Infrastructures critiques : les ransomwares dominent les menaces de 2024 - Actus du 06/11/2024
Découvrez comment le malware Winos 4.0 cible les gamers, les implications globales de la réélection de Trump, et les étapes essentielles pour intégrer le CTEM dans votre budget 2025. Ne manquez pas ces enjeux critiques pour l'avenir du numérique et de la planète!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Le nouveau malware Winos 4.0 infecte les joueurs via des applications malveillantes d'optimisation de jeu
Des chercheurs en cybersécurité mettent en garde contre un cadre de commande et de contrôle (C&C) nommé Winos, qui se propage via des applications liées aux jeux, telles que des outils d'installation et des optimiseurs. Selon Fortinet FortiGuard Labs, Winos 4.0 est un cadre malveillant avancé, dérivé de Gh0st RAT, offrant une architecture stable et un contrôle efficace sur de nombreux points de terminaison en ligne. Des campagnes de distribution de Winos 4.0 ont été observées depuis juin, ciblant principalement des utilisateurs parlant chinois, en utilisant des techniques de référencement malveillant et des plateformes de messagerie comme Telegram. L'infection commence lorsque l'utilisateur exécute une application de jeu malveillante, déclenchant un processus d'infection en plusieurs étapes. Cela inclut le téléchargement d'un fichier DLL à partir d'un serveur distant, qui met en place un environnement d'exécution et télécharge d'autres fichiers malveillants. Winos 4.0 permet de collecter des informations système, de copier le contenu du presse-papiers et d'extraire des données de portefeuilles de cryptomonnaie. Ce cadre puissant, similaire à Cobalt Strike, exploite des applications de jeux pour inciter les victimes à télécharger le malware sans méfiance, permettant ainsi un contrôle profond du système compromis.
Sources :
9 enjeux critiques pour la planète après la réélection de Donald Trump à la Maison-Blanche
Le retour de Donald Trump à la présidence redéfinit les enjeux mondiaux pour les quatre prochaines années, avec des implications encore incertaines. Son approche isolationniste pourrait séduire Moscou, tandis que son style transactionnel pourrait influencer ses relations internationales. Sur le plan environnemental, Trump, climatosceptique avéré, pourrait renverser les avancées de Joe Biden en matière de climat et prendre la tête d'une coalition anti-climat au sein des instances internationales. En matière de santé, il envisage de nommer Robert F. Kennedy Jr, connu pour ses théories du complot sur les vaccins, à un poste clé dans son administration, ce qui pourrait entraîner une dérégulation significative. Par ailleurs, Trump semble prêt à adopter une attitude plus clémente envers TikTok pour contrarier Facebook, tout en soutenant potentiellement X (ex-Twitter) face aux régulations européennes. Le président ukrainien a tenté de nouer des liens avec Trump, conscient qu'il n'y aura plus de figures modératrices pour guider ses décisions. Ce retour au pouvoir de Trump pourrait ainsi engendrer des changements radicaux tant sur le plan national qu'international, avec des conséquences à long terme encore difficiles à anticiper.
Sources :
9 étapes pour intégrer le CTEM à votre budget 2025
Chaque année, chaque département présente un projet jugé essentiel à la rentabilité et à la continuité des affaires. Cependant, pour les professionnels de la cybersécurité, la mise en œuvre d'un programme de gestion continue de l'exposition aux menaces (CTEM) est réellement cruciale. Les investissements en cybersécurité sont souvent difficiles à justifier budgétairement, mais le CTEM permet aux équipes de sécurité de cibler les menaces spécifiques à leur organisation. En adoptant le CTEM, les entreprises améliorent leur capacité à anticiper les risques, à se protéger contre les menaces cybernétiques et à éviter des violations coûteuses. Ce programme offre une visibilité continue sur la surface d'attaque d'une organisation, permettant l'identification en temps réel des nouvelles vulnérabilités. Il va au-delà des simples scores de vulnérabilité en fournissant une priorisation contextuelle, prenant en compte la criticité des actifs et les tendances des menaces. De plus, le CTEM favorise la collaboration entre les équipes de sécurité et IT, tout en réduisant les coûts liés aux violations de sécurité. En investissant dans le CTEM, les entreprises ne protègent pas seulement leurs actifs, mais renforcent également leur résilience et leur stabilité à long terme.
Sources :
Cybersécurité en Europe : NIS 2 impose un changement de cap
Depuis son entrée en vigueur en 2018, le RGPD a profondément influencé la protection des données personnelles, tant en Europe qu'à l'échelle mondiale. La directive NIS 2, qui élargit le champ d'application à plus de 10 000 entités essentielles en France et 150 000 en Europe, représente un défi majeur pour la conformité, notamment pour les PME souvent limitées en ressources. Cette directive inclut des secteurs stratégiques comme la santé et les télécommunications, soulignant l'interconnexion croissante des infrastructures et les risques cybernétiques associés. Les entreprises doivent adopter une approche proactive en matière de cybersécurité, intégrant la prévention des risques dans leur stratégie. Cela nécessite l'innovation technologique pour anticiper les menaces et évaluer les vulnérabilités en temps réel. Toutefois, la mise en conformité avec NIS 2 exige une gestion rigoureuse des conformités nationales, surtout pour celles opérant dans plusieurs pays. Une coopération internationale est essentielle pour faire face aux cybermenaces, qui transcendent les frontières. Les organisations doivent aller au-delà d'une simple conformité réglementaire et adopter une vision globale des risques pour assurer la résilience de l'économie numérique en Europe et au-delà.
Sources :
Top 2024 des cybermenaces : Les infrastructures critiques sous l’assaut croissant des ransomwares
OpenText a publié son classement des cybermenaces pour 2024, mettant en avant les ransomwares qui ciblent les infrastructures critiques. Pour la septième année consécutive, les experts en cybersécurité d'OpenText ont identifié les logiciels malveillants les plus redoutables, avec une attention particulière sur LockBit, qui a été impliqué dans 175 attaques contre des infrastructures stratégiques. Ce ransomware, qui opère comme un service, reste en tête malgré les efforts du FBI pour le neutraliser. Le rapport souligne également l'augmentation des attaques de ransomwares, alimentées par l'utilisation croissante de l'intelligence artificielle par les cybercriminels, ce qui représente une menace significative pour la sécurité nationale. D'autres ransomwares notables incluent Akira, RansomHub, Dark Angels et Play Ransomware, chacun ayant ses propres tactiques et cibles. Muhi Majzoub d'OpenText a noté que l'intérêt croissant pour la cybersécurité est encourageant, car de plus en plus d'organisations investissent dans la protection de leurs services essentiels. Pour approfondir ces résultats, OpenText propose des ressources telles qu'un webinar et une infographie sur les menaces émergentes.
Sources :
INTERPOL perturbe plus de 22 000 serveurs malveillants dans le cadre d'une répression mondiale contre la cybercriminalité
INTERPOL a annoncé mardi avoir démantelé plus de 22 000 serveurs malveillants dans le cadre d'une opération mondiale, nommée Synergia II, qui s'est déroulée du 1er avril au 31 août 2024. Cette initiative visait à cibler les infrastructures liées au phishing, aux ransomwares et aux voleurs d'informations. Sur environ 30 000 adresses IP suspectes identifiées, 76 % ont été supprimées et 59 serveurs saisis. En outre, 43 appareils électroniques, tels que des ordinateurs portables et des téléphones, ont été confisqués. L'opération a également conduit à l'arrestation de 41 personnes, tandis que 65 autres font l'objet d'une enquête. Parmi les résultats notables, la police de Hong Kong a démantelé plus de 1 037 serveurs, tandis qu'en Mongolie, un serveur a été saisi et 93 individus liés à des activités cybercriminelles ont été identifiés. D'autres actions ont eu lieu à Madagascar et en Estonie, où plus de 80 Go de données ont été saisis. Group-IB, partenaire du secteur privé, a identifié plus de 2 500 adresses IP associées à 5 000 sites de phishing. La première phase de Synergia avait déjà permis 31 arrestations et l'identification de 1 300 adresses IP suspectes.
Sources :
La Corée du Sud inflige une amende de 15,67 millions de dollars à Meta pour avoir partagé illégalement des données sensibles d'utilisateurs avec des annonceurs
Meta a été condamné à une amende de 21,62 milliards de wons (15,67 millions de dollars) par l'autorité sud-coréenne de protection des données pour avoir collecté illégalement des informations personnelles sensibles de ses utilisateurs Facebook. La Commission de protection des informations personnelles (PIPC) a révélé que Meta avait recueilli des données sur les affiliations religieuses, les opinions politiques et l'orientation sexuelle d'environ 980 000 utilisateurs sud-coréens, qu'elle a ensuite partagées avec 4 000 annonceurs sans consentement. La PIPC a précisé que Meta avait analysé des informations comportementales, telles que les pages aimées et les publicités cliquées, pour créer des catégories publicitaires liées à des informations sensibles. L'agence a accusé Meta de traiter ces données sans base légale adéquate et de ne pas avoir obtenu le consentement des utilisateurs. De plus, elle a critiqué le géant technologique pour son manque de mesures de sécurité concernant les comptes inactifs, permettant à des acteurs malveillants de demander des réinitialisations de mot de passe avec de fausses identifications, entraînant la fuite d'informations personnelles de 10 utilisateurs sud-coréens. La PIPC a annoncé qu'elle continuerait à surveiller la conformité de Meta à ses ordres correctifs. Meta a déclaré qu'il examinerait attentivement la décision de la commission.
Sources :
Google Cloud va imposer l'authentification multifacteur à tous les utilisateurs d'ici 2025
La division cloud de Google a annoncé l'instauration obligatoire de l'authentification multi-facteurs (MFA) pour tous les utilisateurs d'ici fin 2025, dans le but d'améliorer la sécurité des comptes. Mayank Upadhyay, vice-président de l'ingénierie chez Google Cloud, a précisé que cette mise en œuvre se fera en trois phases. La première phase, débutant en novembre 2024, fournira des informations aux administrateurs pour préparer cette mise à niveau de sécurité. La deuxième phase, prévue pour début 2025, imposera la MFA pour tous les utilisateurs de Google Cloud se connectant avec un mot de passe. Enfin, la troisième phase, à la fin de 2025, étendra la MFA aux utilisateurs fédérés. Google collaborera avec les fournisseurs d'identité pour garantir une transition fluide. Cette initiative survient alors que le phishing et le vol de données demeurent des méthodes courantes pour accéder illégalement aux réseaux informatiques. D'autres entreprises, comme Amazon et Microsoft, ont également commencé à imposer la MFA. Cette annonce fait suite à une campagne de violation de données chez Snowflake, où des informations de plus de 165 clients ont été compromises, entraînant l'arrestation de suspects liés à ce vol.
Sources :
Google Cloud rendra l'authentification multifacteur obligatoire d'ici fin 2025
Google a annoncé que l'authentification multi-facteurs (MFA) deviendra obligatoire pour tous les comptes Google Cloud d'ici fin 2025, dans le but de renforcer la sécurité. Cette mesure concernera les administrateurs et les utilisateurs ayant accès aux services Google Cloud, mais pas les comptes Google grand public. Le déploiement de la MFA se fera en trois phases : la première phase, qui commence ce mois-ci, incitera les utilisateurs n'ayant pas encore activé la MFA à le faire via des rappels sur leur écran de console. Environ 30 % des utilisateurs de Cloud sont concernés, les autres ayant déjà activé cette sécurité. La deuxième phase débutera début 2025, où tous les utilisateurs existants et nouveaux recevront des notifications pour activer la MFA. Enfin, la MFA sera rendue obligatoire pour tous les utilisateurs de Google Cloud d'ici la fin de 2025. Google souligne que cette exigence vise à protéger les comptes contre des menaces de plus en plus sophistiquées, citant des recherches montrant que la MFA réduit de 99 % le risque de piratage. Des options de MFA conviviales, comme les clés d'accès utilisant des données biométriques, seront également mises à disposition pour faciliter cette transition.
Sources :
Interpol perturbe une activité de cybercriminalité sur 22 000 adresses IP et arrête 41 personnes
Interpol a annoncé l'arrestation de 41 individus et la neutralisation de 1 037 serveurs sur 22 000 adresses IP impliquées dans des activités criminelles en ligne lors de l'opération Synergia II, menée entre avril et août 2024 dans 95 pays. Cette opération a ciblé divers crimes, notamment le ransomware, le phishing et le vol d'informations. Grâce à des renseignements fournis par des entreprises de cybersécurité telles que Group-IB et Kaspersky, plus de 30 000 adresses IP suspectes ont été identifiées, dont environ 76 % ont été prises hors ligne. Les autorités ont également saisi 59 serveurs et 43 appareils électroniques pour analyse. En plus des 41 arrestations, 65 autres personnes sont sous enquête pour des activités illicites. Des actions notables ont eu lieu à Hong Kong, en Mongolie, à Macao, à Madagascar et en Estonie, où des données cruciales ont été récupérées. Interpol souligne que la nature mondiale de la cybercriminalité nécessite une réponse collective, et que des menaces telles que le phishing et le ransomware sont en forte augmentation, rendant cette opération essentielle pour protéger les victimes potentielles.
Sources :
Le FBI sollicite l'aide du public pour identifier les pirates informatiques chinois à l'origine des cyber-intrusions mondiales
Un groupe de menaces persistantes avancées (APT) aurait développé et déployé un malware (CVE-2020-12271) dans le cadre d'intrusions informatiques visant à exfiltrer des données sensibles de pare-feu à l'échelle mondiale. Cette activité malveillante, nommée Pacific Rim, a été attribuée à plusieurs groupes soutenus par l'État chinois, tels qu'APT31 et APT41, et a ciblé des infrastructures critiques et des installations gouvernementales principalement en Asie du Sud et du Sud-Est depuis 2018. À partir de 2021, les attaques sont devenues plus ciblées, visant des entités spécifiques comme des agences gouvernementales et des organisations de santé. Les attaquants ont utilisé des malwares sophistiqués, tels que Pygmy Goat, un rootkit permettant un accès à distance persistant. Ce rootkit a été observé sur des dispositifs gouvernementaux et militaires en Asie, exploitant des vulnérabilités comme CVE-2022-1040. Sophos a contré ces campagnes en déployant un implant sur des appareils des acteurs chinois pour mener des recherches sur des exploits malveillants. Parallèlement, le Centre canadien de cybersécurité a signalé que des réseaux gouvernementaux canadiens avaient été compromis par des hackers chinois, visant à collecter des informations stratégiques et à soutenir des missions de répression transnationale.
Sources :
Les États-Unis mettent en garde contre des opérations d'influence de dernière minute menées par l'Iran et la Russie lors des élections
La Cybersecurity & Infrastructure Security Agency (CISA) des États-Unis a émis un avertissement concernant des opérations d'influence de dernière minute menées par des acteurs iraniens et russes, visant à saper la confiance du public dans l'intégrité des élections présidentielles à venir. Dans une déclaration conjointe avec le Bureau du directeur du renseignement national (ODNI) et le FBI, l'agence souligne la propagation de fausses informations par ces acteurs. Les opérations russes se concentrent sur les États clés, diffusant des articles et vidéos prétendant que des fraudes électorales, comme le bourrage d'urnes, sont en préparation. Un faux entretien sur la fraude électorale en Arizona a également été promu. CISA indique que ces acteurs cherchent à instiller la peur et à suggérer des violences entre Américains. L'Iran, bien que moins actif, utilise également des médias fabriqués pour diminuer la participation électorale. Par ailleurs, le FBI a signalé des vidéos falsifiées utilisant son nom pour diffuser de fausses narrations sur les élections. Malgré ces menaces, CISA assure que la sécurité du processus électoral ne sera pas compromise et soutient les responsables électoraux locaux dans la gestion des problèmes opérationnels.
