La campagne mystérieuse « LOVE » inonde Internet depuis 2020 - Actus du 19/09/2024
Découvrez comment SambaSpy, un nouveau malware brésilien, cible les utilisateurs italiens via des e-mails de phishing, tandis que TeamTNT lance une campagne de cryptojacking contre les serveurs CentOS. En parallèle, des tempêtes de paquets « LOVE » inondent Internet depuis 2020.
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Un nouveau malware brésilien SambaSpy cible les utilisateurs italiens via des e-mails de phishing
Un nouveau malware, nommé SambaSpy, cible exclusivement les utilisateurs en Italie à travers une campagne de phishing orchestrée par un acteur malveillant présumé parlant portugais brésilien. Selon Kaspersky, ces attaquants se concentrent sur un seul pays, contrairement à la plupart des cybercriminels qui cherchent à toucher un large public. L'attaque débute par un email de phishing contenant soit une pièce jointe HTML, soit un lien malveillant. L'ouverture de la pièce jointe déclenche le téléchargement d'un RAT multifonctionnel via une archive ZIP. Le lien, plus complexe, redirige l'utilisateur vers une facture légitime ou un serveur malveillant, selon qu'il est la cible ou non. Les victimes italiennes sont ensuite dirigées vers un document PDF sur OneDrive, les incitant à cliquer sur un lien qui les mène à un fichier JAR malveillant. Ce malware est capable de voler des identifiants de navigateurs tels que Chrome et Edge. Des éléments d'infrastructure suggèrent que l'acteur malveillant pourrait également cibler le Brésil et l'Espagne. Parallèlement, Trend Micro a signalé une augmentation des campagnes de trojans bancaires en Amérique latine, soulignant la nécessité de renforcer les mesures de cybersécurité face à ces menaces croissantes.
Sources :
La nouvelle campagne de cryptojacking de TeamTNT cible les serveurs CentOS avec un rootkit
L'opération de cryptojacking connue sous le nom de TeamTNT semble avoir refait surface avec une nouvelle campagne ciblant les infrastructures de serveurs privés virtuels (VPS) basées sur le système d'exploitation CentOS. Selon un rapport de Group-IB, l'accès initial a été réalisé par une attaque par force brute sur SSH, permettant à l'acteur malveillant de télécharger un script nuisible. Ce script désactive les fonctionnalités de sécurité, supprime les journaux, met fin aux processus de minage de cryptomonnaies et entrave les efforts de récupération. Les chaînes d'attaque ouvrent la voie au déploiement du rootkit Diamorphine, qui dissimule les processus malveillants et établit un accès distant persistant à l'hôte compromis. Bien que TeamTNT ait annoncé un "nettoyage" en novembre 2021, des campagnes ont été signalées depuis septembre 2022. Le dernier script détecte d'autres infections de cryptojacking, désactive SELinux, AppArmor et le pare-feu, et supprime les processus de minage concurrents. Il configure également des tâches cron pour télécharger le script toutes les 30 minutes et crée un utilisateur backdoor avec accès root, tout en effaçant l'historique des commandes pour dissimuler ses activités.
Sources :
De mystérieuses tempêtes de paquets « LOVE » inondent Internet depuis 2020
Depuis janvier 2020, la société d'intelligence Internet GreyNoise suit des vagues de trafic internet appelées "Noise Storms", caractérisées par des paquets ICMP contenant une chaîne ASCII "LOVE". Malgré des analyses approfondies, l'origine et l'objectif de ces tempêtes restent inconnus. Ces phénomènes pourraient représenter des communications secrètes, des signaux de coordination d'attaques DDoS, ou des canaux de commande et contrôle (C2) pour des opérations malveillantes. Les tempêtes génèrent un trafic massif provenant de millions d'adresses IP falsifiées, ciblant principalement des fournisseurs de services internet comme Cogent et Lumen, tout en évitant des plateformes comme Amazon Web Services. Le trafic se concentre sur les connexions TCP, en particulier le port 443, et ajuste des paramètres pour imiter différents systèmes d'exploitation, rendant l'activité difficile à détecter. GreyNoise a publié des captures de paquets sur GitHub, appelant la communauté de la cybersécurité à aider à résoudre ce mystère. Ces "Noise Storms" soulignent l'importance d'adapter les stratégies de sécurité face à des menaces inhabituelles et complexes.
Sources :
Le diagnostic des soins de santé est crucial : le remède réside dans l'hygiène de la cybersécurité
L'augmentation des cyberattaques dans le secteur de la santé met en lumière l'importance d'une bonne hygiène en cybersécurité. Des incidents récents, comme l'attaque par ransomware de CommonSpirit Health en octobre 2024, ont entraîné des retards dans les soins d'urgence et des procédures médicales, compromettant la sécurité des patients. Les systèmes de santé, souvent interconnectés et contenant des informations sensibles, sont des cibles privilégiées pour les cybercriminels. Les failles de sécurité, telles que les logiciels non mis à jour et les services réseau non sécurisés, facilitent l'accès des attaquants. Les organisations qui négligent ces pratiques de base s'exposent à des conséquences graves, y compris l'incapacité à fournir des soins critiques. Pour contrer ces menaces, il est essentiel que les établissements de santé évaluent et améliorent leur hygiène en cybersécurité, notamment en surveillant les risques liés aux fournisseurs externes. Des outils comme RiskRecon permettent d'évaluer les vulnérabilités et de comparer les performances en matière de sécurité avec celles des pairs du secteur. Investir dans des pratiques de cybersécurité robustes est crucial pour protéger les systèmes de santé et garantir la continuité des soins.
Sources :
Cyberattaque contre Transport for London : les mots de passe des employés sont réinitialisés ; un adolescent suspect est arrêté
Après une semaine mouvementée, Transport for London (TfL) semble se remettre d'une cyberattaque récente. L'incident a conduit à un réinitialisation des mots de passe pour 30 000 employés afin de sécuriser leurs comptes. La cyberattaque a touché les systèmes internes de TfL, perturbant ses services en ligne et le traitement des remboursements, ce qui a également affecté le support client. TfL a révélé que des données de clients, y compris des noms, adresses e-mail et informations financières, avaient été compromises, touchant potentiellement environ 5 000 clients. Bien que certaines données des employés aient également été accessibles, il a été précisé que les informations sensibles comme les coordonnées bancaires n'avaient pas été exposées. En réponse, TfL a suspendu certains services en ligne tout en maintenant ses opérations habituelles. Les autorités ont arrêté un adolescent de 17 ans, suspecté d'être l'auteur de l'attaque, le 5 septembre 2024, mais ses motivations restent floues. TfL, responsable du réseau de transport de Londres, continue de travailler sur des mesures de remédiation pour renforcer la sécurité de ses systèmes.
Sources :
Sondage Opinion Way-WatchGuard : les PME françaises et la cybersécurité
Un sondage réalisé par Opinion Way pour WatchGuard a interrogé 300 PME sur leur expérience des cyberattaques. Les résultats montrent que 49% des PME ont déjà été victimes d'une cyberattaque, avec des impacts significatifs : 29% ont subi des perturbations ou des arrêts de services. Les secteurs les plus touchés sont le commerce (75%), l'industrie (65%) et l'agriculture (58%), tandis que le secteur des services est moins affecté (30%). Les méthodes d'attaque incluent les rançongiciels (19%) et le vol d'argent (21%). Malgré ces menaces, 82% des PME disposent d'antivirus et 80% de firewalls, et 72% ont mis en place une authentification forte. Cependant, Pascal Le Digol, Country Manager France chez WatchGuard, souligne que de nombreuses entreprises ne réalisent pas l'importance d'une cybersécurité proactive, car celles qui investissent le plus sont souvent celles ayant déjà subi des attaques. Le sondage, bien que limité, offre un aperçu précieux des défis auxquels font face les PME et souligne la nécessité d'une préparation adéquate pour éviter des catastrophes futures.
Sources :
La campagne intelligente « GitHub Scanner » utilise les dépôts pour diffuser des logiciels malveillants
Une campagne malveillante utilise des dépôts GitHub pour distribuer le malware Lumma Stealer, ciblant les utilisateurs d'un projet open source. Un utilisateur malveillant crée une "issue" sur un dépôt, prétendant qu'il existe une "vulnérabilité de sécurité" et incitant les autres à visiter un domaine frauduleux, "github-scanner[.]com", qui n'est pas affilié à GitHub. Les utilisateurs reçoivent des alertes par e-mail, semblant légitimes, provenant de notifications@github.com, les incitant à se rendre sur ce site pour en savoir plus sur la prétendue vulnérabilité. Une fois sur le site, un faux captcha demande aux utilisateurs de "vérifier qu'ils sont humains", ce qui déclenche un code JavaScript copiant un code malveillant dans le presse-papiers. Les utilisateurs sont ensuite invités à exécuter une commande Windows pour télécharger et exécuter un fichier exécutable malveillant. Ce malware, le Lumma Stealer, vole des informations sensibles, y compris des identifiants et des portefeuilles de cryptomonnaie. Les acteurs de la menace exploitent la fonctionnalité "Issues" de GitHub pour inonder les dépôts open source et propager leur campagne, soulignant ainsi les risques associés à l'utilisation de plateformes populaires.
Sources :
Explosions au Liban : Israël aurait créé des sociétés-écrans pour fournir les bipeurs au Hezbollah
Une enquête du New York Times révèle qu'Israël a orchestré une opération de sabotage contre les bipeurs et talkies-walkies du Hezbollah, en utilisant des sociétés-écrans pour produire des appareils piégés. Le sous-traitant hongrois B.A.C Consulting, prétendument intermédiaire pour la fabrication d'appareils Gold Apollo, est en réalité une façade israélienne, selon des officiers du renseignement. Le Hezbollah, qui utilise des bipeurs depuis deux ans, a été averti par son leader Hassan Nasrallah de se méfier des objets connectés, incitant ses membres à adopter des appareils plus simples pour éviter le piratage par le Mossad. Le 17 septembre, un message a été envoyé à tous les membres équipés de bipeurs, provoquant le chaos au Liban. Les appareils étaient imprégnés d'explosifs PETN. Concernant les talkies-walkies, qui ont causé 40 morts et 450 blessés, le fabricant japonais Icom a affirmé avoir cessé leur production il y a dix ans, laissant supposer qu'une société-écran a pu fournir des modèles piégés. Cette opération souligne les tensions croissantes entre Israël et le Hezbollah dans le contexte du renseignement et de la guerre technologique.
Sources :
Microsoft met en garde contre un nouveau ransomware INC ciblant le secteur de la santé aux États-Unis
Microsoft a annoncé qu'un acteur malveillant motivé financièrement utilise pour la première fois une variante de ransomware appelée INC pour cibler le secteur de la santé aux États-Unis. L'équipe de renseignement sur les menaces de Microsoft suit cette activité sous le nom de Vanilla Tempest (anciennement DEV-0832). Vanilla Tempest reçoit des transferts d'infections GootLoader par l'acteur malveillant Storm-0494, avant de déployer des outils comme le backdoor Supper, ainsi que les outils légitimes AnyDesk et MEGA. Les attaquants effectuent ensuite des mouvements latéraux via le protocole RDP et utilisent le WMI Provider Host pour déployer le ransomware INC. Microsoft a signalé que Vanilla Tempest est actif depuis au moins juillet 2022, ciblant auparavant les secteurs de l'éducation, de la santé, de l'informatique et de la fabrication avec divers types de ransomware tels que BlackCat et Quantum Locker. Cet acteur est également suivi sous le nom de Vice Society, connu pour utiliser des ransomwares existants plutôt que de créer des versions personnalisées. Parallèlement, des groupes de ransomware comme BianLian et Rhysida exploitent des outils comme Azure Storage Explorer pour exfiltrer des données sensibles, contournant ainsi la détection.
Sources :
GitLab corrige une faille critique de contournement de l'authentification SAML dans les éditions CE et EE
GitLab a publié des correctifs pour une vulnérabilité critique affectant les éditions Community (CE) et Enterprise (EE), pouvant entraîner un contournement d'authentification. Cette faille, identifiée dans la bibliothèque ruby-saml (CVE-2024-45409, score CVSS : 10.0), permettrait à un attaquant de se connecter en tant qu'utilisateur arbitraire. Le problème provient d'une vérification incorrecte de la signature de la réponse SAML, un protocole facilitant l'authentification unique (SSO). Un attaquant non authentifié ayant accès à un document SAML signé peut ainsi forger une réponse SAML et accéder au système vulnérable. La faille impacte également omniauth-saml, qui a mis à jour ruby-saml à la version 1.17. GitLab recommande aux utilisateurs de systèmes auto-gérés d'activer l'authentification à deux facteurs (2FA) et de désactiver l'option de contournement 2FA SAML. Bien que GitLab n'ait pas confirmé d'exploitation active de cette faille, des indicateurs suggèrent que des acteurs malveillants tentent d'en tirer parti. Parallèlement, la CISA a ajouté cinq vulnérabilités à son catalogue, incitant les agences fédérales à remédier aux failles d'ici le 9 octobre 2024 pour protéger leurs réseaux.
Sources :
Discord déploie le cryptage de bout en bout pour les appels audio et vidéo
Discord a lancé le protocole DAVE, un système de cryptage de bout en bout (E2EE) pour sécuriser les appels audio et vidéo sur sa plateforme. Développé en collaboration avec des experts en cybersécurité de Trail of Bits, DAVE vise à protéger les communications des utilisateurs contre les interceptions non autorisées. Ce protocole s'applique aux appels privés, aux discussions en petits groupes, ainsi qu'aux canaux vocaux et aux diffusions en direct. Les utilisateurs pourront vérifier si leurs appels sont chiffrés de bout en bout grâce à des indicateurs sur l'interface.
DAVE utilise l'API WebRTC pour chiffrer les flux audio et vidéo, laissant seulement certaines métadonnées non chiffrées. La gestion des clés est assurée par le protocole Messaging Layer Security (MLS), permettant des échanges de clés sécurisés et évolutifs. Discord a également rendu DAVE open-source, favorisant la transparence et l'audit par des chercheurs en sécurité. Le déploiement de DAVE se fera progressivement sur les applications de bureau et mobiles, avec une prise en charge future des clients web. Les utilisateurs doivent simplement mettre à jour leur application pour bénéficier de cette nouvelle fonctionnalité de sécurité.
Sources :
Europol démantèle la plateforme de messagerie cryptée « Ghost » utilisée à des fins criminelles
Europol, en collaboration avec les forces de l'ordre de neuf pays, a démantelé la plateforme de messagerie cryptée "Ghost", utilisée par des réseaux criminels pour des activités telles que le trafic de drogue et le blanchiment d'argent. Ghost offrait des fonctionnalités de sécurité avancées, permettant des abonnements payés en cryptomonnaie, avec trois couches de cryptage et un système d'autodestruction des messages. Environ 1 000 messages étaient échangés quotidiennement par des milliers d'utilisateurs à travers le monde. L'enquête, lancée en mars 2022, a permis de localiser les serveurs de Ghost en France et en Islande, ainsi que ses propriétaires en Australie. Les opérations coordonnées ont abouti à 51 arrestations, dont 38 en Australie et 11 en Irlande. Les principaux opérateurs font face à des accusations pouvant entraîner jusqu'à 26 ans de prison. En plus des arrestations, les autorités ont démantelé un laboratoire de drogue et saisi des armes et plus d'un million d'euros en espèces. Europol a souligné que la fragmentation des outils de communication cryptée complique les enquêtes, les criminels se tournant vers des solutions moins établies pour éviter d'exposer leurs opérations. L'agence appelle à un équilibre entre la protection de la vie privée et l'accès légal aux données.
Sources :
La vague de piratage de X alimente le scandale du token cryptographique « $HACKED »
Une série de piratages de comptes sur X a déclenché un schéma de pump-and-dump réussi pour le token $HACKED sur la blockchain Solana. Des comptes influents, tels que MoneyControl et People Magazine, ont été compromis, incitant des milliers d'utilisateurs à acheter le token. Les piratages ont commencé vers 14h00 ET, avec des centaines de comptes publiant un message identique : "CETTE COMPTE EST HACKÉ ! INTRODUISANT $HACKED SUR SOLANA". Au moment où BleepingComputer a pris connaissance des faits, le token comptait seulement 42 détenteurs et une capitalisation boursière d'environ 5 000 dollars. Cependant, après le piratage, le nombre de détenteurs a grimpé à 436, et la capitalisation boursière a atteint 166 175,57 dollars. Le marché est très volatile, les investisseurs prenant des bénéfices rapidement. Les méthodes de piratage restent floues, mais pourraient impliquer une clé API compromise ou des applications tierces. BleepingComputer a tenté de contacter certains comptes affectés pour obtenir plus d'informations, mais n'a pas reçu de réponses. L'histoire est en cours de développement, soulignant les risques associés aux cryptomonnaies et à la sécurité des comptes en ligne.
Sources :
Microsoft : les pirates de Vanilla Tempest ont attaqué le secteur de la santé avec le ransomware INC
Microsoft a annoncé que le groupe de hackers Vanilla Tempest cible désormais les organisations de santé américaines avec des attaques de ransomware INC. Ce groupe, actif depuis juin 2021, a déjà visé divers secteurs, notamment l'éducation et l'industrie, en utilisant plusieurs types de ransomware. Depuis juillet 2023, INC Ransom, une opération de ransomware-as-a-service (RaaS), a attaqué des entreprises telles que Yamaha Motor Philippines et le National Health Service (NHS) en Écosse. En mai 2024, un acteur de menace a proposé à la vente le code source de l'encrypteur INC pour 300 000 dollars sur des forums de hacking. Lors de la récente attaque contre le secteur de la santé, Vanilla Tempest a accédé au réseau via un autre hacker, Storm-0494, qui a utilisé le malware Gootloader. Les attaquants ont ensuite installé des malwares supplémentaires et utilisé des outils légitimes pour déployer le ransomware sur le réseau. Bien que Microsoft n'ait pas révélé le nom de l'organisation ciblée, une attaque similaire a touché les hôpitaux de McLaren Health Care dans le Michigan, perturbant leurs systèmes informatiques et entraînant des annulations de rendez-vous.
Sources :
Vague de piratages sur X : les comptes de Florent Manaudou, Alexandre Lacazatte, hackés par des escrocs
Le 18 septembre, le réseau social X (anciennement Twitter) a été victime d'une série de piratages ciblant plusieurs comptes de célébrités, dont ceux du nageur Florent Manaudou, du footballeur Alexandre Lacazette et du réalisateur Oliver Stone. Les hackers ont utilisé ces comptes pour diffuser des arnaques liées à la cryptomonnaie, en promouvant spécifiquement Solona et en partageant un numéro de portefeuille électronique. Ce type de piratage est courant, car les cybercriminels exploitent la notoriété des personnalités pour atteindre un large public. Cependant, l'ampleur des attaques du 18 septembre suggère une faille de sécurité sur les comptes X. Pour se protéger contre de telles intrusions, il est recommandé d'activer la double authentification sur le réseau social. Les utilisateurs peuvent le faire en accédant aux paramètres de leur compte et en suivant les étapes pour ajouter une couche de sécurité supplémentaire. Cette situation met en lumière les risques croissants liés à la sécurité des réseaux sociaux et l'importance de mesures préventives pour protéger les informations personnelles et professionnelles des utilisateurs.
Sources :
GitLab publie un correctif pour une faille critique de contournement de l'authentification SAML
GitLab a publié des mises à jour de sécurité pour corriger une vulnérabilité critique d'authentification SAML, affectant les installations auto-gérées des éditions Community (CE) et Enterprise (EE). Cette faille, identifiée sous le code CVE-2024-45409, provient d'un problème dans les bibliothèques OmniAuth-SAML et Ruby-SAML utilisées par GitLab pour gérer l'authentification SAML. Elle se manifeste lorsque la réponse SAML d'un fournisseur d'identité (IdP) est mal configurée ou manipulée, permettant à un attaquant de créer une réponse SAML malveillante. Cela peut amener GitLab à reconnaître l'attaquant comme un utilisateur authentifié, contournant ainsi l'authentification SAML. Les versions affectées incluent GitLab 17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10 et toutes les versions antérieures. Les mises à jour corrigent la vulnérabilité en mettant à jour OmniAuth SAML et Ruby-SAML. GitLab recommande vivement aux utilisateurs de mettre à jour vers les dernières versions. Pour ceux qui ne peuvent pas le faire immédiatement, il est conseillé d'activer l'authentification à deux facteurs (2FA) et de désactiver l'option de contournement 2FA SAML. Des signes d'exploitation potentielle ont été observés, bien que GitLab n'ait pas confirmé d'exploitations actives.
Sources :
Le nouveau botnet IoT « Raptor Train » compromet plus de 200 000 appareils dans le monde
Des chercheurs en cybersécurité ont découvert un botnet inédit, nommé Raptor Train, constitué de dispositifs SOHO et IoT, probablement géré par un acteur menaçant d'État chinois, Flax Typhoon. Ce botnet sophistiqué, actif depuis mai 2020, a atteint un pic de 60 000 appareils compromis en juin 2023, totalisant plus de 200 000 dispositifs, dont des routeurs, caméras IP et serveurs NAS de diverses marques. Les appareils sont infectés par un implant en mémoire, Nosedive, une variante personnalisée du botnet Mirai, via des serveurs de charge utile de niveau 2. Quatre campagnes distinctes ont été associées à Raptor Train, chacune ciblant des dispositifs spécifiques. Bien qu'aucune attaque DDoS n'ait été détectée, le botnet a été utilisé pour cibler des entités militaires et gouvernementales aux États-Unis et à Taïwan. Les liens avec Flax Typhoon se basent sur des similitudes tactiques et des cibles communes. Le FBI a réussi à neutraliser l'infrastructure des attaquants, permettant de désactiver le malware sur les appareils infectés. Ce botnet illustre la menace persistante que représente la cybersécurité face aux acteurs étatiques, notamment en ce qui concerne les infrastructures critiques.
Sources :
Microsoft a peut-être révélé que Windows 11 24H2 arriverait ce mois-ci
Microsoft a potentiellement confirmé que la mise à jour Windows 11 24H2 (mise à jour 2024) sera disponible le 24 septembre 2024, dans le cadre d'une mise à jour d'aperçu optionnelle, suivie des mises à jour de sécurité obligatoires le 8 octobre. Cette annonce provient d'un article de blog sur l'intégration de Microsoft Copilot dans l'application Microsoft 365 pour les utilisateurs professionnels. La mise à jour 24H2 introduira plusieurs nouvelles fonctionnalités, dont Voice Clarity, qui améliore la qualité audio en éliminant l'écho et le bruit de fond, et "Sudo for Windows", permettant d'exécuter des commandes élevées. Une nouvelle application Microsoft Teams sera également lancée, prenant en charge plusieurs comptes et offrant des performances améliorées. Bien que la mise à jour soit d'abord limitée aux produits phares, les utilisateurs peuvent accéder à la mise à jour en activant l'option "Obtenir les dernières mises à jour dès qu'elles sont disponibles" dans Windows Update. Les PC Intel et AMD ne bénéficieront pas de certaines fonctionnalités avancées d'IA, qui nécessitent un processeur Snapdragon. Les utilisateurs intéressés peuvent rejoindre le canal Windows Insider Release Preview pour installer la mise à jour dès maintenant.
Sources :
Explosion au Liban : ce que l’on sait des talkies-walkies piégés fournis au Hezbollah
Le 18 septembre, le ministère de la Santé libanais a rapporté que des explosions de talkies-walkies avaient causé la mort de vingt personnes et blessé au moins 450 autres. Ces incidents, qui ont eu lieu lors des funérailles de combattants tués précédemment, ont été confirmés par une source du Hezbollah, qui accuse Israël d'être derrière ces attaques. Les explosions, qualifiées de « petites », ont ciblé des radios personnelles, notamment le modèle ICOM V82, utilisé par le Hezbollah depuis plusieurs années. Des images montrent ces appareils endommagés, suggérant que des charges explosives avaient été fixées à leur batterie. Le Wall Street Journal a rapporté que des talkies-walkies piégés avaient été livrés récemment au groupe. En parallèle, des véhicules et d'autres objets électroniques ont pris feu, mais leur lien avec les explosions reste incertain. Selon CNN, des responsables israéliens auraient informé les États-Unis de plans d'opérations au Liban, sans fournir de détails. Ces événements soulignent les tensions persistantes entre le Hezbollah et Israël, exacerbées par des accusations d'agression criminelle de la part du groupe chiite.
Sources :
Apple retire la mise à jour iPadOS 18 qui bloque les appareils iPad Pro M4
Apple a suspendu le déploiement de la mise à jour iPadOS 18 pour les iPad Pro équipés de la puce M4 après que de nombreux utilisateurs aient signalé que l'update "brickait" leurs appareils, les rendant inutilisables. Les tentatives de récupération standard, comme le redémarrage forcé ou le mode de récupération, se sont révélées inefficaces, laissant les utilisateurs affectés se rendre en magasin Apple pour une évaluation. Les témoignages sur les forums de support d'Apple et Reddit évoquent des iPads qui s'éteignent pendant la mise à jour, sans possibilité de redémarrage. Certains utilisateurs ont noté que le problème semblait survenir après une mise à jour directe de la version 17.6.1 à 18, tandis que d'autres ont contredit cette hypothèse. Des spéculations suggèrent un échec dans la phase finale d'iBoot, entraînant une corruption des fichiers système. Apple a reconnu le problème et a temporairement retiré la mise à jour, précisant qu'il n'affectait qu'un petit nombre de dispositifs, sans fournir de chiffres ni d'explications détaillées. Les utilisateurs d'iPad Pro sont conseillés de ne pas procéder à la mise à jour tant qu'Apple n'a pas confirmé la résolution du problème.
Sources :
Un botnet chinois infecte 260 000 routeurs SOHO et caméras IP avec des logiciels malveillants
Le FBI et des chercheurs en cybersécurité ont perturbé un vaste botnet chinois nommé "Raptor Train", qui a infecté plus de 260 000 dispositifs de réseau, ciblant des infrastructures critiques aux États-Unis et dans d'autres pays. Ce botnet a été utilisé pour attaquer des entités militaires, gouvernementales, éducatives, ainsi que des secteurs des télécommunications et de la défense, principalement aux États-Unis et à Taïwan. En quatre ans, Raptor Train a évolué en un réseau complexe avec un système de contrôle de type entreprise, gérant des milliers de dispositifs infectés tels que des routeurs, des caméras IP et des serveurs NAS. Les chercheurs ont identifié trois niveaux d'activité au sein du botnet, chacun ayant des fonctions spécifiques. En réponse à la menace, le FBI a mené des opérations autorisées par la cour pour reprendre le contrôle de l'infrastructure du botnet, malgré des tentatives de migration des dispositifs infectés par les opérateurs. En juin, une base de données a révélé plus de 1,2 million de dispositifs compromis, dont 385 000 uniques aux États-Unis. Les chercheurs soulignent que, bien que sophistiqué, des mesures de protection peuvent être mises en place pour contrer Raptor Train.
Sources :
La société de sécurité russe Dr.Web déconnecte tous ses serveurs après une violation
Le 18 septembre 2024, la société russe de cybersécurité Dr.Web a annoncé une violation de sécurité après une cyberattaque survenue le week-end précédent. En réponse, l'entreprise a déconnecté tous ses serveurs de son réseau interne, détectant des "signes d'interférence non autorisée" dans son infrastructure informatique. Dr.Web a également suspendu la livraison des mises à jour de sa base de données antivirus pendant l'enquête sur l'incident. Selon la société, l'attaque a débuté le 14 septembre, mais elle a réussi à contrôler la situation sans que les utilisateurs protégés par Dr.Web ne soient affectés. Après avoir mis en œuvre des diagnostics de sécurité, les mises à jour ont repris le 17 septembre. Dr.Web a précisé que des mesures avaient été prises pour analyser et éliminer les conséquences de l'incident, notamment l'utilisation de Dr.Web FixIt! pour Linux. Ce cas s'inscrit dans une série d'attaques ciblant des entreprises de cybersécurité russes, comme l'illustre l'attaque de Cyber Anarchy Squad contre Avanpost en juin 2024. Dr.Web a souligné que sa réponse rapide avait permis de protéger ses clients.
