Le piratage d’une plateforme IA révèle la perversion criminelle en ligne - Actus du 09/10/2024
Découvrez pourquoi Discord est bloqué en Russie et en Turquie, comment les comptes de réseaux sociaux menacent la sécurité SaaS, et profitez du mois de sensibilisation à la cybersécurité pour renforcer votre vigilance en ligne. Ne manquez pas notre analyse approfondie !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Discord bloqué en Russie et en Turquie pour diffusion de contenu illégal
Discord a été bloqué en Russie et en Turquie depuis le 8 octobre 2024 en raison d'activités illégales sur la plateforme, rendant l'accès impossible pour les utilisateurs légitimes sans utiliser un VPN. Initialement conçu pour les gamers, Discord a évolué pour accueillir divers groupes d'intérêt, mais est devenu un lieu privilégié pour des activités criminelles, notamment des cyberattaques et le vol de données. Les utilisateurs ont signalé sur Reddit qu'ils ne pouvaient plus accéder au site ou à l'application, sauf via un VPN, qui fonctionne parfois mais pas toujours. Roskomnadzor, le régulateur russe, a confirmé que le blocage était dû à des violations de la législation nationale, précisant que Discord avait refusé de dialoguer avec les autorités. En Turquie, le blocage a été ordonné par un tribunal en lien avec des contenus d'abus d'enfants et d'obscénité, le ministre de la Justice ayant évoqué des préoccupations de sécurité nationale concernant l'utilisation de Discord pour organiser des manifestations. Les utilisateurs tentent de contourner ces restrictions, mais l'utilisation de VPN peut entraîner des poursuites légales dans ces pays. Discord n'a pas encore commenté cette situation.
Sources :
Comptes de réseaux sociaux : le maillon faible de la sécurité SaaS organisationnelle
Les comptes de médias sociaux sont essentiels pour façonner l'identité et la réputation d'une marque, permettant une interaction directe avec les clients. Cependant, de nombreuses organisations négligent la sécurité de ces comptes, ce qui peut entraîner des accès non autorisés, des dommages réputationnels et des pertes financières. L'article souligne l'importance de comprendre les risques associés aux médias sociaux et de mettre en place des mesures de protection.
Les plateformes comme Facebook et Instagram possèdent deux couches d'accès : la page publique, où le contenu est partagé, et le compte publicitaire, utilisé pour les campagnes ciblées. Chacune de ces couches a ses propres rôles et permissions, souvent attribués à des agences externes. Une mauvaise gestion de ces accès peut permettre à des utilisateurs non autorisés de publier ou de modifier des contenus au nom de la marque, entraînant des risques réputationnels.
Pour atténuer ces risques, l'utilisation d'outils de gestion de la posture de sécurité SaaS (SSPM) est recommandée. Ces outils offrent une visibilité centralisée sur les utilisateurs et leurs permissions, permettant ainsi un meilleur contrôle et une protection accrue des comptes de médias sociaux. En intégrant des vérifications de sécurité et des capacités de détection des menaces, les entreprises peuvent mieux sécuriser leur présence en ligne.
Sources :
Sensibilisation à la cybersécurité : un mois pour renforcer la vigilance
Les récentes cyberattaques soulignent l'urgence pour les entreprises de renforcer leur cybersécurité. Une étude de l'ISACA révèle que 39 % des organisations mondiales ont subi une augmentation des cyberattaques, tandis que plus de la moitié des équipes de cybersécurité en Europe se disent sous-financées et manquent de personnel. Jean-Christophe Vitu, VP Solutions Engineer chez CyberArk, insiste sur l'importance de la sensibilisation à la cybersécurité, surtout face à des menaces de plus en plus sophistiquées, notamment celles utilisant l'intelligence artificielle. Il souligne que la sécurité doit être une préoccupation quotidienne, mais qu'un accent particulier durant un mois peut aider à mettre en lumière des tendances souvent négligées. Un changement majeur dans le paysage des risques cybernétiques est l'élargissement des identités à protéger, incluant non seulement les utilisateurs malveillants, mais aussi les identités machines et les modèles de langage (LLM). Ces nouvelles identités, qui peuvent agir de manière autonome dans les systèmes informatiques, augmentent la surface d'attaque et nécessitent une approche de sécurité spécifique. Il est donc crucial que les entreprises adoptent une stratégie de protection globale pour toutes les identités présentes dans leur environnement.
Sources :
Le piratage d’une plateforme IA révèle la perversion criminelle de certains internautes
La plateforme Muah.ai, dédiée à la création de partenaires virtuels pour des scénarios sexuels, a été piratée, révélant des abus choquants. Un hacker, motivé par la curiosité, a exfiltré des données contenant des requêtes d'utilisateurs, dont certaines font référence à des mineurs. Les journalistes de 404 Media ont découvert des demandes explicites, y compris des scénarios incestueux impliquant des nouveau-nés et des enfants, ainsi que des requêtes sur la torture et l'esclavage sexuel. L'administrateur de Muah.ai a tenté de minimiser la situation en affirmant que le piratage était l'œuvre d'un concurrent, sans fournir de preuves. Il a également mentionné que son équipe de modérateurs travaille à supprimer les contenus inappropriés. Cependant, des experts, comme Troy Hunt, soulignent que la fuite contient plus de 30 000 requêtes mentionnant des enfants de 13 ans et 26 000 concernant des prépubères, ainsi que des emails professionnels qui pourraient identifier les utilisateurs. Cette situation soulève des préoccupations majeures sur la sécurité des données et l'exploitation potentielle des mineurs dans des contextes inappropriés.
Sources :
Microsoft publie une mise à jour de sécurité corrigeant 118 failles, dont deux activement exploitées dans la nature
Microsoft a publié des mises à jour de sécurité pour corriger 118 vulnérabilités dans son portefeuille logiciel, dont deux sont activement exploitées. Parmi ces failles, trois sont classées comme critiques, 113 comme importantes et deux comme modérées. Cinq vulnérabilités étaient connues publiquement au moment de la publication, dont deux, CVE-2024-43572 et CVE-2024-43573, sont exploitées en tant que zero-day. La première concerne une vulnérabilité d'exécution de code à distance dans Microsoft Management Console, tandis que la seconde est liée à un problème de spoofing dans la plateforme MSHTML de Windows. La CISA a également noté l'exploitation active de ces vulnérabilités et les a ajoutées à son catalogue de vulnérabilités connues. En outre, une vulnérabilité critique dans Microsoft Configuration Manager pourrait permettre à des acteurs non authentifiés d'exécuter des commandes arbitraires. D'autres mises à jour de sécurité ont été publiées par divers fournisseurs, y compris Adobe, Apple, Cisco et Google, pour corriger plusieurs vulnérabilités dans leurs produits respectifs. Ces mises à jour soulignent l'importance de maintenir les systèmes à jour pour se protéger contre les menaces potentielles.
Sources :
Microsoft détecte une utilisation croissante des services d'hébergement de fichiers dans les attaques de compromission de courrier électronique professionnel
Microsoft met en garde contre des campagnes de cyberattaques exploitant des services de stockage de fichiers légitimes comme SharePoint, OneDrive et Dropbox, utilisés dans les environnements d'entreprise pour contourner les défenses de sécurité. Ces attaques visent à compromettre des identités et des appareils, facilitant des escroqueries par email (BEC) qui entraînent des fraudes financières et de l'exfiltration de données. Cette méthode, appelée "living-off-trusted-sites" (LOTS), permet aux attaquants de se fondre dans le trafic réseau légitime, rendant la détection plus difficile. Depuis avril 2024, Microsoft a observé une tendance croissante dans les campagnes de phishing utilisant des fichiers à accès restreint, où les fichiers sont configurés en mode "lecture seule" pour éviter le téléchargement et la détection d'URLs malveillantes. Les victimes doivent s'authentifier via un mot de passe à usage unique (OTP) pour accéder aux fichiers, ce qui les redirige vers une page de phishing qui vole leurs identifiants et tokens d'authentification à deux facteurs. Ces techniques sophistiquées de manipulation sociale permettent aux attaquants d'étendre leur portée et de mener d'autres escroqueries. Parallèlement, un kit de phishing, Mamba 2FA, est proposé en tant que service pour faciliter ces attaques.
Sources :
Un nouveau scanner détecte des serveurs Linux et UNIX exposés aux attaques CUPS RCE
Un nouvel outil de scan automatisé a été développé pour aider les professionnels de la sécurité à identifier les serveurs Linux et UNIX vulnérables à une faille d'exécution de code à distance (RCE) dans le système d'impression Unix commun (CUPS), référencée CVE-2024-47176. Cette vulnérabilité, révélée par Simone Margaritelli, permet aux attaquants d'exécuter du code à distance sous certaines conditions. Bien que son exploitation semble limitée dans des déploiements réels, elle pourrait également être utilisée pour amplifier des attaques par déni de service distribué (DDoS) jusqu'à 600 fois, selon Akamai. Le scanner, conçu par Marcus Hutchins, permet aux administrateurs système de détecter rapidement les instances vulnérables de CUPS-Browsed sur leurs réseaux. La faille provient du fait que cups-browsed expose son port de contrôle (UDP port 631) à l'ensemble du réseau, permettant à quiconque d'envoyer des commandes. Le script Python envoie un paquet UDP à l'adresse de diffusion du réseau, et les dispositifs vulnérables répondent par un appel HTTP, permettant ainsi d'identifier les systèmes à risque. Les résultats sont consignés dans des fichiers log pour une analyse approfondie. Les administrateurs peuvent ainsi planifier des actions de correction ciblées pour réduire l'exposition à cette vulnérabilité.
Sources :
Microsoft : Windows 11 22H2 Home et Pro ont atteint la fin de leur maintenance
Microsoft a annoncé que plusieurs éditions de Windows 11, notamment les versions 22H2 Home, Pro, Pro Education, Pro for Workstations et SE, ainsi que les éditions 21H2 Enterprise, Education et IoT Enterprise, ont atteint leur fin de service. Cela signifie que la mise à jour de sécurité d'octobre 2024 sera la dernière disponible pour ces versions, qui ne recevront plus de mises à jour mensuelles de sécurité. Pour garantir la protection des utilisateurs, Windows Update lancera automatiquement une mise à jour de fonctionnalité pour les appareils non gérés par des départements informatiques. Les utilisateurs peuvent choisir un moment approprié pour redémarrer leur appareil afin de compléter cette mise à jour. Par ailleurs, Microsoft a commencé le déploiement de la mise à jour Windows 11, version 24H2, qui remplace les versions 22H2 et 23H2. Les utilisateurs souhaitant bénéficier des dernières fonctionnalités doivent activer l'option correspondante dans les paramètres de mise à jour. Cependant, des restrictions de compatibilité ont été mises en place pour certains appareils, notamment ceux utilisant des pilotes audio Intel incompatibles, afin d'éviter des problèmes tels que l'écran bleu de la mort.
Sources :
Le nouveau service de contournement Mamba 2FA cible les comptes Microsoft 365
Un nouveau service de contournement de l'authentification à deux facteurs (2FA) appelé Mamba 2FA cible les comptes Microsoft 365 à travers des attaques de phishing sophistiquées. Ce service, vendu 250 $ par mois, permet aux cybercriminels de capturer les jetons d'authentification des victimes et de contourner les protections de l'authentification multi-facteurs (MFA). Mamba 2FA a été documenté pour la première fois en juin 2024, mais son utilisation remonte à novembre 2023. Les opérateurs ont amélioré leur infrastructure pour rendre leurs campagnes plus discrètes, en utilisant des serveurs proxy pour masquer les adresses IP et en faisant tourner régulièrement les domaines utilisés dans les URL de phishing. Les pages de phishing sont conçues pour imiter les services Microsoft 365, avec des modèles personnalisés pour les entreprises, rendant les tentatives d'escroquerie plus crédibles. Les informations volées sont envoyées à l'attaquant via un bot Telegram, permettant une exploitation rapide. Mamba 2FA représente une menace croissante pour les organisations, incitant à adopter des mesures de sécurité renforcées, telles que des clés de sécurité matérielles et l'authentification basée sur des certificats.
Sources :
Microsoft corrige les problèmes de bureau à distance causés par la mise à jour de Windows Server
Microsoft a annoncé que les mises à jour cumulatives de Patch Tuesday d'octobre 2024 corrigent un problème connu affectant les connexions Remote Desktop sur les serveurs Windows, survenu après l'installation des mises à jour de sécurité de juillet. Ce problème, signalé par de nombreux administrateurs, entraînait des plantages fréquents du service RD Gateway, se produisant toutes les 30 minutes, ce qui provoquait des interruptions de connexion. Les administrateurs pouvaient identifier ce problème comme une terminaison du service TSGateway, générant un code d'exception 0xc0000005 et enregistré comme Événement 1000 dans le journal système. Microsoft a précisé que l'utilisation de protocoles hérités pouvait perturber la connectivité Remote Desktop dans les organisations. Les versions de Windows Server concernées incluent 2022, 2019, 2016, 2012 R2 et 2012, toutes affectées par les mises à jour de sécurité spécifiques. Pour les organisations ne pouvant pas appliquer immédiatement les mises à jour, Microsoft a proposé deux solutions temporaires. En outre, les mises à jour d'octobre 2024 traitent également 118 vulnérabilités, dont cinq zero-days publiquement divulguées.
Sources :
Le Patch Tuesday d'octobre 2024 de Microsoft corrige 5 zero-days et 118 failles
Ce Patch Tuesday a corrigé trois vulnérabilités critiques, toutes liées à l'exécution de code à distance. Microsoft a identifié deux vulnérabilités zero-day activement exploitées : CVE-2024-43573, une faille de spoofing de la plateforme MSHTML, et CVE-2024-43572, une vulnérabilité d'exécution de code à distance dans la console de gestion de Microsoft. La première concerne la plateforme MSHTML, utilisée par le mode Internet Explorer dans Microsoft Edge, tandis que la seconde permet à des fichiers de console malveillants d'exécuter du code à distance via un serveur proposant un certificat TLS mal conçu. Cette vulnérabilité a été découverte par un chercheur en sécurité et a été corrigée par une mise à jour de la bibliothèque libcurl. De plus, des chercheurs ont signalé qu'il était possible de contourner le UEFI sur certains matériels, compromettant ainsi le noyau sécurisé. Microsoft a également publié des mises à jour pour d'autres produits, tandis qu'Optigo Networks et Qualcomm ont corrigé des failles dans leurs systèmes respectifs. Ce Patch Tuesday souligne l'importance d'une gestion proactive des vulnérabilités et d'une stratégie de mise à jour régulière pour protéger les systèmes contre les menaces potentielles.
Sources :
Mises à jour cumulatives Windows 11 KB5044284 et KB5044285 publiées
Microsoft a publié les mises à jour cumulatives KB5044284 et KB5044285 pour Windows 11, visant les versions 24H2 et 22H2/23H2, afin de corriger des vulnérabilités de sécurité et de résoudre 27 bogues et problèmes de performance. Ces mises à jour, obligatoires, incluent les correctifs de sécurité d'octobre 2024. Les utilisateurs peuvent les installer via les paramètres de Windows Update ou les télécharger manuellement depuis le Microsoft Update Catalog.
La mise à jour KB5044284 pour Windows 11 24H2 propose 13 correctifs, dont un pour le service Remote Desktop Gateway et une nouvelle recommandation énergétique pour désactiver la plage dynamique élevée (HDR) afin de conserver l'énergie. De plus, une option pour désactiver la précision améliorée du pointeur de la souris a été ajoutée.
La mise à jour KB5044285 pour les versions 23H2 et 22H2 comprend 14 améliorations, notamment des corrections pour les gels de Microsoft Edge et du gestionnaire de tâches. Elle simplifie également l'authentification pour Outlook et permet de gérer l'abonnement Copilot Pro dans les paramètres. Après installation, Windows 11 24H2 sera mis à jour vers la version 26100.2033.
Sources :
Mise à jour Windows 10 KB5044273 publiée avec 9 correctifs et mises à jour de sécurité
Microsoft a publié la mise à jour cumulative KB5044273 pour Windows 10 22H2 et 21H2, comprenant neuf correctifs et mises à jour de sécurité dans le cadre du Patch Tuesday d'octobre 2024. Cette mise à jour est obligatoire et s'installe automatiquement lors de la vérification des mises à jour dans les paramètres de Windows. Les utilisateurs peuvent également choisir de télécharger manuellement la mise à jour depuis le Microsoft Update Catalog. Après installation, Windows 10 22H2 sera mis à jour vers la version 19045.5011 et 21H2 vers la version 19044.5011.
Parmi les correctifs notables, on trouve une solution à un problème de non-réponse de Windows Server lors de l'utilisation de l'Explorateur de fichiers ou de la barre des tâches, ainsi qu'une notification d'opt-in pour Windows Update qui apparaît à la connexion. D'autres améliorations concernent la lecture multimédia, le mode IE de Microsoft Edge, et des ajustements pour Microsoft Entra SSO. Cependant, un problème persistant provoquant des erreurs 0x80070520 lors du changement de photo de profil demeure non résolu. Une liste complète des correctifs est disponible dans le bulletin de support de KB5044273.
Sources :
Alerte zero-day : trois vulnérabilités critiques d'Ivanti CSA activement exploitées
Ivanti a averti que trois nouvelles vulnérabilités de sécurité affectant son Cloud Service Appliance (CSA) sont actuellement exploitées activement. Ces failles, qualifiées de zero-day, sont utilisées en conjonction avec une autre vulnérabilité récemment corrigée. L'exploitation réussie de ces vulnérabilités pourrait permettre à un attaquant authentifié avec des privilèges administratifs de contourner des restrictions, d'exécuter des instructions SQL arbitraires ou d'obtenir une exécution de code à distance. Les vulnérabilités identifiées sont : CVE-2024-9379 (injection SQL), CVE-2024-9380 (injection de commande OS) et CVE-2024-9381 (traversée de chemin), toutes affectant les versions antérieures à 5.0.2. Ivanti a constaté que ces failles étaient exploitées en combinaison avec une vulnérabilité critique (CVE-2024-8963) permettant à un attaquant non authentifié d'accéder à des fonctionnalités restreintes. La société recommande aux utilisateurs de mettre à jour vers la version 5.0.2 et de vérifier les utilisateurs administratifs pour détecter des signes de compromission. Cette alerte survient peu après que la CISA a ajouté une autre vulnérabilité d'Ivanti à son catalogue de vulnérabilités exploitées.
Sources :
Des joueurs trompés en téléchargeant des logiciels malveillants basés sur Lua via de faux moteurs de scripts de triche
Des utilisateurs à la recherche de cheats pour jeux vidéo sont victimes d'un malware basé sur Lua, capable de s'installer durablement sur les systèmes infectés et de livrer des charges utiles supplémentaires. Selon Shmuel Uzan, chercheur chez Morphisec, cette attaque exploite la popularité des compléments du moteur de jeu Lua au sein de la communauté étudiante de gamers, avec une forte prévalence en Amérique du Nord, du Sud, en Europe, en Asie et en Australie. OALabs a documenté cette campagne en mars 2024, où des utilisateurs étaient incités à télécharger un loader malveillant via une faille sur GitHub. McAfee Labs a ensuite révélé que des acteurs malveillants utilisaient la même méthode pour distribuer une variante du voleur d'informations RedLine. GitHub a pris des mesures pour désactiver les comptes et contenus en violation de ses politiques. L'analyse de Morphisec a montré une simplification dans la livraison du malware, utilisant des scripts Lua obfusqués pour éviter les soupçons. Les utilisateurs cherchant des moteurs de scripts de triche sont redirigés vers des sites frauduleux contenant des archives ZIP piégées. Ces archives contiennent des composants permettant d'établir une communication avec un serveur de commande et de contrôle, facilitant la persistance et le téléchargement de nouvelles charges utiles.
Sources :
Attention au faux site Bitdefender
Un faux site imitant Bitdefender a été découvert par ZATAZ, illustrant le phénomène du typosquatting, où une URL est légèrement modifiée pour tromper les utilisateurs. Par exemple, l'adresse bidefender[.fr] remplace l'originale en .fr, manipulant ainsi l'attention des internautes. Ce type d'escroquerie n'est pas isolé, un faux site Disney a également été identifié, transformé en Diney[.fr]. D'autres adresses, visant Interpol et Europol, ont été fermées après avoir redirigé vers un blog de cuisine, qui à son tour envoyait les visiteurs vers une page malveillante, déclenchant de fausses alertes de virus et incitant à contacter un numéro suspect. De plus, des adresses comme abonnement-iptvfrance[.fr] et abonnement-iptvpro[.fr] ont été signalées, exploitant la popularité de l'IPTV sans recourir au typosquatting. Ces arnaques ne se contentent pas de soutirer de l'argent, elles mettent également en péril la sécurité des données personnelles des utilisateurs. Il est donc crucial de rester vigilant face à ces menaces en ligne et de vérifier attentivement les URL avant de cliquer.
Sources :
SchenkYou victime d’une violation de données majeure : 6 millions d’enregistrements compromis
SchenkYou, un spécialiste allemand des cadeaux d'entreprise, a subi une violation de données majeure, exposant les informations de plus de 200 000 clients. Environ 6 millions d'enregistrements ont été compromis, incluant des adresses électroniques, des noms, des dates de naissance et des hachages de mots de passe. L'attaque a été revendiquée par un hacker connu sous le pseudonyme « grep », qui a mis en vente la base de données sur BreachForums le 3 septembre 2024. Il a proposé cette base de données pour 1 500 dollars ou a offert à SchenkYou de la racheter pour 50 000 dollars. Cette violation a attiré l'attention d'IntelBroker, un acteur influent du dark web, qui a menacé SchenkYou tout en étant le propriétaire de BreachForums. IntelBroker, connu pour ses activités criminelles, a récemment gagné en notoriété dans le milieu cybernétique. Par ailleurs, grep a également été impliqué dans une fuite de données concernant Sunrun Inc., un leader américain des solutions d'énergie solaire, en accédant aux Google Drives des employés et en exfiltrant divers documents. Cette série d'incidents souligne la vulnérabilité croissante des entreprises face aux cyberattaques.
Sources :
Fuite de données massive en septembre 2024 : l’administration de la sécurité sociale du Vietnam exposée
En septembre 2024, l'administration de la sécurité sociale du Vietnam (VSS) a subi une fuite de données massive, exposant les informations personnelles de près de 2 millions de citoyens. Cette violation, l'une des plus graves du pays, a été découverte le 3 septembre lorsque l'utilisateur du dark web, « GovRansomArtist », a proposé à la vente des données sensibles pour 600 dollars. Les informations compromises incluent des numéros d'identification personnels, des numéros de sécurité sociale et d'autres données pouvant être utilisées pour des vols d'identité et des fraudes financières. La VSS, créée en 1995, gère des programmes sociaux cruciaux tels que l'assurance maladie et les allocations chômage, ce qui rend cette brèche particulièrement préoccupante pour le bien-être des citoyens. Ce n'est pas la première fois que la VSS est confrontée à des violations de données, une précédente en 2020 ayant affecté 200 000 dossiers. Le groupe derrière cette fuite, « GovRansomArtist », semble motivé par des gains financiers, mais son ciblage d'une institution gouvernementale soulève des questions sur des intentions plus larges, telles que la déstabilisation de la confiance publique. Cette situation met en lumière les défis de cybersécurité auxquels font face les institutions vietnamiennes.
Sources :
Ivanti met en garde contre trois autres zero-days CSA exploités dans des attaques
Ivanti, une entreprise américaine de logiciels informatiques, a annoncé la publication de mises à jour de sécurité pour corriger trois nouvelles vulnérabilités zero-day dans son Cloud Services Appliance (CSA), qui sont activement exploitées dans des attaques. Ces failles, identifiées comme CVE-2024-9379, CVE-2024-9380 et CVE-2024-9381, permettent aux attaquants d'exécuter des commandes SQL via injection SQL, d'exécuter du code arbitraire par injection de commandes et de contourner des restrictions de sécurité grâce à une vulnérabilité de traversée de chemin. Ivanti a averti que ces vulnérabilités touchent les versions CSA 5.0.1 et antérieures, et recommande aux clients de reconstruire leurs appareils CSA avec la version 5.0.2. Les administrateurs doivent surveiller les alertes de détection et de réponse aux points de terminaison pour détecter des tentatives d'exploitation. En outre, Ivanti a souligné qu'aucune exploitation de ces vulnérabilités n'a été observée dans la version CSA 5.0. La société a intensifié ses efforts pour améliorer ses processus de divulgation responsable et a investi dans des pratiques de sécurité.
Sources :
Découverte d’une liste de sites web infiltrés : 91 sites français concernés
Une récente découverte par ZATAZ a révélé une liste de plusieurs centaines de sites web infiltrés par des hackers, touchant principalement des sites français, belges, suisses, canadiens et luxembourgeois. Ce fichier, diffusé par un pirate à ses contacts, recense des adresses de boutiques, associations et blogs, tous compromis par l'installation d'une porte dérobée (backdoor) permettant au hacker de manipuler les fichiers et bases de données internes. Parmi les 91 sites français identifiés, le pirate peut orchestrer des cyberattaques en utilisant les ressources des sites infiltrés. L'objectif de cette diffusion est d'attirer d'autres hackers potentiels, intéressés par l'achat de ces accès. ZATAZ a également noté que ce type de menace peut être atténué par des mesures simples, telles que le changement régulier de mots de passe, l'utilisation de la double authentification et la mise à jour des systèmes. Le Protocole d’Alerte ZATAZ a été activé pour informer les administrateurs des sites concernés, leur permettant ainsi d'agir rapidement pour sécuriser leurs espaces avant que des dommages ne surviennent. Des noms de fichiers spécifiques utilisés par le pirate ont également été identifiés, soulignant la sophistication de cette attaque.
Sources :
Les systèmes isolés du gouvernement européen ont été piratés à l'aide de logiciels malveillants personnalisés
Le groupe de hackers APT connu sous le nom de GoldenJackal a réussi à infiltrer des systèmes gouvernementaux isolés en Europe, appelés "air-gapped", en utilisant des ensembles d'outils personnalisés pour voler des données sensibles telles que des e-mails et des clés de cryptage. Selon un rapport d'ESET, ces attaques ont eu lieu à plusieurs reprises, notamment contre une ambassade en Biélorussie en 2019 et une organisation gouvernementale européenne entre 2022 et 2024. GoldenJackal cible principalement des entités gouvernementales pour des raisons d'espionnage. Les attaques commencent par l'infection de systèmes connectés à Internet via des logiciels malveillants, comme GoldenDealer, qui se propage ensuite sur des clés USB. Lorsque ces clés sont insérées dans des ordinateurs isolés, elles permettent l'installation de backdoors et de voleurs de fichiers, comme GoldenHowl et GoldenRobo. En 2022, GoldenJackal a introduit un nouvel ensemble d'outils modulaires, dont GoldenAce, qui facilite l'exfiltration de fichiers en fonction de critères spécifiques. Ces développements montrent la capacité du groupe à créer des malwares sur mesure pour des opérations d'espionnage discrètes.
Sources :
ZATAZ constate un espace de stockage pirate contenant 1 646 bases de données hackées
ZATAZ a découvert un espace de stockage illégal contenant 1 646 bases de données piratées, équivalant à 600 000 photos HD. Contrairement aux anciens espaces de partage de fichiers, ces entrepôts sont désormais utilisés par des cybercriminels pour stocker des données volées d'entreprises. L'un de ces espaces, dissimulé derrière les services de Cloudflare, abrite des bases de données provenant de diverses cibles, dont le Ministère de l’Éducation algérien et Ticketmaster. Les données, totalisant près de 2 To, incluent des informations sensibles telles que des identifiants et des mots de passe, certaines remontant à 2011. Les deux dossiers principaux contiennent des bases de données diffusées sur le site Raid Forums, fermé par le FBI, ainsi que des données plus récentes de 2023 et 2024. Bien que cet espace soit riche en informations volées, il ne semble pas contenir de données issues des récentes cyberattaques en France, comme celles visant l’Agence France Presse ou d'autres entreprises. Cette découverte met en lumière l'ampleur croissante des activités de piratage et les intentions malveillantes des cybercriminels qui exploitent ces données.
