morts, d'aligner les équipes IT et de réaliser des économies de coûts significatives, pouvant atteindre 50-60 % sur les outils et la bande passante.
Sources :
Hôpitaux : Quand les cybercriminels font grimper le taux de mortalité
Les cyberattaques contre les organismes de santé sont en forte augmentation, tant en France qu'aux États-Unis. En 2023, la France a enregistré 581 incidents informatiques, dont plus de la moitié étaient des cyberattaques, entraînant des fuites de données sensibles. Aux États-Unis, un rapport de Proofpoint révèle que 92 % des établissements de santé ont subi au moins une cyberattaque l'année précédente, une hausse par rapport à 2023. Ces attaques perturbent les soins, avec 69 % des organismes signalant des impacts sur la prise en charge des patients. Les menaces liées à la chaîne d'approvisionnement sont particulièrement préoccupantes, comme l'illustre l'attaque contre Viamedis. Les conséquences des cyberattaques sont graves : 56 % des établissements ont observé des retards dans les soins, 53 % une augmentation des complications médicales, et 28 % une hausse des taux de mortalité, marquant une augmentation inquiétante par rapport à l'année précédente. Loïc Guézo de Proofpoint souligne l'urgence d'améliorer la culture de la sécurité au sein des établissements de santé, en investissant dans la protection des données et en formant le personnel pour mieux réagir face aux incidents.
Sources :
InfoStealers busted : Redline et Meta mis hors ligne par une opération mondiale
Une opération mondiale, soutenue par Eurojust, a permis de démanteler les serveurs de deux infostealers, Redline et Meta, qui ont ciblé des millions de victimes depuis 2020. Cette coalition internationale, impliquant des autorités des Pays-Bas, des États-Unis, de Belgique, du Portugal, du Royaume-Uni et d'Australie, a mis hors service trois serveurs aux Pays-Bas, saisi deux noms de domaine, arrêté deux individus en Belgique et diffusé un message vidéo aux cybercriminels. Les malwares exfiltraient des données sensibles telles que des identifiants, des informations personnelles et des portefeuilles de cryptomonnaies, revendues sur des marchés criminels. L'enquête a été déclenchée par des plaintes de victimes et des alertes de sociétés de cybersécurité, révélant plus de 1 200 serveurs dans le monde. L'opération, réalisée le 28 octobre 2024, a également permis de récupérer une base de données des clients de Redline et Meta, ouvrant la voie à de nouvelles enquêtes. De plus, plusieurs comptes Telegram, utilisés pour proposer ces malwares, ont été mis hors ligne, signalant une réponse efficace des autorités face à l'impunité des criminels sur cette plateforme.
Sources :
- https://www.zataz.com/infostealers-busted-redline-et-meta-mis-hors-ligne-par-une-operation-mondiale/
Un Russe accusé par les États-Unis d'avoir créé le malware de vol d'informations RedLine
Les États-Unis ont porté des accusations contre Maxim Rudometov, un ressortissant russe, soupçonné d'être le développeur et l'administrateur de l'opération RedLine, un des infostealers les plus prolifiques ces dernières années. Ces logiciels malveillants, vendus par abonnement aux cybercriminels, permettent de voler des identifiants et des données financières tout en contournant l'authentification multi-facteurs. Rudometov a été mentionné dans le cadre de l'« Opération Magnus », une initiative internationale de lutte contre la cybercriminalité, qui a récemment perturbé les plateformes RedLine et META. Cette opération, dirigée par la police néerlandaise avec l'aide du FBI et d'Eurojust, a permis de saisir des serveurs et des domaines utilisés pour les opérations de commande et de contrôle. Rudometov fait face à plusieurs accusations, dont la fraude liée aux dispositifs d'accès et le blanchiment d'argent, avec des peines maximales cumulées pouvant atteindre 35 ans de prison. Bien qu'il soit incertain s'il a été arrêté, l'enquête se poursuit. Parallèlement, la société de cybersécurité ESET a lancé un scanner en ligne pour aider les victimes potentielles à détecter les infections par des logiciels malveillants.
Sources :
Des chercheurs découvrent des vulnérabilités dans les modèles d'IA et de machine learning open source
Plus de trois douzaines de vulnérabilités de sécurité ont été révélées dans divers modèles d'intelligence artificielle (IA) et d'apprentissage automatique (AA) open-source, certaines pouvant entraîner une exécution de code à distance et un vol d'informations. Ces failles, identifiées dans des outils tels que ChuanhuChatGPT, Lunary et LocalAI, ont été signalées via la plateforme de bug bounty de Protect AI. Les plus graves concernent Lunary, avec deux vulnérabilités critiques (CVE-2024-7474 et CVE-2024-7475) permettant un accès non autorisé aux données et la mise à jour de configurations sensibles. Une autre vulnérabilité IDOR (CVE-2024-7473) permet à un attaquant de manipuler les requêtes d'autres utilisateurs. ChuanhuChatGPT présente également une faille de traversée de chemin (CVE-2024-5982) pouvant entraîner l'exécution de code arbitraire. LocalAI a été affecté par deux failles, dont une permettant l'exécution de code via un fichier de configuration malveillant (CVE-2024-6983). En parallèle, NVIDIA a publié des correctifs pour des vulnérabilités similaires. Protect AI a également lancé Vulnhuntr, un analyseur de code statique open-source. Enfin, une nouvelle technique de jailbreak exploitant des prompts malveillants a été découverte, permettant de contourner les protections de ChatGPT.
Sources :
Une approche Sherlock Holmes de la cybersécurité : éliminer l'impossible grâce à la validation de l'exposition
L'article met en lumière l'importance de la validation des expositions en cybersécurité, en s'inspirant des méthodes de déduction de Sherlock Holmes. Tout comme Holmes élimine les indices non pertinents pour révéler la vérité, les équipes de sécurité doivent identifier et se concentrer sur les vulnérabilités réellement exploitables, en écartant celles qui ne présentent pas de risques significatifs. La validation des expositions permet de simuler des scénarios d'attaque, transformant les données de vulnérabilité en informations exploitables. Environ 90 % des vulnérabilités sont atténuées par des contrôles existants, tandis que les 100 vulnérabilités restantes représentent un risque élevé pour des actifs critiques. Les outils de validation, tels que la simulation de violation et l'automatisation des tests de pénétration, aident les organisations à tester leurs contrôles de sécurité face aux techniques des attaquants. Le processus de gestion des menaces comprend cinq phases : Scoping, Discovery, Prioritization, Validation et Mobilization. En validant les expositions exploitables, les entreprises peuvent prioriser leurs efforts de remédiation et améliorer leur posture de sécurité. L'article souligne l'importance d'intégrer des plateformes de validation comme celle de Picus Security pour renforcer les défenses contre les menaces évolutives.
Sources :
La police néerlandaise démantèle les voleurs d'informations RedLine et MetaStealer lors de l'opération Magnus
La police nationale néerlandaise, en collaboration avec des partenaires internationaux, a annoncé la disruption des infrastructures de deux voleurs d'informations, RedLine et MetaStealer, lors de l'opération Magnus, le 28 octobre 2024. Cette opération a impliqué des autorités des États-Unis, du Royaume-Uni, de Belgique, du Portugal et d'Australie. Eurojust a indiqué que trois serveurs aux Pays-Bas ont été fermés et deux domaines confisqués, avec plus de 1 200 serveurs utilisés dans plusieurs pays pour faire fonctionner le malware. Un administrateur a été inculpé par les États-Unis et deux personnes arrêtées en Belgique, dont l'une a été libérée. Maxim Rudometov, un des développeurs de RedLine, fait face à des accusations de fraude et de blanchiment d'argent, avec une peine maximale de 35 ans de prison. L'enquête a débuté il y a un an suite à un renseignement d'ESET. Les données saisies comprennent des identifiants, mots de passe et le code source des malwares. Les voleurs d'informations comme RedLine et MetaStealer sont essentiels dans le cybercrime, permettant le vol de données sensibles, souvent distribués sous un modèle de malware-as-a-service (MaaS).
Sources :
Le gouvernement américain publie de nouvelles directives TLP pour le partage de renseignements sur les menaces intersectorielles
Le gouvernement américain a publié de nouvelles directives concernant l'utilisation du Traffic Light Protocol (TLP) pour la gestion des informations sur les menaces partagées entre le secteur privé, les chercheurs et les agences fédérales. Selon ces directives, le gouvernement suit les marquages TLP sur les informations de cybersécurité partagées volontairement, tant qu'ils ne contredisent pas les lois ou politiques existantes. L'objectif est de favoriser la confiance et la collaboration au sein de la communauté de la cybersécurité tout en garantissant un partage contrôlé des informations. Le TLP est un cadre standardisé qui classifie les informations sensibles en quatre couleurs : Rouge, Ambre, Vert et Blanc, chacune déterminant les modalités de partage. Par exemple, TLP:ROUGE interdit toute divulgation sans autorisation explicite, tandis que TLP:CLEAR permet un partage libre. Harry Coker, Jr., directeur national de la cybersécurité, a souligné l'importance de ces directives pour renforcer les partenariats entre le gouvernement et le secteur privé, en mettant en avant le respect des canaux de partage d'informations de confiance. Ces efforts visent à créer un cyberspace sécurisé et à réaliser des aspirations collectives.
Sources :
Le promoteur de la crypto-pyramide Forcount condamné à 20 ans de prison
Juan Tacuri a été condamné pour avoir orchestré une escroquerie mondiale via le programme Forcount, promettant de doubler les investissements en six mois. En réalité, Forcount ne minait ni ne négociait de cryptomonnaies, mais fonctionnait comme une pyramide de Ponzi, où les fonds des nouveaux investisseurs servaient à payer les anciens. Cette fraude a causé des pertes financières massives à des milliers de victimes, principalement dans la communauté hispanique aux États-Unis. Tacuri, en tant que visage public de l'escroquerie, a su séduire les investisseurs en leur promettant des gains rapides dans un marché volatile. Lorsque le flux de nouveaux investisseurs a diminué, le système s'est effondré, révélant la supercherie. En juin 2024, Tacuri a plaidé coupable et a été condamné à rembourser plus de 3 millions de dollars, en plus de perdre sa maison en Floride, acquise avec l'argent volé. Cette affaire illustre les dangers des investissements dans les cryptomonnaies, un secteur encore peu régulé, où les escroqueries prospèrent. Les autorités intensifient leurs efforts pour traquer ces fraudes, mais les investisseurs doivent rester prudents face aux promesses de gains rapides.
Sources :
De nouvelles recherches révèlent que la vulnérabilité Spectre persiste dans les derniers processeurs AMD et Intel
Plus de six ans après la découverte de la faille de sécurité Spectre, de nouvelles recherches montrent que les derniers processeurs AMD et Intel restent vulnérables aux attaques par exécution spéculative. Les chercheurs de l'ETH Zürich, Johannes Wikner et Kaveh Razavi, ont révélé que ces attaques contournent la Barrière de Prédiction de Branche Indirecte (IBPB), une mesure de sécurité essentielle. L'exécution spéculative, qui optimise les performances des CPU modernes, peut exposer des données sensibles à des attaquants via des instructions transitoires, même si ces instructions ne sont pas enregistrées dans l'état architectural du programme. Les chercheurs ont identifié un bug de microcode dans les architectures Intel, permettant de contourner l'IBPB, ce qui constitue la première fuite pratique de Spectre inter-processus. De plus, une vulnérabilité similaire a été découverte dans la variante d'IBPB d'AMD, entraînant une attaque nommée Post-Barrier Inception. Intel a publié un correctif pour cette vulnérabilité (CVE-2023-38575), tandis qu'AMD suit la sienne sous CVE-2022-23824. Les utilisateurs sont conseillés de mettre à jour leur microcode et leurs noyaux respectifs. Parallèlement, des techniques d'attaque RowHammer, comme ZenHammer et SpyHammer, ont été détaillées, compromettant la sécurité et la vie privée des systèmes.
Sources :
Un graphiste français jugé pour des abus sur mineurs : il achetait des lives streaming violent !
Un graphiste français de 59 ans, connu pour son travail sur des films d'animation emblématiques tels que « Ratatouille » et « Les Indestructibles », est jugé à Paris pour des abus sur mineurs. Accusé d'avoir payé pour des « live streaming » d'actes violents sur des enfants, il fait face à des charges graves, notamment de complicité d'abus sur mineurs et de traite d'êtres humains. Les investigations, menées par Interpol et Europol, ont révélé qu'il avait transféré 50 000 euros vers les Philippines, un pays associé à des cas de violence en direct. Les vidéos commandées impliquaient des actes de violence sur des filles âgées de 3 à 15 ans, souvent perpétrés par leurs propres parents en échange d'argent. Le nombre d'abus est estimé à plus de mille. Ce n'est pas la première fois que le graphiste se retrouve devant la justice, ayant déjà été condamné pour agression sur la fille d'une ancienne compagne. Le procès, qui se déroule jusqu'au 31 octobre, suscite une vive émotion dans le milieu du cinéma d'animation, remettant en question la sécurité des enfants dans l'industrie.
Sources :
Les services de renseignement britanniques s’allient pour protéger toutes les écoles du Royaume-Uni contre les cyberattaques
Les services de renseignement britanniques ont lancé le « Protective Domain Name System » (PDNS for Schools), un nouveau service de cybersécurité gratuit destiné à toutes les écoles du Royaume-Uni. Face à la montée des cyberattaques, notamment des ransomwares, ce dispositif vise à protéger les établissements scolaires, souvent en proie à des contraintes budgétaires et à un manque de ressources pour sécuriser leurs systèmes. Le PDNS, basé sur une technologie déjà utilisée par des entités critiques comme le gouvernement et les services d’urgence, bloque l’accès aux sites malveillants avant qu’ils ne causent des dommages. En collaboration avec Cloudflare et Accenture, le National Cyber Security Centre (NCSC) met en place une protection avancée, capable de réagir rapidement aux menaces émergentes. Lorsqu’un domaine dangereux est identifié, il peut être bloqué en seulement 30 minutes, limitant ainsi les risques pour les écoles. Cette initiative arrive à un moment crucial, car les cyberattaques ont déjà perturbé l’éducation et coûté des millions de livres en ressources pour rétablir les systèmes compromis, entraînant même la fermeture temporaire de certains établissements. Le PDNS for Schools représente donc une avancée significative pour la cybersécurité dans le secteur éducatif.
Sources :
Un nouvel outil contourne le nouveau système de cryptage des cookies de Google Chrome
Un chercheur en cybersécurité, Alexander Hagenah, a développé un outil permettant de contourner le système de cryptage des cookies de Google Chrome, nommé 'Chrome-App-Bound-Encryption-Decryption'. Cet outil, rendu public sur GitHub, permet d'extraire des informations sensibles stockées dans le navigateur, comme des identifiants et des mots de passe. Bien que Google ait introduit ce système de cryptage pour protéger les données des utilisateurs contre les malwares voleurs d'informations, plusieurs opérations de vol de données ont déjà trouvé des moyens de contourner cette protection. Google a reconnu que la lutte entre les développeurs de malwares et ses ingénieurs était attendue et qu'ils n'avaient jamais pensé que leurs mécanismes de défense seraient infaillibles. Malgré l'exigence de privilèges administratifs pour utiliser l'outil de Hagenah, cela n'a pas freiné les opérations de vol d'informations, qui se sont intensifiées ces derniers mois. Les chercheurs affirment que la méthode de Hagenah est désormais dépassée par des techniques plus avancées utilisées par les voleurs de données. Google a réagi en soulignant que l'élévation des privilèges nécessaires pour ces attaques montre une amélioration de la sécurité, mais cela n'a pas suffi à empêcher les cybercriminels de cibler les utilisateurs.
Sources :
Exchange Online ajoute Inbound DANE avec DNSSEC pour tout le monde
Microsoft a annoncé aujourd'hui la disponibilité générale de la fonctionnalité Inbound SMTP DANE avec DNSSEC pour Exchange Online, visant à renforcer la sécurité et l'intégrité des emails. Initialement prévue pour un déploiement public entre mars et juillet 2024, cette fonctionnalité a été retardée en raison d'investissements de sécurité nécessaires identifiés lors de la phase de prévisualisation privée. Désormais, elle est accessible gratuitement aux clients particuliers et professionnels, avec une activation déjà effectuée pour certains domaines Outlook. La mise en œuvre complète pour tous les domaines Outlook et Hotmail est attendue d'ici fin 2024. Cette nouvelle capacité complète le support de SMTP DANE avec DNSSEC pour les envois, déjà en place depuis mars 2022. Le calendrier de déploiement indique que d'ici mars 2025, tous les domaines Outlook et Hotmail pour les consommateurs bénéficieront de cette sécurité. DANE et DNSSEC protègent contre les attaques de type downgrade et man-in-the-middle (MiTM) en vérifiant l'authenticité des certificats et l'identité des serveurs de messagerie. Une fois activée, cette fonctionnalité garantira que les emails sont envoyés de manière sécurisée et sans interception.
Sources :
La Russie cible les conscrits ukrainiens avec des malwares pour Windows et Android
Une campagne d'espionnage hybride menée par le groupe de menace russe 'UNC5812' a été révélée, ciblant les recrues militaires ukrainiennes avec des malwares pour Windows et Android. Selon les informations de Google, cette campagne se présente sous l'identité d'une fausse organisation de "Défense Civile", utilisant un site web et un canal Telegram pour distribuer un malware via une application fictive de contournement de recrutement appelée "Sunspinner". Ce logiciel malveillant permet aux attaquants de voler des données et d'espionner en temps réel. Bien que Google ait mis en place des protections pour bloquer ces activités, l'opération souligne les capacités étendues de la Russie dans la cyberguerre. Le faux personnage de "Défense Civile" ne tente pas d'imiter les agences gouvernementales ukrainiennes, mais se présente comme une organisation amicale fournissant des outils utiles aux conscrits. Les utilisateurs, dupés, sont dirigés vers une page de téléchargement d'une application malveillante prétendant aider à éviter les recruteurs. Sur Windows, le malware 'PureStealer' cible des informations sensibles, tandis que sur Android, 'CraxsRAT' permet un suivi en temps réel et l'accès à des données personnelles. Google a renforcé ses protections pour contrer cette menace.
Sources :
Une vulnérabilité d'informations d'identification codées en dur a été découverte dans Kubernetes Image Builder
Une vulnérabilité critique a été corrigée avec la dernière version de Kubernetes Image Builder, v0.1.38. Identifiée sous le code CVE-2024-9486, cette faille était due à des identifiants codés en dur, permettant un accès non autorisé aux nœuds utilisant des images construites avec le fournisseur Proxmox. Les versions v0.1.37 et antérieures étaient concernées, exposant les machines virtuelles (VM) à un accès root par un adversaire. La vulnérabilité a été signalée par le chercheur en sécurité Nicolai Rybnikar et a reçu une note de gravité critique avec un score CVSS de 9.8. Pour remédier à cette faille, Kubernetes recommande aux utilisateurs de reconstruire leurs images avec la version corrigée et de les déployer sur les VM. En outre, la même version a également corrigé une autre vulnérabilité, CVE-2024-9594, de gravité moyenne (CVSS 6.3), affectant les images construites avec d'autres fournisseurs comme Nutanix ou QEMU. Les utilisateurs doivent mettre à jour vers la version 0.1.38 ou ultérieure pour bénéficier des correctifs. Si une mise à jour immédiate n'est pas possible, il est conseillé de désactiver le compte builder sur les VM concernées.
Sources :
Free, deuxième fournisseur d'accès Internet français, confirme une fuite de données
Free, le deuxième plus grand fournisseur d'accès à Internet en France, a confirmé une violation de données après qu'un groupe de hackers a accédé à ses systèmes et volé des informations personnelles de clients. Avec plus de 22,9 millions d'abonnés, Free a déposé une plainte pénale et informé la CNIL ainsi que l'ANSSI de l'incident. Selon un porte-parole, les abonnés touchés seront informés par email, et aucune perturbation des services n'a été constatée. L'attaque a ciblé un outil de gestion, exposant les données des abonnés, mais les mots de passe, informations bancaires et contenus de communication n'ont pas été compromis. Le hacker, connu sous le nom de "drussellx", affirme que la violation concerne 19,2 millions de clients, incluant plus de 5,11 millions de numéros IBAN, et met en vente ces données sur BreachForums. Free a précisé que les IBAN volés ne permettent pas de prélèvements directs. L'entreprise conseille à ses abonnés de rester vigilants face aux tentatives de phishing et de signaler toute anomalie à leur banque. Les détails sur la détection de l'incident et le nombre exact de clients affectés restent à préciser.
Sources :
Des pirates informatiques chinois utilisent la boîte à outils CloudScout pour voler les cookies de session des services cloud
Un acteur de menace lié à la Chine, connu sous le nom d'Evasive Panda, a ciblé une entité gouvernementale et une organisation religieuse à Taïwan, les infectant avec un nouvel outil post-compromission appelé CloudScout. Ce dernier, développé en .NET, permet de récupérer des données à partir de divers services cloud en exploitant des cookies de session volés. Détecté entre mai 2022 et février 2023, CloudScout comprend dix modules, dont trois sont spécifiquement conçus pour dérober des données de Google Drive, Gmail et Outlook. Evasive Panda, également connu sous d'autres noms, est un groupe de cyberespionnage actif à Taïwan et Hong Kong, reconnu pour ses attaques de type watering hole et de chaîne d'approvisionnement. Les modules de CloudScout, intégrés à MgBot, utilisent une technique de vol de cookies pour accéder de manière non autorisée aux services ciblés. Les données collectées sont ensuite compressées pour être exfiltrées. Cependant, de nouvelles mesures de sécurité mises en place par Google pourraient rendre ce type de malware obsolète. Parallèlement, le Canada a accusé un acteur étatique sophistiqué de mener des efforts de reconnaissance contre plusieurs de ses institutions.
