La base de données Sport2000 apparaît en accès libre dans le dark web - Actus du 07/08/2024
Découvrez comment deux pirates russes extradés par les USA reviennent en Russie tandis que les bases de données Sport2000 et LDLC émergent sur le dark web, exposant des milliers de données sensibles. Lisez notre article pour plus de détails sur ces incidents majeurs de cybersécurité.
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Deux importants pirates Russes rendus à la Russie par les USA
Evan Gershkovich, journaliste du Wall Street Journal, a été impliqué dans un échange de prisonniers entre les États-Unis et la Russie, rappelant les tensions de la guerre froide. Cet échange a permis la libération de dix prisonniers russes, dont des pirates informatiques notables, en contrepartie de la libération de Gershkovich. Parmi les prisonniers russes, un homme d'affaires, Klyushin, a été inculpé avec d'autres pour des activités de piratage informatique, notamment pour avoir tenté d'interférer avec les élections américaines de 2016. Klyushin et ses complices auraient utilisé des informations volées pour manipuler le marché boursier américain, en anticipant les résultats financiers des entreprises cotées. Leurs actions ont été menées à travers M-13, une société de cybersécurité basée à Moscou. Par ailleurs, Roman Seleznev, un autre pirate informatique notoire, a été arrêté en 2014 et condamné pour une vaste campagne de piratage ciblant des entreprises américaines. Ces événements soulignent les enjeux complexes de la cybersécurité et des relations internationales, où le piratage et l'échange de prisonniers s'entrelacent dans un contexte géopolitique tendu.
Sources :
La base de données Sport2000 apparaît en accès libre dans le dark web
La base de données de Sport2000, contenant des informations sur 4,3 millions de clients, a été mise en vente sur le dark web par un pirate informatique en mars 2024 pour 2 000 dollars. Ce dernier prétendait avoir exfiltré ces données d'une enseigne spécialisée dans les accessoires sportifs. Après des investigations menées par le Service Veille ZATAZ, la base de données a été diffusée gratuitement sur plusieurs plateformes du dark web, touchant 4 376 036 personnes avec des informations telles que l'identité, les adresses électroniques et les codes clients. Ce phénomène n'est pas isolé, car des cas similaires ont été observés avec d'autres entreprises comme SFR et LDLC, où des bases de données ont également été mises en vente puis diffusées gratuitement. En outre, ZATAZ a identifié 91 pirates ou groupes différents impliqués dans la vente ou la diffusion de ces données depuis mai 2024. Ce type de cybercriminalité soulève des préoccupations croissantes concernant la sécurité des données personnelles et l'impact sur les clients concernés. Les informations compromises peuvent inclure des données sensibles, ce qui accentue les risques de fraudes et d'usurpation d'identité.
Sources :
Une base de données LDLC apparaît dans le dark web
Une base de données contenant des informations sur 1,5 million de clients de LDLC a été découverte sur le dark web par le Service Veille ZATAZ. En mai 2024, un hacker a proposé cette base de données à la vente pour 1 200 dollars sur un site russophone, affirmant avoir exfiltré les données de l'enseigne high-tech. ZATAZ a choisi de ne pas en parler immédiatement pour mener des investigations. En juin, des tweets sur X ont commencé à circuler, sans vérification des faits. Un mois plus tard, la base de données a été mise à disposition gratuitement sur plusieurs plateformes du dark web. Les données compromises incluent des informations personnelles telles que l'identité, le numéro de téléphone, l'adresse électronique et le code client, couvrant la période de juin 2018 à février 2024. ZATAZ a réussi à faire fermer deux des trois sites de stockage identifiés. Ce même schéma de vente suivi d'une diffusion gratuite a également été observé pour d'autres entreprises comme SFR et Sport2000. Cette situation soulève des préoccupations quant à la sécurité des données personnelles et à la vulnérabilité des entreprises face aux cyberattaques.
Sources :
Escroquerie : le Clown se fait raser… par un clown
Garik, un internaute actif sur le dark web, est connu pour se faire tatouer les noms de groupes de pirates en échange d'argent. Dans une tentative de promouvoir une cryptomonnaie appelée « CLOWN », il a participé à un concours promettant 50 000 $ en échange d'un tatouage du logo sur son crâne. Le concours exigeait également de se raser la tête. Malheureusement, il s'est avéré que c'était une escroquerie, et Garik, ainsi que d'autres participants, ont été dupés par les organisateurs du projet. Ces derniers ont simplement disparu après avoir rasé Garik, laissant les participants sans récompense. En conséquence, Garik a également été banni de plusieurs marchés noirs pour fraude. Cette situation illustre les dangers de l'appât du gain et la vulnérabilité des individus face à des promotions malveillantes. L'histoire de Garik met en lumière la bêtise humaine et la facilité avec laquelle des personnes peuvent être manipulées dans le monde du dark web. En fin de compte, cette expérience lui a appris une leçon amère sur la confiance et les promesses trop belles pour être vraies.
Sources :
Un pirate réutilise l’affiche de chanteur pour vanter un point de deal 2.0
Un administrateur d'un marché noir russe a innové en utilisant des affiches d'un rappeur local pour promouvoir sa boutique en ligne de drogue. En intégrant un QR code et l'URL de son site sur ces affiches, il a attiré l'attention des fans de musique, les dirigeant vers un compte Telegram intitulé « Achat de billets ». Cependant, au lieu de vendre des tickets pour un concert fictif, il proposait des emplois de coursier pour le transport de drogue, offrant un salaire attractif de 100 000 roubles par semaine. Cette méthode de marketing illégal illustre la créativité des narco-shops pour contourner les restrictions et recruter du personnel, en exploitant la crédulité des amateurs de musique. Ce phénomène n'est pas isolé, car des arnaques similaires ont été observées, comme celle d'un faux concert de Kanye West, où des billets pour un événement inexistant étaient vendus. Ces stratégies démontrent la détermination des criminels à attirer de nouveaux clients et à élargir leur réseau, tout en mettant en lumière les dangers liés à la consommation de drogues et à l'implication dans des activités illégales.
Sources :
GoGra, une nouvelle porte dérobée basée sur Go, cible les organisations médiatiques d'Asie du Sud
En novembre 2023, une organisation médiatique non nommée en Asie du Sud a été ciblée par un backdoor inédit, GoGra, développé en Go. Selon Symantec, GoGra utilise l'API Microsoft Graph pour interagir avec un serveur de commande et de contrôle (C&C) hébergé sur les services de messagerie de Microsoft. Les modalités de livraison de ce malware restent floues, mais il est configuré pour lire les messages d'un compte Outlook nommé "FNU LNU", dont l'objet commence par "Input". Les contenus des messages sont décryptés avec l'algorithme AES-256 en mode CBC, puis les commandes sont exécutées via cmd.exe. Les résultats sont ensuite chiffrés et renvoyés à l'utilisateur avec l'objet "Output". GoGra est attribué à un groupe de hackers d'État connu sous le nom de Harvester, en raison de ses similitudes avec un implant .NET nommé Graphon. Cette tendance montre que les acteurs malveillants exploitent de plus en plus les services cloud légitimes pour éviter d'acheter des infrastructures dédiées. D'autres familles de malwares utilisant cette technique incluent des outils d'exfiltration de données et divers backdoors, signalant une évolution dans les méthodes d'espionnage.
Sources :
CrowdStrike révèle la cause profonde des pannes de systèmes à l'échelle mondiale
CrowdStrike a publié une analyse des causes profondes concernant l'incident de mise à jour du logiciel Falcon Sensor, qui a affecté des millions d'appareils Windows dans le monde. Cet incident, nommé "Channel File 291", est attribué à un problème de validation de contenu lié à l'introduction d'un nouveau type de modèle pour détecter des techniques d'attaque innovantes. Un décalage entre les 21 entrées fournies au validateur de contenu et les 20 entrées au moteur d'interprétation a conduit à un accès mémoire hors limites, provoquant un crash système. Ce problème n'a pas été détecté lors des tests en raison de l'utilisation de critères de correspondance génériques. Pour remédier à cela, CrowdStrike a mis en place des vérifications des limites d'entrée et a corrigé le nombre d'entrées fournies. De plus, des modifications ont été apportées au validateur de contenu et au système de configuration pour renforcer les tests et les contrôles de déploiement. En réponse aux critiques, Delta Air Lines a annoncé son intention de demander des dommages-intérêts à CrowdStrike et Microsoft, affirmant que l'incident lui avait coûté environ 500 millions de dollars. Les deux entreprises ont nié toute responsabilité, indiquant que les problèmes de Delta pourraient être plus profonds que la simple mise à jour défectueuse.
Sources :
Mot de passe : un pirate écope de 3 ans de prison pour le vol d’argent sur Coinbase.
Elliot Ganton, un jeune homme de 24 ans, a été condamné à trois ans et demi de prison par la Cour royale de Norwich, au Royaume-Uni, pour avoir volé plus de 900 000 $ sur la plateforme de cryptomonnaies Coinbase. Entre 2018 et 2019, lui et ses complices ont réussi à obtenir les identifiants de connexion de plus de 500 utilisateurs en utilisant des techniques de phishing et en manipulant des compagnies de télécommunications. Les informations volées ont été utilisées pour créer des sites de phishing, permettant le détournement des actifs numériques des victimes. La juge Alice Robinson a qualifié ce crime de « très sophistiqué » et a souligné la nécessité de dissuader d'autres hackers. Ganton n'était pas à son premier délit ; dès l'âge de 16 ans, il avait déjà piraté TalkTalk, une entreprise de télécommunications, et vendu des données personnelles pour des cryptomonnaies. En 2019, il avait été condamné à 20 mois de prison pour avoir piraté des comptes Instagram de célébrités. La juge a noté son mépris pour la loi et a mis en lumière la tendance inquiétante des jeunes hackers à évoluer vers des crimes de plus en plus graves.
Sources :
Fermeture du service LetHost par les autorités
Le service d'hébergement LetHost a récemment suscité l'attention après qu'un message sur son site a annoncé sa saisie par des agents des services secrets américains et d'autres autorités internationales, dont le FBI et Europol. Ce message a alarmé de nombreux utilisateurs, car LetHost était connu pour héberger des activités malveillantes, telles que le phishing. Cependant, des incohérences dans la présentation du message ont rapidement soulevé des doutes parmi les visiteurs. Il a été confirmé par la suite qu'il s'agissait d'une fausse alerte, l'administrateur de LetHost qualifiant l'incident de « promotion » et les messages d'arrestation de « clin d’œil ». Ce faux message aurait été une réponse à la difficulté de trouver des fournisseurs d'hébergement, entraînant une transition vers de nouveaux centres de données. Peu après, un message « coming soon » est apparu sur la page d'accueil, confirmant que l'incident était en réalité une stratégie marketing. Cette situation a mis en lumière les pratiques douteuses de LetHost et a provoqué des inquiétudes parmi les pirates informatiques, bien que la fermeture annoncée n'ait finalement pas eu lieu.
Sources :
Une cyberattaque sur Mobile Guardian MDM a détruit les appareils connectés
La plateforme de gestion des appareils mobiles Mobile Guardian, dédiée à l'éducation, a récemment subi une cyberattaque qui a perturbé ses services. L'incident, survenu le 4 août 2024, a été détecté grâce à une activité non autorisée sur la plateforme. En réponse, Mobile Guardian a pris des mesures pour contenir l'attaque, mais cela a entraîné la mise hors ligne de ses services et l'effacement à distance de milliers d'appareils connectés. Environ 13 000 dispositifs appartenant à des élèves de 26 écoles secondaires à Singapour ont été affectés, entraînant également le désinscription de nombreux étudiants de la plateforme. Bien que la société n'ait pas précisé le nombre total d'étudiants touchés, elle a assuré qu'aucune preuve d'accès aux données des utilisateurs n'avait été trouvée. Le ministère de l'Éducation de Singapour a annoncé le retrait de l'application Mobile Guardian de tous les appareils des élèves et a promis un soutien pour la restauration des dispositifs. Des équipes informatiques supplémentaires seront déployées pour aider les élèves affectés. La situation des étudiants d'autres régions touchés par cet incident reste floue.
Sources :
- https://latesthackingnews.com/2024/08/07/cyberattack-on-mobile-guardian-mdm-wiped-connected-devices/
Un développeur pirate renommé de stealers annonce sa retraite
Rodrigo4, un acteur du cybercrime, a annoncé la fermeture de son entreprise lucrative, générant 30 000 dollars par mois, en raison de préoccupations de sécurité. Il a pris la décision définitive de quitter ce milieu pour se consacrer à des activités légales. En parallèle, il met en vente le code source de son malware, Poseidon Stealer, pour 100 000 dollars, incluant l'infrastructure complète et divers outils. Bien que certains considèrent cette vente comme une perte importante, les autorités continuent de traquer les cybercriminels. Alors que Poseidon disparaît, un nouveau malware, Glitch Stealer, fait son apparition sur le marché. Son créateur le présente comme un outil indispensable pour les utilisateurs du dark web, qu'ils soient novices ou expérimentés, en mettant en avant sa commodité et son design. Pour inciter les achats, une offre spéciale est proposée : un bonus de Glitch Clipper gratuit pour toute souscription avant le 10 août 2024. Cette situation illustre la nature cyclique du cybercrime, où la disparition d'un acteur est rapidement suivie par l'émergence de nouveaux outils malveillants.
Sources :
Le cheval de Troie bancaire Android Chameleon cible les utilisateurs via une fausse application CRM
Des chercheurs en cybersécurité ont révélé une nouvelle technique utilisée par les acteurs malveillants derrière le trojan bancaire Chameleon, ciblant des utilisateurs au Canada sous l'apparence d'une application de gestion de la relation client (CRM). Selon le rapport technique de ThreatFabric, cette campagne, observée en juillet 2024, vise des clients dans le secteur de l'hôtellerie en Amérique du Nord et en Europe, élargissant ainsi son champ d'action au-delà de l'Australie, de l'Italie, de la Pologne et du Royaume-Uni. Les applications malveillantes sont conçues pour contourner les restrictions de Google sur Android 13 et ultérieures, permettant ainsi des demandes de permissions dangereuses. Une fois installée, l'application affiche une fausse page de connexion CRM, suivie d'un message d'erreur incitant les victimes à réinstaller l'application, tout en déployant le payload Chameleon. Ce dernier est capable de réaliser des fraudes sur l'appareil et de transférer des fonds de manière frauduleuse, tout en collectant des informations sensibles. ThreatFabric souligne que si les attaquants réussissent à infecter un appareil avec accès à des comptes bancaires d'entreprise, cela représente un risque significatif pour les organisations, en particulier pour les employés liés à la CRM.
Sources :
Le nouveau macOS Sequoia d’Apple renforce les contrôles de Gatekeeper pour bloquer les logiciels non autorisés
Apple a annoncé une mise à jour de sa prochaine version de macOS, nommée Sequoia, qui renforce les protections de Gatekeeper, un système de sécurité essentiel pour le fonctionnement des applications sur macOS. Gatekeeper vérifie que les applications téléchargées en dehors de l'App Store proviennent de développeurs identifiés et qu'elles sont notariées, garantissant ainsi qu'elles n'ont pas été altérées pour installer des logiciels malveillants. Avec cette mise à jour, les utilisateurs ne pourront plus contourner Gatekeeper en utilisant le clic Control pour ouvrir des applications non signées ou non notariées. Ils devront désormais se rendre dans les paramètres système, sous "Confidentialité et sécurité", pour examiner les informations de sécurité avant de permettre l'exécution de telles applications. Cette décision vise à contrer les menaces de logiciels malveillants, notamment ceux qui exploitent des failles pour contourner les protections de Gatekeeper. En juillet 2023, des acteurs malveillants nord-coréens avaient déjà été observés diffusant un fichier DMG non signé se faisant passer pour un service de visioconférence légitime, exploitant ainsi la possibilité de contourner les avertissements de sécurité d'Apple.
Sources :
Google Chrome vous permettra d'envoyer de l'argent vers votre site Web préféré
Google a annoncé l'implémentation de la Monétisation Web dans Chrome, permettant aux propriétaires de sites web de recevoir des micro-paiements en tant que pourboires ou récompenses pour leur contenu. Cette technologie vise à offrir une alternative aux revenus publicitaires et aux abonnements, en permettant aux créateurs de contenu d'être rémunérés directement par les utilisateurs. Pour intégrer cette fonctionnalité, les sites doivent ajouter un élément HTML spécifique, rel="monetization", qui indique au navigateur qu'ils acceptent les paiements. L'un des avantages de la Monétisation Web est qu'elle permet des paiements automatiques sans interaction de l'utilisateur, offrant ainsi une expérience fluide pour ceux qui souhaitent soutenir un site tout en consommant son contenu. Bien que cette fonctionnalité soit encore en développement et ne soit pas encore un standard W3C, elle est soutenue par le Web Platform Incubator Community Group, qui cherche à recueillir des retours de la communauté web. Cependant, des critiques émergent, exprimant des préoccupations quant à la création d'une culture de "pourboires" et aux risques potentiels de fraude associés à cette méthode de paiement.
Sources :
INTERPOL récupère plus de 40 millions de dollars volés lors d'une attaque contre le BEC
INTERPOL a annoncé la récupération de plus de 40 millions de dollars volés lors d'une attaque de Business Email Compromise (BEC) ciblant une entreprise à Singapour, marquant ainsi la plus grande récupération de fonds dans ce type d'escroquerie. Les attaques BEC impliquent des cybercriminels qui compromettent les adresses e-mail d'entreprises pour rediriger des paiements légitimes vers des comptes contrôlés par les attaquants. Dans ce cas, l'entreprise a reçu un e-mail frauduleux semblant provenir de son fournisseur, demandant un paiement vers un nouveau compte bancaire à Timor Leste. Après avoir transféré 42,3 millions de dollars, l'entreprise a réalisé l'escroquerie quatre jours plus tard. En alertant les autorités, INTERPOL a mobilisé son mécanisme I-GRIP pour récupérer 39 millions de dollars. Des enquêtes supplémentaires ont conduit à l'arrestation de sept suspects et à la récupération de 2 millions de dollars supplémentaires, portant le total à 41 millions de dollars. Depuis son lancement en 2022, I-GRIP a permis de récupérer plus de 500 millions de dollars liés à la fraude et à la cybercriminalité. Cette opération s'inscrit dans un contexte plus large de lutte contre les escroqueries en ligne, comme le montre l'opération "First Light" qui a arrêté près de 4 000 personnes.
Sources :
Samsung paiera 1 000 000 $ pour les RCE sur le coffre-fort sécurisé de Galaxy
Samsung a lancé un nouveau programme de récompenses pour les bugs, le 'Important Scenario Vulnerability Program (ISVP)', offrant jusqu'à 1 000 000 $ pour des rapports sur des scénarios d'attaque critiques. Ce programme cible des vulnérabilités telles que l'exécution de code arbitraire, le déverrouillage de dispositifs, l'extraction de données et l'installation d'applications non autorisées. Les rapports démontrant une exécution de code à distance (RCE) sur les dispositifs Samsung, notamment dans le Knox Vault, peuvent rapporter jusqu'à 1 000 000 $, tandis que l'exécution locale sur le TEEGRIS OS peut atteindre 400 000 $. D'autres récompenses incluent 400 000 $ pour le déverrouillage de dispositifs avec extraction de données et jusqu'à 100 000 $ pour l'installation d'applications à distance depuis des sources non officielles. Pour être éligibles, les rapports doivent inclure un exploit fonctionnel sur les derniers modèles phares. En 2023, Samsung a déjà versé 827 925 $ à 113 chercheurs en sécurité, portant le total des récompenses depuis 2017 à plus de 4,9 millions de dollars. Le lancement de l'ISVP vise à encourager davantage de rapports sur des problèmes critiques affectant les appareils Samsung.
Sources :
INTERPOL récupère 41 millions de dollars dans la plus grande escroquerie BEC jamais réalisée à Singapour
INTERPOL a mis en place un "mécanisme mondial d'arrêt de paiement" qui a permis la plus grande récupération de fonds jamais réalisée suite à une escroquerie par compromission d'email professionnel (BEC). Cet événement a été déclenché par une entreprise de matières premières à Singapour, victime d'une escroquerie en juillet 2024, où un acteur malveillant a usurpé l'identité d'un fournisseur pour demander un paiement sur un faux compte bancaire. L'entreprise a transféré 42,3 millions de dollars avant de réaliser l'erreur quelques jours plus tard. Grâce à l'I-GRIP d'INTERPOL, les autorités ont pu détecter 39 millions de dollars et geler le compte frauduleux. Sept suspects ont été arrêtés, permettant la récupération de 2 millions de dollars supplémentaires. Parallèlement, INTERPOL a saisi Cryptonator, une plateforme d'échange de cryptomonnaies, accusée d'avoir facilité des transactions criminelles sans contrôles anti-blanchiment adéquats. Les escroqueries liées aux cryptomonnaies continuent d'augmenter, les fraudeurs utilisant des protocoles légitimes pour dissimuler leurs activités malveillantes. INTERPOL encourage les entreprises et les individus à prendre des mesures préventives contre ces escroqueries.
Sources :
Une nouvelle étude montre que les applications GenAI sont vulnérables aux menaces PromptWare
Une étude récente met en lumière les risques de sécurité associés à l'utilisation de l'IA générative, en particulier à travers une nouvelle menace appelée PromptWare. Les chercheurs ont démontré que les applications d'IA générative sont vulnérables à des attaques qui permettent de "jailbreaker" ces modèles, ce qui pourrait perturber leur fonctionnement. Bien que le jailbreak ne semble pas représenter une menace immédiate, il peut rendre les modèles dysfonctionnels et les amener à produire des résultats malveillants. PromptWare agit comme un logiciel malveillant, ciblant les architectures de Plan & Execute des modèles d'IA, en manipulant le flux d'exécution via des prompts malveillants. Les chercheurs ont identifié deux types d'attaques : le Basic PromptWare, qui nécessite une connaissance de la logique de l'application, et l'Advanced PromptWare Threat (APwT), qui fonctionne sans cette connaissance préalable. L'APwT exploite les capacités d'inférence de l'IA pour exécuter des activités malveillantes. Pour contrer ces menaces, les chercheurs recommandent de limiter la longueur des entrées utilisateur, d'implémenter des détecteurs de jailbreak et de restreindre le nombre d'appels API pour éviter les boucles infinies.
Sources :
Le Grand Palais révèle une cyberattaque lors des Jeux olympiques
Le Grand Palais Réunion des musées nationaux (Rmn) en France a annoncé avoir subi une cyberattaque le 3 août 2024, pendant les Jeux Olympiques. Cette institution, qui gère plusieurs musées et sites culturels, a été touchée par une attaque par ransomware, entraînant des perturbations opérationnelles. Bien que des rumeurs aient circulé concernant l'impact sur d'autres musées, comme le Louvre, le directeur de ce dernier a démenti ces allégations. Pour limiter les effets de l'attaque, le Grand Palais Rmn a temporairement désactivé certains systèmes, mais a réussi à maintenir le fonctionnement autonome de ses librairies et boutiques. L'institution a assuré qu'aucun impact significatif n'a été observé sur les opérations des musées, qui ont continué à accueillir le public normalement. Le Grand Palais a informé les autorités compétentes, dont l'ANSSI, qui aide à la restauration des réseaux. Bien qu'aucune donnée n'ait été exfiltrée, les attaquants ont laissé une note de rançon exigeant un paiement en cryptomonnaie. Les investigations préliminaires suggèrent que l'attaque pourrait avoir été facilitée par un compte compromis d'un collaborateur. Aucune revendication n'a été faite par des groupes de ransomware.
Sources :
Le dernier piège des hackers du Kremlin ? De fausses annonces de vente de voiture
Une nouvelle campagne d'espionnage orchestrée par des hackers russes, identifiés comme le groupe Fancy Bear, a été révélée par Palo Alto le 2 août 2024. Cette opération cible des diplomates européens en lien avec l'Ukraine, utilisant un e-mail frauduleux proposant la vente d'Audi Q7 Quattro SUV. Les messages, prétendument émis par des services diplomatiques, contiennent des photos et des informations sur le véhicule, ainsi qu'un numéro de téléphone roumain pour renforcer leur crédibilité. En téléchargeant le fichier joint, les victimes installent involontairement un logiciel malveillant, permettant aux hackers d'espionner leurs activités via une porte dérobée sur Windows. Cette méthode s'inscrit dans une série d'attaques visant à infiltrer les réseaux diplomatiques européens, avec des précédents tels que des invitations à des dîners ou des dégustations de vin. Le logiciel malveillant utilisé dans cette campagne a déjà été déployé contre la Pologne. Les hackers, souvent en attente d'un moment propice, cherchent à détruire des systèmes critiques. Cette situation souligne l'escalade des cybermenaces émanant du Kremlin à l'encontre des institutions occidentales.
