Le créateur de Bitcoin Fog écope de 12 ans pour blanchiment en cryptomonnaie. - Actus du 09/11/2024
Découvrez les dernières menaces : un réseau de fraude médicale se développe, une cyberattaque frappe un fournisseur pétrolier texan et Palo Alto alerte sur la sécurisation urgente de l'interface PAN-OS face aux risques RCE. Protégez-vous maintenant !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Un système de fraude médicale inquiétant commence à apparaitre
Un système de fraude médicale sophistiqué émerge à l'échelle mondiale, où des cybercriminels se présentent comme des employés d'hôpitaux pour inciter les citoyens à télécharger une application mobile. Sous prétexte de faciliter la prise de rendez-vous médicaux, ces escrocs accèdent aux données personnelles des utilisateurs. Ils exploitent la confiance envers les institutions médicales, se faisant passer pour des professionnels de santé afin de rendre leur tromperie plus efficace. Les victimes sont souvent dirigées vers une application prétendument officielle, imitant les interfaces des véritables applications institutionnelles. Ce type de fraude, lié au phishing, peut entraîner des violations de la vie privée et des pertes financières significatives, notamment l'accès aux comptes bancaires et aux services gouvernementaux. Les témoignages de personnes ayant failli être victimes soulignent la crédibilité des escroqueries, comme celle d'une utilisatrice qui a reçu un appel convaincant d'une prétendue infirmière. Bien que ce phénomène n'ait pas encore été signalé en France, en Europe ou au Québec, il est crucial de sensibiliser le public aux risques liés aux applications non officielles et de rester vigilant face aux demandes d'accès aux données personnelles.
Sources :
Un fournisseur de champs pétroliers basé au Texas fait face à une attaque de ransomware
Newpark Resources, un fournisseur texan de services pétroliers, a récemment subi une attaque de ransomware, détectée le 29 octobre, qui a perturbé ses systèmes d’information internes. Cette cyberattaque a limité l’accès à plusieurs applications essentielles, affectant les opérations commerciales, y compris les systèmes de reporting financier. Malgré ces perturbations, l’entreprise a réussi à maintenir ses activités de fabrication et de terrain grâce à des procédures d’urgence préétablies. Dans un dossier réglementaire soumis à la Securities and Exchange Commission (SEC), Newpark a indiqué que les conséquences financières de l’attaque restent incertaines, mais a minimisé son impact potentiel sur la situation financière de l’entreprise. Pour le dernier trimestre, Newpark a rapporté un chiffre d’affaires de plus de 44 millions de dollars et prévoit 223 millions de dollars pour 2024. L’incident souligne la vulnérabilité du secteur pétrolier et gazier face aux cybermenaces, un domaine déjà touché par d’autres attaques notables, comme celle de Colonial Pipeline en 2021. Face à cette menace croissante, les gouvernements et entreprises intensifient leurs efforts pour renforcer la cybersécurité des infrastructures critiques.
Sources :
Palo Alto conseille de sécuriser l'interface PAN-OS en raison des risques potentiels liés aux RCE
Palo Alto Networks a publié un avis de sécurité concernant une vulnérabilité potentielle d'exécution de code à distance via l'interface de gestion de PAN-OS. Bien que les détails de cette vulnérabilité ne soient pas encore connus, l'entreprise surveille activement les signes d'exploitation. En attendant, elle recommande aux utilisateurs de sécuriser l'accès à l'interface de gestion en suivant les meilleures pratiques, notamment en limitant l'accès aux adresses IP internes de confiance et en évitant d'exposer l'interface à Internet. Parmi les recommandations figurent l'isolement de l'interface sur un VLAN dédié, l'utilisation de serveurs de saut pour accéder à l'IP de gestion, la restriction des adresses IP entrantes aux dispositifs de gestion approuvés, et l'autorisation uniquement de communications sécurisées comme SSH et HTTPS. Cette alerte survient après que la CISA a ajouté une vulnérabilité critique, CVE-2024-5910, à son catalogue, liée à un manque d'authentification dans l'outil de migration Expedition, permettant potentiellement la prise de contrôle d'un compte administrateur. Les agences fédérales doivent appliquer les correctifs nécessaires d'ici le 28 novembre 2024 pour protéger leurs réseaux.
Sources :
Le fondateur de Bitcoin Fog condamné à 12 ans de prison pour blanchiment d'argent en cryptomonnaie
Roman Sterlingov, fondateur de Bitcoin Fog, un service de mixage de cryptomonnaies, a été condamné à 12 ans et six mois de prison pour avoir facilité des activités de blanchiment d'argent entre 2011 et 2021. Ce citoyen russo-suédois a plaidé coupable en mars dernier. Le ministère américain de la Justice (DoJ) a qualifié Bitcoin Fog de plus ancien service de mixage sur le darknet, permettant aux cybercriminels de dissimuler l'origine de leurs fonds. Au cours de son opération, Bitcoin Fog a traité plus de 1,2 million de bitcoins, représentant environ 400 millions de dollars, provenant principalement de marchés illégaux liés à la drogue, aux crimes informatiques et à l'exploitation sexuelle des enfants. En plus de sa peine de prison, Sterlingov doit également renoncer à 395,56 millions de dollars et à des actifs cryptographiques d'une valeur d'environ 1,76 million de dollars. Parallèlement, d'autres condamnations ont été prononcées, dont celle de Babatunde Francis Ayeni, un Nigérian, à dix ans de prison pour une fraude par e-mail ayant causé près de 20 millions de dollars de pertes. Ces affaires soulignent l'ampleur croissante des cybercrimes et des opérations de blanchiment d'argent aux États-Unis.
Sources :
Un bug critique de Veeam RCE est désormais utilisé dans les attaques de ransomware Frag
Une vulnérabilité critique dans Veeam Backup & Replication (VBR), identifiée comme CVE-2024-40711, est exploitée dans des attaques de ransomware, notamment celles de Frag, Akira et Fog. Découverte par le chercheur Florian Hauser, cette faille résulte d'une désérialisation de données non fiables, permettant à des acteurs malveillants non authentifiés d'exécuter du code à distance sur les serveurs Veeam. Bien que Veeam ait publié des mises à jour de sécurité le 4 septembre, les chercheurs de Code White ont retardé la divulgation de détails techniques pour éviter une exploitation immédiate par des gangs de ransomware. Malgré ces précautions, des attaques ont eu lieu, utilisant la faille RCE et des identifiants VPN volés pour créer des comptes non autorisés sur des serveurs non corrigés. Sophos X-Ops a récemment observé que le groupe STAC 5881 a déployé le ransomware Frag en utilisant des techniques similaires. Ce groupe utilise également des binaires légitimes disponibles sur les systèmes compromis, rendant leur détection difficile. Veeam, qui compte plus de 550 000 clients, est un choix populaire pour la sauvegarde et la protection des données, ce qui en fait une cible privilégiée pour les cybercriminels.
Sources :
D-Link ne corrigera pas une faille critique affectant 60 000 anciens périphériques NAS
D-Link a annoncé qu'il ne corrigera pas une vulnérabilité critique affectant plus de 60 000 de ses anciens dispositifs de stockage en réseau (NAS), identifiée sous le nom CVE-2024-10914, avec un score de sévérité de 9,2. Cette faille, présente dans la commande ‘cgiuseradd’, permet à un attaquant non authentifié d'injecter des commandes shell arbitraires via des requêtes HTTP GET malveillantes. Les modèles concernés incluent le DNS-320, DNS-325 et DNS-340L, largement utilisés par les petites entreprises. Un chercheur en sécurité, Netsecfish, a démontré que l'exploitation de cette vulnérabilité nécessite l'envoi d'une requête HTTP spécialement conçue. Une recherche sur la plateforme FOFA a révélé plus de 61 000 dispositifs vulnérables. D-Link a confirmé qu'aucun correctif ne sera fourni et recommande aux utilisateurs de retirer les produits affectés ou, à défaut, de les isoler d'Internet public. Cette situation fait suite à une autre vulnérabilité découverte en avril 2024, également liée à des modèles similaires de D-Link, pour laquelle la société avait déjà indiqué qu'elle ne fournirait plus de mises à jour de sécurité, les produits étant considérés comme en fin de vie.
Sources :
Des bugs non corrigés de Mazda Connect permettent aux pirates d'installer des logiciels malveillants persistants
Des chercheurs ont découvert plusieurs vulnérabilités dans le système d'infodivertissement Mazda Connect, utilisé dans divers modèles de voitures, notamment la Mazda 3 (2014-2021). Ces failles, qui restent non corrigées, permettent aux attaquants d'exécuter du code arbitraire avec des permissions root, compromettant ainsi la sécurité et le fonctionnement du véhicule. Parmi les vulnérabilités identifiées, on trouve des injections SQL et des injections de commandes, qui pourraient donner un accès illimité aux réseaux du véhicule. Par exemple, l'injection SQL (CVE-2024-8355) permet de manipuler la base de données via un appareil Apple falsifié, tandis que d'autres failles (CVE-2024-8359, CVE-2024-8360, CVE-2024-8358) permettent d'exécuter des commandes arbitraires en injectant des chemins de fichiers non sécurisés. Bien que l'exploitation de ces vulnérabilités nécessite un accès physique au système, ce dernier est facilement réalisable dans des situations comme le stationnement avec service ou lors de réparations. Une fois compromis, le système peut être manipulé pour accéder aux unités de contrôle électronique du véhicule, entraînant des risques tels que la divulgation d'informations, le blocage du système ou des attaques par ransomware.
Sources :
Palo Alto Networks met en garde contre une vulnérabilité potentielle de PAN-OS RCE
Le 8 novembre 2024, Palo Alto Networks a averti ses clients d'une potentielle vulnérabilité d'exécution de code à distance (RCE) dans l'interface de gestion de PAN-OS. Dans un avis de sécurité, l'entreprise a indiqué qu'elle n'avait pas encore d'informations détaillées sur cette faille et n'avait pas détecté d'exploitation active. Elle recommande fortement aux clients de restreindre l'accès à l'interface de gestion en suivant les meilleures pratiques de déploiement. Les utilisateurs de Cortex Xpanse et Cortex XSIAM peuvent examiner les alertes générées par les règles de surface d'attaque liées à l'accès non autorisé. Palo Alto Networks conseille de bloquer l'accès Internet à l'interface de gestion et de n'autoriser que les connexions provenant d'adresses IP internes de confiance. Des mesures supplémentaires incluent l'isolation de l'interface sur un VLAN dédié, l'utilisation de serveurs de saut pour l'accès, et la limitation des adresses IP entrantes. Par ailleurs, la CISA a signalé des attaques exploitant une vulnérabilité critique (CVE-2024-5910) dans Palo Alto Networks Expedition, incitant les agences fédérales à sécuriser leurs systèmes d'ici le 28 novembre. Ces vulnérabilités représentent des vecteurs d'attaque fréquents pour les cybercriminels.
Sources :
Séoul accuse des pirates pro-Kremlin d’attaquer des sites Web après l’envoi d’observateurs en Ukraine
Séoul a signalé une intensification des cyberattaques pro-russes ciblant des organisations sud-coréennes, suite à l'envoi d'observateurs en Ukraine et au déploiement de troupes nord-coréennes aux côtés des forces russes. Selon le bureau présidentiel, les agences de cybersécurité ont détecté des attaques visant principalement des sites Web civils et gouvernementaux, entraînant des interruptions temporaires d'accès, mais sans dommages significatifs. Ces cyberattaques, qui incluent des piratages et des attaques par déni de service distribué (DDoS), sont devenues plus fréquentes depuis que la Corée du Nord a envoyé des soldats en Russie pour soutenir l'effort de guerre en Ukraine. En réponse, le gouvernement sud-coréen a tenu une réunion d'urgence pour renforcer sa préparation face à ces menaces. Des groupes hacktivistes comme Z Pentest et NoName057(16) ont revendiqué certaines de ces attaques, affirmant avoir accédé à des installations critiques en Corée du Sud, bien que ces affirmations n'aient pas été confirmées. La situation est exacerbée par la coopération entre Moscou et Pyongyang, qui a suscité des condamnations de la part des alliés de l'Ukraine, dont la Corée du Sud.
