Interpol adopte le terme « appât romantique » pour remplacer « dépeçage de porcs » - Actus du 18/12/2024
Interpol adopte « appât romantique » au lieu de « dépeçage de porcs ». Pendant ce temps, HubPhish cible 20 000 utilisateurs HubSpot en Europe, et BeyondTrust déploie un correctif crucial pour sécuriser ses produits PRA et RS. Découvrez ces actualités cyber cruciales !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Interpol remplace le terme déshumanisant de « dépeçage de porcs » par « appât romantique »
Interpol a décidé de remplacer le terme déshumanisant "Pig Butchering" par "Romance Baiting" pour désigner les escroqueries en ligne basées sur des relations et des investissements. Ce changement vise à réduire la stigmatisation des victimes, souvent décrites comme des "cochons" à engraisser avant d'être "abattus". Ces escroqueries impliquent des arnaqueurs qui établissent une fausse amitié ou une relation romantique sur les réseaux sociaux, dans le but de convaincre leurs cibles de leur prêter de l'argent ou d'investir dans des projets frauduleux, souvent liés aux cryptomonnaies. Une fois que les victimes ont investi, les escrocs disparaissent avec les fonds. Le rapport 2023 du FBI a révélé une augmentation de 38 % des fraudes d'investissement, atteignant 4,57 milliards de dollars. Interpol souligne que le terme "Pig Butchering" déshumanise les victimes et les dissuade de signaler les crimes. En revanche, "Romance Baiting" met l'accent sur les tactiques manipulatrices des escrocs, encourageant ainsi les victimes à se manifester sans crainte de jugement. Ce changement s'inscrit dans une initiative plus large visant à améliorer le soutien aux victimes et à faciliter le partage d'informations avec les autorités.
Sources :
HubPhish exploite les outils HubSpot pour cibler 20 000 utilisateurs européens et les voler
Des chercheurs en cybersécurité ont révélé une nouvelle campagne de phishing, nommée HubPhish par Palo Alto Networks Unit 42, visant des entreprises européennes pour voler des identifiants de compte et contrôler leur infrastructure cloud Microsoft Azure. Cette campagne a ciblé au moins 20 000 utilisateurs dans les secteurs automobile, chimique et de la fabrication de composés industriels. Les tentatives de phishing ont culminé en juin 2024, utilisant des formulaires frauduleux créés avec le service HubSpot Free Form Builder. Les attaquants ont envoyé des emails trompeurs, se faisant passer pour Docusign, incitant les destinataires à consulter un document, ce qui les redirigeait vers des liens malveillants. Unit 42 a identifié 17 formulaires actifs redirigeant vers des domaines contrôlés par les attaquants, souvent hébergés sur le domaine de premier niveau ".buzz". Après avoir accédé avec succès à un compte, les attaquants ajoutent un nouvel appareil pour maintenir leur contrôle. Parallèlement, d'autres attaques de phishing exploitent des services légitimes comme Google Calendar pour contourner les mesures de sécurité par email. Les utilisateurs sont conseillés d'activer le paramètre "expéditeurs connus" dans Google Calendar pour se protéger contre ces attaques.
Sources :
BeyondTrust publie un correctif urgent pour une vulnérabilité critique dans les produits PRA et RS
BeyondTrust a révélé une vulnérabilité critique dans ses produits Privileged Remote Access (PRA) et Remote Support (RS), susceptible de permettre l'exécution de commandes arbitraires. Cette faille, identifiée sous le code CVE-2024-12356 avec un score CVSS de 9.8, est une injection de commande qui pourrait être exploitée par un attaquant non authentifié. En envoyant une requête malveillante, un attaquant pourrait exécuter des commandes dans le contexte d'un utilisateur du site. Les versions affectées incluent PRA et RS jusqu'à la version 24.3.1, avec des correctifs disponibles dans les mises à jour BT24-10-ONPREM1 et BT24-10-ONPREM2. Un correctif a été appliqué aux instances cloud depuis le 16 décembre 2024, et les utilisateurs des versions sur site sont encouragés à mettre à jour s'ils ne bénéficient pas de mises à jour automatiques. Cette vulnérabilité a été découverte lors d'une enquête forensique suite à un incident de sécurité survenu le 2 décembre 2024, impliquant un nombre limité de clients de Remote Support SaaS. BeyondTrust collabore avec une entreprise de cybersécurité pour évaluer l'impact de cette compromission.
Sources :
Pas votre ancien ActiveState : Présentation de notre plateforme de système d'exploitation de bout en bout
L'article aborde la gestion des logiciels open source à grande échelle, soulignant les risques associés à leur utilisation dans les entreprises, notamment en raison de l'absence de processus de sélection et d'approvisionnement. Avec l'utilisation croissante de réseaux domestiques et de VPN moins sécurisés, les entreprises sont exposées à des vulnérabilités dans leur chaîne d'approvisionnement en logiciels open source. Il est crucial pour les entreprises de comprendre l'origine du code open source qu'elles intègrent, afin de prévenir les attaques potentielles. Pour améliorer la visibilité et le contrôle sur leur code, les entreprises doivent adopter un cycle de gestion en quatre étapes, incluant l'identification des risques, la remédiation et la gestion des changements. Cela implique d'établir des politiques de gouvernance et de gérer les dépendances dans les environnements de production et de développement. L'article présente également une plateforme qui aide les entreprises à gérer efficacement leur open source, en offrant des outils pour la découverte, l'intégration continue, la gestion des politiques et la conformité réglementaire. En fin de compte, l'objectif est de renforcer la sécurité tout en soutenant l'écosystème open source.
Sources :
Kaspersky signale une hausse de 135 % en demande en crypto-drainers sur le Dark Web
En 2024, Kaspersky Digital Footprint Intelligence a observé une hausse significative de l'intérêt pour les crypto-drainers sur le Dark Web. Ces logiciels malveillants, apparus il y a trois ans, incitent les victimes à effectuer des transactions frauduleuses pour siphonner des fonds de leurs portefeuilles de crypto-monnaies. Les méthodes utilisées incluent des airdrops frauduleux, des sites de phishing et des publicités trompeuses. Alexander Zabrovsky, expert en sécurité chez Kaspersky, souligne que cette tendance devrait se poursuivre en 2025, rendant la vigilance des utilisateurs de crypto-monnaies plus cruciale que jamais. Les cybercriminels exploitent souvent des techniques d'ingénierie sociale pour tromper les victimes. Kaspersky recommande une surveillance proactive des mentions d'entreprises sur le Dark Web pour prévenir les incidents. En outre, les experts prévoient une augmentation des fuites de données, notamment dues aux attaques sur les sous-traitants. D'autres tendances incluent la migration des cybercriminels de Telegram vers des forums clandestins, la fragmentation des groupes de ransomwares, et une montée des menaces au Moyen-Orient. Kaspersky a également élaboré un manuel pour aider les entreprises à gérer leur présence sur le Dark Web.
Sources :
Les pirates informatiques d'APT29 ciblent des victimes de grande valeur à l'aide de serveurs RDP malveillants et de PyRDP
Le groupe de menaces APT29, lié à la Russie, a été observé en train de réutiliser une méthodologie d'attaque de red teaming pour mener des cyberattaques via des fichiers de configuration RDP malveillants. Cette technique, appelée "rogue RDP", cible des entités gouvernementales, des forces armées, des think tanks, des chercheurs académiques et des organisations ukrainiennes. Selon Trend Micro, cette méthode permet à un attaquant de prendre partiellement le contrôle d'un ordinateur victime, entraînant des fuites de données et l'installation de logiciels malveillants. Les campagnes RDP ont été signalées par plusieurs entités, dont CERT-UA et Microsoft, avec des attaques par spear-phishing visant environ 200 victimes en une journée. Les attaquants utilisent un projet open-source, PyRDP, pour masquer leurs activités en redirigeant les connexions RDP vers un serveur malveillant. Ce serveur imite un RDP légitime, permettant aux attaquants d'exécuter des scripts malveillants et d'exfiltrer des données sensibles sans déployer de malware personnalisé. De plus, ils utilisent des couches d'anonymisation comme des nœuds de sortie TOR pour contrôler les serveurs RDP, facilitant ainsi leurs opérations d'espionnage.
Sources :
SEUL Cynet offre une protection à 100 % et une visibilité de détection à 100 % dans l'évaluation MITRE ATT&CK 2024
Dans le domaine de la cybersécurité, les PME et les fournisseurs de services gérés (MSP) se concentrent sur le maintien de la continuité des environnements informatiques. Pour se prémunir contre les menaces cybernétiques, il est essentiel de comprendre le paysage actuel des fournisseurs de cybersécurité et d'évaluer en permanence l'efficacité des solutions disponibles. Les résultats de l'évaluation MITRE ATT&CK 2024, une référence reconnue pour évaluer les solutions de sécurité, sont désormais disponibles. Cynet, avec son PDG Eyal Gruner, a atteint des résultats remarquables, affichant 100 % de visibilité de détection et 100 % de protection, confirmant l'efficacité de sa plateforme de cybersécurité tout-en-un. Cette performance est d'autant plus significative après les succès de 2023. L'évaluation MITRE, qui simule des attaques dans un environnement contrôlé, permet de tester les solutions de manière impartiale. Cynet a réussi à détecter 100 % des attaques sur divers systèmes d'exploitation, devenant ainsi le seul fournisseur à atteindre 100 % de prévention. Choisir le bon partenaire en cybersécurité est crucial pour assurer la meilleure protection possible, et les résultats de 2024 renforcent la position de Cynet comme solution privilégiée pour les PME et MSP en pleine croissance.
Sources :
Un hacker explique comment il peut éviter les PV avec une plaque d’immatriculation numérique
Un hacker éthique, Josep Rodriguez, a récemment démontré la vulnérabilité des plaques d'immatriculation numériques, actuellement utilisées dans certains États américains comme la Californie et l'Arizona. Ces plaques, conçues pour remplacer les modèles métalliques traditionnels, sont censées être sécurisées selon leur fabricant, Reviver. Cependant, Rodriguez a prouvé qu'il était possible de prendre le contrôle de ces dispositifs en manipulant leur circuit électronique. En utilisant une méthode appelée « injection de défauts », il a pu contourner les protections et installer un logiciel personnalisé, permettant ainsi de modifier les numéros de plaques. Cela ouvre la porte à de nombreux abus, comme éviter des radars ou transférer des contraventions à des propriétaires innocents. La vulnérabilité réside dans les puces des plaques, rendant toute mise à jour logicielle impossible pour corriger le problème. Des milliers de plaques déjà en circulation sont donc exposées à ce risque. Bien que ces plaques ne soient légales que dans quelques États, leur adoption a été envisagée en Allemagne sans succès. Cette situation soulève des préoccupations majeures concernant la sécurité des dispositifs connectés.
Sources :
INTERPOL préconise le recours à la « incitation à l'amour » pour remplacer le « massacre de porcs » dans le discours des escroqueries
INTERPOL appelle à un changement linguistique concernant le terme "pig butchering", qu'elle souhaite remplacer par "romance baiting". Cette initiative vise à mettre fin à la déshumanisation des victimes de fraudes en ligne, où des individus sont trompés en investissant dans des arnaques liées aux cryptomonnaies sous prétexte de relations amoureuses. Le terme "pig butchering" provient d'une expression chinoise désignant la pratique de grossir un cochon avant l'abattage, et a émergé en Chine en 2016. Les escrocs contactent leurs cibles sur les réseaux sociaux et les applications de rencontre, gagnant leur confiance avant de les manipuler pour qu'ils investissent dans des plateformes fictives. Ces arnaques sont souvent liées à des groupes criminels organisés en Asie du Sud-Est, qui exploitent également des personnes dans des conditions inhumaines. INTERPOL souligne que le changement de terminologie met l'accent sur les criminels plutôt que sur les victimes, favorisant ainsi un environnement où ces dernières se sentent plus à l'aise pour signaler les fraudes. Le directeur exécutif par intérim des services de police d'INTERPOL, Cyril Gout, insiste sur l'importance du langage pour promouvoir le respect et l'empathie envers les victimes.
Sources :
Meta condamné à une amende de 251 millions d'euros pour une violation de données en 2018 ayant affecté 29 millions de comptes
Meta Platforms, la société mère de Facebook, Instagram, WhatsApp et Threads, a été condamnée à une amende de 251 millions d'euros pour une violation de données survenue en 2018, touchant environ 29 millions de comptes Facebook dans le monde, dont 3 millions dans l'Union européenne. Cette violation, révélée en septembre 2018, a été causée par un bug introduit en juillet 2017, permettant à des acteurs malveillants d'exploiter la fonctionnalité "View As" pour accéder à des jetons de compte. Les données compromises incluent des informations personnelles telles que noms, adresses e-mail, numéros de téléphone et données d'enfants. La Commission irlandaise de protection des données (DPC) a souligné que Meta avait manqué à plusieurs obligations du RGPD, notamment en ne fournissant pas toutes les informations requises lors de la notification de la violation. Cette amende s'ajoute à une précédente sanction de 91 millions d'euros en 2024 pour un autre incident de sécurité. Parallèlement, Meta a accepté un programme de paiement de 50 millions AUD pour régler des préoccupations liées à l'utilisation abusive des données personnelles en Australie, suite au scandale Cambridge Analytica. Ce programme devrait débuter en 2025.
Sources :
Alerte de correctif : une faille critique d'Apache Struts a été découverte et des tentatives d'exploitation ont été détectées
Des acteurs malveillants tentent d'exploiter une vulnérabilité récemment révélée dans Apache Struts, identifiée comme CVE-2024-53677, qui pourrait permettre une exécution de code à distance. Cette faille, notée 9,5 sur 10 sur l'échelle CVSS, est considérée comme critique et présente des similitudes avec une autre vulnérabilité, CVE-2023-50164, qui avait également été exploitée peu après sa divulgation en décembre 2023. Selon l'avis d'Apache, un attaquant peut manipuler les paramètres de téléchargement de fichiers pour permettre un parcours de chemin, ce qui pourrait aboutir au téléchargement d'un fichier malveillant. Cela permettrait à l'attaquant d'exécuter des commandes, d'exfiltrer des données ou de télécharger d'autres charges utiles. Les versions affectées incluent Struts 2.0.0 à 2.3.37, 2.5.0 à 2.5.33, et 6.0.0 à 6.3.0.2, avec un correctif disponible dans Struts 6.4.0 ou supérieur. Dr. Johannes Ullrich a signalé des tentatives d'exploitation en cours, visant à identifier les systèmes vulnérables. Les utilisateurs sont fortement conseillés de mettre à jour vers la dernière version et d'adapter leur code pour utiliser le nouveau mécanisme de téléchargement de fichiers.
Sources :
NVIDIA partage un correctif pour les problèmes de performances de jeu avec la nouvelle application NVIDIA
NVIDIA a récemment publié une solution temporaire pour un problème de performance affectant son application NVIDIA, qui peut entraîner une baisse de performance de jeu allant jusqu'à 15 %. Ce problème survient lorsque l'option "Game Filters" est activée. La société recommande de désactiver cette fonctionnalité et de redémarrer le jeu pour atténuer les effets. Dans un fil de discussion sur un forum de support, des employés de NVIDIA ont confirmé qu'ils enquêtaient sur cette question. De nombreux utilisateurs ont signalé que l'application nuisait à la performance des jeux, même après avoir désactivé les filtres. Certains ont même choisi de désinstaller l'application en raison des problèmes persistants. Des tests effectués par Tom's Hardware ont corroboré ces affirmations, indiquant que la baisse de framerate pouvait atteindre 15 %, un impact significatif sur les performances. L'application NVIDIA, lancée en novembre, vise à maintenir à jour les pilotes GeForce et à optimiser les paramètres pour plus de 1000 jeux. Bien qu'elle intègre des fonctionnalités de GeForce Experience, elle doit encore surmonter des défis avant de remplacer le panneau de contrôle NVIDIA traditionnel. Les utilisateurs espèrent une résolution rapide de ces problèmes.
Sources :
Des cyberespions « amers » ciblent les organisations de défense avec le nouveau malware MiyaRAT
Un groupe de cyberespionnage connu sous le nom de 'Bitter' a été observé ciblant des organisations de défense en Turquie avec un nouveau malware appelé MiyaRAT. Ce malware est utilisé en conjonction avec WmRAT, un autre logiciel malveillant associé à Bitter. La campagne a été découverte par Proofpoint, qui indique que MiyaRAT est probablement réservé à des cibles de grande valeur et déployé de manière sporadique. Bitter, soupçonné d'être un groupe de cyberespionnage sud-asiatique actif depuis 2013, a précédemment attaqué des gouvernements et des organisations critiques en Asie. Les attaques en Turquie ont commencé par un e-mail contenant un leurre lié à un projet d'investissement, avec une archive RAR contenant un fichier PDF trompeur et un fichier de raccourci dissimulé. L'ouverture de ce fichier déclenche l'exécution d'un code PowerShell malveillant. MiyaRAT, plus avancé que WmRAT, offre des capacités d'exfiltration de données et de contrôle à distance, tout en étant déployé de manière plus sélective pour éviter une détection rapide. Des indicateurs de compromission associés à cette attaque sont disponibles dans le rapport de Proofpoint.
Sources :
De nouveaux faux courriels de violation de données Ledger tentent de voler des portefeuilles de crypto-monnaies
Une nouvelle campagne de phishing cible les utilisateurs de Ledger en prétendant les alerter d'une violation de données. Ces emails frauduleux, envoyés sous le prétexte d'une notification de sécurité, demandent aux utilisateurs de vérifier leur phrase de récupération, qui est ensuite volée pour accéder à leurs fonds en cryptomonnaie. Ledger, un portefeuille matériel de cryptomonnaie, utilise des phrases de récupération de 12, 18 ou 24 mots pour sécuriser les actifs. Les utilisateurs doivent garder ces phrases hors ligne et ne jamais les partager. Les emails de phishing, qui semblent provenir de Ledger, affirment qu'une violation a exposé certaines phrases de récupération et incitent à les vérifier via un lien frauduleux. Ce lien redirige vers un site imitant Ledger, où les utilisateurs sont invités à entrer leur phrase de récupération. Les attaquants peuvent alors accéder aux fonds en utilisant ces informations. Les propriétaires de Ledger doivent éviter de saisir leur phrase de récupération sur des sites ou applications, et toujours vérifier l'URL directement dans leur navigateur. Ledger ne demandera jamais de partager cette phrase, et toute communication suspecte doit être ignorée.
Sources :
La CISA ordonne aux agences fédérales de sécuriser les locataires Microsoft 365
Le 17 décembre 2024, la CISA a publié la directive opérationnelle contraignante BOD 25-01, exigeant des agences fédérales civiles qu'elles sécurisent leurs environnements cloud, en commençant par Microsoft 365. Cette directive vise à réduire la surface d'attaque des réseaux fédéraux en imposant des pratiques de sécurité obligatoires pour protéger les systèmes et actifs du Federal Civilian Executive Branch (FCEB). Les agences doivent déployer des outils d'évaluation de configuration automatisés développés par la CISA, tels que ScubaGear pour les audits de Microsoft 365, et remédier aux écarts par rapport aux normes de configuration sécurisée dans des délais définis. La CISA souligne que des incidents récents de cybersécurité révèlent les risques importants liés aux mauvaises configurations. Les agences doivent identifier tous les locataires cloud concernés d'ici le 21 février 2025, déployer les outils d'évaluation d'ici le 25 avril 2025, et mettre en œuvre toutes les politiques SCuBA obligatoires d'ici le 20 juin 2025. Bien que cette directive s'applique uniquement aux agences fédérales, la CISA recommande à toutes les organisations de suivre ces directives pour réduire les risques de violations de données.
Sources :
Une nouvelle faille critique d'Apache Struts exploitée pour trouver des serveurs vulnérables
Une vulnérabilité critique récemment corrigée dans Apache Struts 2, identifiée comme CVE-2024-53677, est actuellement exploitée pour cibler des serveurs vulnérables. Cette faille, révélée par Apache il y a six jours, concerne la logique de téléchargement de fichiers du logiciel, permettant des traversées de chemins et le téléchargement de fichiers malveillants, ce qui peut mener à une exécution de code à distance. Elle affecte plusieurs versions de Struts, notamment de 2.0.0 à 2.3.37, de 2.5.0 à 2.5.33, et de 6.0.0 à 6.3.0.2. Les attaquants peuvent manipuler les paramètres de téléchargement pour insérer des fichiers dangereux, comme des shells web, dans des répertoires restreints. Des tentatives d'exploitation ont été observées, utilisant des exploits publics pour identifier les systèmes vulnérables. Apache recommande aux utilisateurs de mettre à jour vers Struts 6.4.0 ou une version ultérieure et de migrer vers un nouveau mécanisme de téléchargement de fichiers, car l'application d'un simple correctif ne suffit pas. Plusieurs agences de cybersécurité nationales ont émis des alertes publiques, incitant les développeurs à agir rapidement pour se protéger contre cette menace.
Sources :
Des attaquants exploitent Microsoft Teams et AnyDesk pour déployer le malware DarkGate
Une nouvelle campagne de social engineering utilise Microsoft Teams pour déployer le malware connu sous le nom de DarkGate. Des chercheurs de Trend Micro ont révélé qu'un attaquant a usurpé l'identité d'un client lors d'un appel Teams pour accéder à distance au système d'une victime. Après avoir inondé la boîte mail de la cible avec des milliers d'emails, l'attaquant s'est présenté comme un employé d'un fournisseur externe et a demandé à la victime d'installer AnyDesk, permettant ainsi l'injection de plusieurs malwares, dont un voleur de données et DarkGate. Ce dernier, actif depuis 2018, est un cheval de Troie d'accès à distance (RAT) qui a évolué en une offre de malware-as-a-service (MaaS). DarkGate est capable de voler des identifiants, de faire du keylogging, de capturer des écrans et d'enregistrer des sons. Bien que l'attaque ait été bloquée avant toute exfiltration de données, elle illustre la diversité des méthodes d'accès initial utilisées par les cybercriminels. Les organisations sont conseillées d'activer l'authentification multi-facteurs, de restreindre les outils d'accès à distance et de vérifier soigneusement les fournisseurs de support technique pour réduire les risques de vishing.
Sources :
17Cyber : comment fonctionne le nouveau site pour signaler les arnaques et cyberattaques ?
Le 17Cyber, lancé le 17 décembre 2024, est une plateforme développée par Cybermalveillance.gouv.fr pour aider les victimes de cyberattaques à signaler divers incidents tels que le hameçonnage, les rançongiciels et le cyberharcèlement. Accessible 24/7, cet outil, conçu en collaboration avec le ministère de l’Intérieur, vise à offrir une réponse rapide et efficace aux particuliers, entreprises et collectivités touchés par des cybermenaces. Son utilisation est simple : les utilisateurs se connectent sur 17cyber.gouv.fr, décrivent leur problème via un chat en ligne, et reçoivent un diagnostic et des recommandations adaptées à leur situation. En 2023, la France a enregistré une augmentation alarmante des cyberattaques, avec 280 000 demandes d'assistance traitées et une hausse de 9 % des atteintes numériques. 17Cyber ne remplace pas les dispositifs existants comme Pharos ou Thésée, mais les complète en fournissant une assistance immédiate et en sensibilisant le public aux risques numériques. Cet outil représente une avancée significative dans la lutte contre la cybercriminalité, facilitant le signalement et les poursuites judiciaires tout en offrant des conseils pratiques aux victimes.
