Le ransomware BlackByte exploite une faille VMware ESXi dans sa dernière vague d'attaques - Actus du 28/08/2024
Découvrez les avantages de l'autoprotection des applications d'exécution, la menace du ransomware BlackByte exploitant une faille VMware ESXi et le piratage du site Rencontre-Ados. Protégez vos données et restez informé des cybermenaces actuelles!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Les avantages de l'autoprotection des applications d'exécution
Les attaques informatiques peuvent parfois contourner les défenses d'une application, compromettant ainsi les données. Pour remédier à ce problème, l'implémentation de RASP (Runtime Application Self-Protection) est recommandée. Ce système complète d'autres outils de sécurité en surveillant le comportement des applications. Contrairement à un WAF qui bloque les menaces avant qu'elles n'atteignent l'application, RASP détecte les activités malveillantes en temps réel, alertant les utilisateurs en cas de comportement anormal. En apprenant des comportements typiques, RASP devient plus efficace pour identifier les anomalies, sans nécessiter de directives spécifiques pour contrer des attaques connues. Cela permet de réduire les faux positifs, qui peuvent entraîner des temps d'arrêt imprévus. RASP est essentiel pour prévenir l'exploitation des failles, surtout lorsque d'autres défenses échouent. Une solution de sécurité intégrée, combinant WAF et RASP, est idéale pour se protéger contre divers types d'attaques, y compris les injections de commandes et les menaces internes. En particulier, pour les applications basées sur du code open-source, il est crucial d'ajouter des couches de sécurité supplémentaires afin de protéger contre des vulnérabilités non découvertes.
Sources :
Le ransomware BlackByte exploite une faille VMware ESXi dans sa dernière vague d'attaques
Le groupe de ransomware BlackByte exploite une vulnérabilité récemment corrigée dans les hyperviseurs VMware ESXi, tout en utilisant des pilotes vulnérables pour contourner les protections de sécurité. Selon Cisco Talos, BlackByte continue d'affiner ses tactiques, notamment en déployant un ransomware auto-propagateur et en utilisant des techniques de double extorsion via un site de fuite de données sur le dark web. Bien qu'un déchiffreur ait été publié en octobre 2021, le groupe a amélioré son modus operandi, intégrant un outil personnalisé, ExByte, pour l'exfiltration de données avant le chiffrement. Les attaques ciblent des infrastructures critiques, notamment dans les secteurs financier, alimentaire et gouvernemental. Talos a observé qu'une récente intrusion a été facilitée par des identifiants valides pour accéder au VPN de l'organisation victime, marquant un léger changement de technique. L'exploitation de la vulnérabilité CVE-2024-37085 a permis aux attaquants d'obtenir des privilèges administratifs sur le serveur vCenter de VMware. Talos souligne que l'exploitation des vulnérabilités se fait rapidement après leur divulgation publique, et estime que seulement 20-30 % des victimes sont signalées, ce qui indique une activité potentiellement plus élevée du groupe.
Sources :
Piratage du site Rencontre-Ados ?
Un hacker a annoncé avoir infiltré le site Rencontre-Ados, un réseau communautaire pour les jeunes, le 5 juillet 2024. Selon le Service Veille ZATAZ, cette attaque a entraîné l'exfiltration de données sensibles concernant 346 415 utilisateurs âgés de 13 à 25 ans. Les informations compromises incluent des pseudonymes, dates de naissance, coordonnées GPS, sexes, orientations sexuelles, états matrimoniaux, emplois, caractéristiques physiques, habitudes de consommation, religions et photos. Bien que ces données soient sensibles, le pirate aurait besoin d'effectuer des démarches supplémentaires pour accéder à des informations plus critiques comme les adresses électroniques et numéros de téléphone. Le site avait déjà été critiqué l'année précédente pour attirer un public plus large que prévu. ZATAZ a également noté que plus de 10 personnes avaient téléchargé une base de données de 243 Mo contenant ces informations. Il semble que le hacker n'ait pas piraté directement le site, mais plutôt une de ses API, suggérant une méthode d'infiltration moins directe. Cette situation soulève des préoccupations quant à la sécurité des données des jeunes utilisateurs sur des plateformes en ligne.
Sources :
« Je vend la base de données FFF.FR »
Un pirate informatique a annoncé la vente de la base de données de la Fédération Française de Football (FFF), prétendant détenir 82 millions de lignes d'informations personnelles. Il a révélé avoir découvert une faille dans la configuration d'une API, permettant l'accès à des données sensibles, y compris des identités, numéros de licence, adresses électroniques et informations sur les clubs. Bien que le hacker se vante de la taille du fichier, des doutes subsistent quant à la véracité de ses affirmations, certains experts suggérant qu'il pourrait s'agir d'une arnaque visant d'autres cybercriminels. Cette situation survient après qu'un autre hacker, connu sous le nom de Chris, avait déjà menacé la FFF en affirmant posséder des données sur 10 millions de licenciés, un chiffre largement supérieur aux 2,3 millions de licences enregistrées pour la saison 2023-2024. La FFF a déjà été mise en garde sur des vulnérabilités dans ses systèmes, et des précédents montrent que les entités liées au football sont des cibles privilégiées pour les cybercriminels. En juillet 2024, une autre base de données prétendument liée à la FFF avait circulé sur Telegram, mais s'est révélée être une fake news.
Sources :
Les pirates du groupe Hunters menace les US Marshals de diffuser 300 000 documents sensibles !
Le groupe de hackers HUNTERS menace de diffuser 338 180 documents sensibles volés aux US Marshals, suite à une cyberattaque majeure survenue en février 2023. Cette attaque a permis aux pirates d'accéder à un système informatique autonome contenant des informations critiques, notamment des données sur des enquêtes en cours et des informations personnelles sur les employés. Bien que le système ait été isolé et désactivé rapidement, les pirates n'ont pas exigé de rançon, ce qui soulève des questions sur leurs motivations, qui pourraient être politiques plutôt que financières. Plus d'un an après l'incident, HUNTERS a annoncé son intention de publier ces documents sur le Dark Web, suscitant des inquiétudes quant à la sécurité des agences fédérales américaines. Les fichiers, étiquetés comme « Gang Files » et « FBI Docs », pourraient potentiellement être utilisés pour nuire à la réputation des agences ou perturber les élections américaines. Ce cas s'inscrit dans un contexte plus large de menaces croissantes contre les institutions gouvernementales, avec des précédents d'attaques similaires, comme celle visant le FBI à New York. HUNTERS se positionne comme un revendeur de données volées, exploitant des informations exfiltrées par d'autres groupes de hackers.
Sources :
Le fondateur de Telegram, Pavel Durov, pourrait-il être extradé ?
Pavel Durov, le fondateur de Telegram, a été arrêté en France le 24 août 2024, suscitant des spéculations sur une éventuelle extradition vers d'autres pays, notamment les États-Unis ou l'Inde, où des enquêtes contre Telegram ont été ouvertes. Cependant, aucune demande d'extradition n'a été formulée par ces pays. La France, où Durov a acquis la nationalité par naturalisation en 2021, a une politique stricte contre l'extradition de ses ressortissants, rappelée par Nicolas Sarkozy en 2012. Selon le Code de procédure pénale français, l'extradition n'est pas accordée aux nationaux, ce qui inclut les binationaux. Durov, qui fait face à 12 infractions liées à la criminalité organisée, est actuellement en garde à vue, qui doit se terminer le 28 août. Une mise en examen pourrait suivre, mais l'extradition semble peu probable en raison des lois françaises et de l'absence de coopération internationale. Ainsi, bien que les perspectives pénales soient réelles, l'idée d'une extradition de Durov vers un autre pays apparaît comme un scénario peu plausible.
Sources :
Quinze jours après la cyberattaque, la société OCTAVE fait un point sur la situation
Depuis quinze jours, la société OCTAVE fait face à une cyberattaque majeure qui a compromis l'accès aux données de ses clients, affectant gravement ses services ERP et e-commerce. Les cybercriminels ont chiffré les données, rendant leur récupération complexe et incertaine. Bien qu'OCTAVE mobilise toutes ses ressources pour rétablir ses systèmes, aucun délai précis pour la reprise des services n'est actuellement disponible. Les clients sont invités à envisager des solutions temporaires, comme l'utilisation de leurs propres sauvegardes, bien que cela comporte des risques de stabilité et de conformité. En raison de l'impact économique de cette situation, OCTAVE soutient ses partenaires en leur fournissant des justificatifs pour le chômage partiel. Une plainte pénale a été déposée, et l'entreprise est couverte par une assurance, permettant aux clients de poser des questions concernant cet incident. OCTAVE s'engage à résoudre cette crise avec transparence et remercie ses clients pour leur patience. À ce jour, l'identité des cybercriminels reste inconnue pour éviter toute usurpation d'identité. L'entreprise continue de travailler pour restaurer la confiance et la sécurité de ses services.
Sources :
Une nouvelle campagne de phishing par code QR exploite Microsoft Sway pour voler des informations d'identification
Des chercheurs en cybersécurité mettent en lumière une nouvelle campagne de phishing par QR code, appelée "quishing", qui utilise l'infrastructure de Microsoft Sway pour héberger de fausses pages. Cette méthode exploite des applications cloud légitimes, renforçant la crédibilité auprès des victimes. Les attaques ciblent principalement des utilisateurs en Asie et en Amérique du Nord, en particulier dans les secteurs technologique, manufacturier et financier. Microsoft Sway, un outil de création de contenu en ligne, a connu une augmentation de 2 000 % du trafic vers ses pages de phishing depuis juillet 2024, visant à dérober les identifiants Microsoft 365 des utilisateurs via de faux QR codes. Ces codes, lorsqu'ils sont scannés, redirigent vers des sites de phishing. Les attaquants utilisent également des techniques de phishing transparent pour siphonner des identifiants et des codes d'authentification à deux facteurs. De plus, des QR codes en caractères Unicode compliquent la détection par les mesures de sécurité traditionnelles, car ils contournent les analyses d'images. Cette campagne s'inscrit dans une tendance croissante de sophistication des attaques de phishing, rendant la protection des utilisateurs encore plus difficile.
Sources :
La CISA signale une faille critique dans Apache OFBiz au milieu de rapports d'exploitation actifs
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajouté une vulnérabilité critique affectant le système de planification des ressources d'entreprise open-source Apache OFBiz à son catalogue des vulnérabilités exploitées (KEV), en raison de preuves d'exploitation active. Cette vulnérabilité, désignée CVE-2024-38856, a un score CVSS de 9,8, indiquant une gravité critique. CISA a précisé qu'elle permettrait à un attaquant non authentifié d'exécuter du code à distance via un payload Groovy dans le contexte du processus utilisateur d'OFBiz. Les détails de cette vulnérabilité ont été révélés plus tôt ce mois-ci par SonicWall, qui l'a qualifiée de contournement de correctif pour une autre faille, CVE-2024-36104, permettant également l'exécution de code à distance. Bien qu'il n'y ait pas encore de rapports publics sur l'exploitation de CVE-2024-38856, des exploits de preuve de concept (PoC) sont disponibles. L'exploitation active de ces failles montre un intérêt croissant des attaquants pour les vulnérabilités récemment divulguées. Les organisations sont conseillées de mettre à jour vers la version 18.12.15 pour se protéger, et les agences fédérales doivent appliquer les mises à jour nécessaires d'ici le 17 septembre 2024.
Sources :
Une faille critique du plugin WPML expose les sites WordPress à l'exécution de code à distance
Une vulnérabilité critique a été révélée dans le plugin WPML pour WordPress, permettant à des utilisateurs authentifiés d'exécuter du code à distance dans certaines conditions. Suivie sous le numéro CVE-2024-6386 (score CVSS : 9.9), cette faille affecte toutes les versions du plugin antérieures à 4.6.13, publiée le 20 août 2024. Elle résulte d'un manque de validation et de nettoyage des entrées, permettant à des attaquants ayant un accès de niveau Contributor ou supérieur d'exécuter du code sur le serveur. WPML, utilisé pour créer des sites WordPress multilingues, compte plus d'un million d'installations actives. Le chercheur en sécurité stealthcopter, qui a découvert la vulnérabilité, a expliqué que le problème provient de la gestion des shortcodes pour insérer du contenu, tels que des images et des vidéos. Le plugin utilise des modèles Twig pour le rendu, mais ne nettoie pas correctement les entrées, entraînant une injection de modèle côté serveur (SSTI). Les mainteneurs du plugin, OnTheGoSystems, ont publié une mise à jour pour corriger cette vulnérabilité, tout en précisant que son exploitation nécessite des permissions d'édition spécifiques. Les utilisateurs sont donc invités à appliquer les derniers correctifs pour se protéger.
Sources :
Le ransomware BlackSuit a volé les données de 950 000 personnes à un éditeur de logiciels
Le 10 avril 2024, Young Consulting, un fournisseur de solutions logicielles basé à Atlanta, a subi une attaque par ransomware BlackSuit, compromettant les données de 954 177 personnes. L'entreprise, désormais connue sous le nom de Connexure, a découvert la violation trois jours plus tard, lorsque les attaquants ont commencé à chiffrer ses systèmes. Une enquête, conclue le 28 juin, a révélé que des informations sensibles telles que les noms complets, numéros de sécurité sociale, dates de naissance et informations sur les réclamations d'assurance avaient été exposées. Les personnes touchées recevront une notification de violation de données et auront accès gratuitement à un service de surveillance de crédit pendant 12 mois via Cyberscout, à réclamer avant fin novembre 2024. BlackSuit a déjà divulgué les données volées sur son portail d'extorsion sur le darknet, incitant les victimes à rester vigilantes face aux communications non sollicitées et aux tentatives d'escroquerie. Les attaquants ont revendiqué la responsabilité de l'attaque le 7 mai et ont menacé de publier davantage de données, y compris des contrats et des informations personnelles. BlackSuit, une rebranding de Royal ransomware, a causé des dommages financiers considérables aux organisations américaines, avec des demandes de rançon dépassant 500 millions de dollars.
Sources :
Le US Marshals Service conteste les allégations de violation de données du gang de ransomware
Le Service des Marshals des États-Unis (USMS) a nié les allégations selon lesquelles ses systèmes auraient été compromis par le groupe de ransomware Hunters International, qui l'a récemment ajouté à sa liste de victimes sur le dark web. Un porte-parole a déclaré que les informations publiées ne provenaient pas d'un incident récent ou non divulgué. Bien que le groupe n'ait pas encore publié de documents volés, il a inclus des captures d'écran de fichiers comme preuve. Les données mises en ligne par Hunters International semblent correspondre à celles mises en vente en mars 2023 sur un forum de hackers russophones. Un acteur de la menace, connu sous le nom de "Tronic", avait précédemment affirmé que ces fichiers contenaient des informations sensibles, y compris des copies de passeports et des détails sur des opérations de surveillance. En février 2023, l'USMS avait confirmé enquêter sur le vol d'informations sensibles après une attaque par ransomware. Hunters International, actif depuis fin 2023, a ciblé de nombreuses organisations, avec des demandes de rançon allant de centaines de milliers à des millions de dollars. Ils ont revendiqué 157 attaques depuis le début de l'année, faisant d'eux l'une des opérations de ransomware les plus actives.
Sources :
La mise à jour Windows 11 KB5041587 ajoute le partage aux appareils Android
Microsoft a publié la mise à jour cumulative optionnelle KB5041587 pour Windows 11 23H2 et 22H2, qui introduit une fonctionnalité de partage avec des appareils Android et corrige plusieurs problèmes liés à l'Explorateur de fichiers. Cette mise à jour, datée du 27 août 2024, permet aux utilisateurs de partager facilement du contenu avec leurs appareils Android via la fenêtre de partage de Windows, à condition de coupler les appareils à l'aide de l'application Link to Windows sur Android et Phone Link sur PC. En plus de cette nouvelle fonctionnalité, KB5041587 résout des problèmes tels que l'absence de réponse lors de l'utilisation de Ctrl+F pour la recherche et des erreurs de mise en veille qui provoquent des blocages après la reprise. D'autres corrections concernent des fuites de mémoire dans l'éditeur de méthode d'entrée, des déconnexions de périphériques Bluetooth, et des problèmes avec le filtre d'écriture unifié et Windows Hello. Microsoft a également rappelé que les éditions Home et Pro de Windows 11 22H2 atteindront la fin de leur service le 8 octobre 2024, tandis que les éditions Enterprise et Éducation continueront à recevoir des mises à jour.
Sources :
Notion quitte la Russie et fermera ses comptes en septembre
Notion a annoncé son retrait du marché russe, mettant fin à tous les espaces de travail et comptes liés aux utilisateurs dans le pays. Cette décision, communiquée sur leur site, est due aux restrictions imposées par le gouvernement américain sur les fournisseurs de services logiciels, rendant impossible la poursuite de leurs activités en Russie. À partir du 9 septembre 2024, Notion ne fournira plus d'accès à sa plateforme pour les utilisateurs situés en Russie. Les utilisateurs ont jusqu'au 8 septembre pour extraire leurs données, après quoi il sera impossible de les récupérer. Notion a précisé que les propriétaires d'espaces de travail non basés en Russie, mais collaborant avec des utilisateurs russes, ne verront pas leurs espaces supprimés, bien que leurs collaborateurs russes n'aient plus accès après la date limite. Les abonnements des utilisateurs concernés seront annulés sans frais supplémentaires. Notion a également informé directement les utilisateurs par email deux semaines avant la fermeture de leurs comptes. Des restrictions d'exportation peuvent s'appliquer aux membres des espaces de travail Enterprise, et des instructions pour l'exportation des données sont disponibles sur leur page d'aide officielle.
Sources :
Un logiciel malveillant s’infiltre dans le référentiel de plugins officiel de la messagerie Pidgin
Le 27 août 2024, il a été révélé que le plugin ScreenShareOTR du client de messagerie Pidgin contenait des malwares, notamment des keyloggers et des voleurs d'informations, utilisés pour infiltrer des réseaux d'entreprise. Ce plugin, censé offrir des fonctionnalités de partage d'écran via le protocole Off-The-Record (OTR), a été ajouté à la liste officielle des plugins tiers le 6 juillet 2024, mais a été retiré le 16 août après qu'un utilisateur ait signalé sa nature malveillante. Selon ESET, le plugin était conçu pour installer le malware DarkGate, utilisé par des cybercriminels pour accéder aux réseaux. Le plugin, qui ne proposait que des binaires sans code source, a soulevé des inquiétudes quant à la sécurité, d'autant plus qu'il était signé par une entreprise polonaise légitime. D'autres plugins malveillants hébergés sur le même serveur ont également été identifiés. Pidgin a conseillé aux utilisateurs ayant installé ce plugin de le supprimer immédiatement et de scanner leur système. Pour éviter de futurs incidents, Pidgin a décidé d'accepter uniquement les plugins ayant une licence open source approuvée par l'OSI, permettant ainsi une meilleure vérification de leur sécurité.
Sources :
L'outil Windows Downdate vous permet de « dépatcher » les systèmes Windows
Le chercheur en sécurité Alon Leviev a lancé l'outil Windows Downdate, permettant des attaques de rétrogradation sur les systèmes Windows 10, Windows 11 et Windows Server. Cet outil open-source, basé sur Python, permet aux attaquants de forcer des appareils à jour à revenir à des versions antérieures, réintroduisant ainsi des vulnérabilités exploitables. Leviev a démontré comment rétrograder divers composants de Windows, y compris le noyau et le pilote NTFS, tout en contournant les verrous UEFI de la sécurité basée sur la virtualisation (VBS). Il a précisé que l'utilisation de cet outil est indétectable par les solutions de détection et de réponse aux points de terminaison (EDR), car Windows Update continue d'indiquer que le système est à jour. Bien que Microsoft ait publié une mise à jour de sécurité pour corriger une vulnérabilité, une autre reste non patchée. En attendant, la société recommande des mesures de protection, telles que la configuration des paramètres d'audit et la restriction des opérations de mise à jour. Leviev a averti que cet outil pourrait rendre des systèmes entièrement corrigés vulnérables à des milliers de failles passées, rendant le terme "entièrement corrigé" obsolète.
Sources :
La version macOS de la porte dérobée HZ RAT cible les utilisateurs d'applications de messagerie chinoises
Les utilisateurs d'applications de messagerie instantanée chinoises comme DingTalk et WeChat sont ciblés par une version macOS d'un logiciel malveillant appelé HZ RAT. Ce malware, documenté pour la première fois par DCSO en novembre 2022, imite presque exactement la version Windows, à l'exception du payload, qui est reçu sous forme de scripts shell. HZ RAT est distribué via des archives zip auto-extractibles ou des documents RTF malveillants exploitant une vulnérabilité de Microsoft Office. Les attaquants se cachent derrière des installateurs de logiciels légitimes, tels qu'OpenVPN, pour exécuter un script Visual Basic qui lance le RAT. Ce dernier se connecte à un serveur de commande et contrôle (C2) pour exécuter des commandes, collecter des informations sur le système et envoyer des données au serveur. Les premières détections remontent à juin 2020, et la campagne est active depuis au moins octobre 2020. La dernière version, identifiée en juillet 2023, imite OpenVPN Connect et vise à collecter des informations personnelles des utilisateurs. Les serveurs C2 sont principalement basés en Chine, et l'infrastructure de l'attaque soulève des questions sur son ampleur et son efficacité persistante.
Sources :
Park'N Fly informe 1 million de clients d'une violation de données
Park'N Fly a informé un million de clients au Canada d'une violation de données survenue après qu'un groupe de hackers a accédé à son réseau via des identifiants VPN volés, entre le 11 et le 13 juillet 2024. L'entreprise a découvert le 1er août que des informations personnelles avaient été compromises, incluant noms, adresses e-mail, adresses physiques, numéros Aeroplan et CAA, bien que les informations financières et les mots de passe restent sécurisés. Park'N Fly, un fournisseur majeur de services de stationnement près des aéroports canadiens, a restauré ses systèmes en cinq jours et met en place des mesures de sécurité supplémentaires. Le PDG, Carlo Marrello, a exprimé des regrets face aux préoccupations suscitées par cet incident, tout en affirmant l'engagement de l'entreprise envers la transparence et la protection des données. Les clients affectés ont exprimé leur frustration sur Reddit, s'interrogeant sur la conservation prolongée des données après la fin des services. Park'N Fly a conseillé aux clients de rester vigilants face aux tentatives de phishing. L'incident soulève des questions sur la gestion des données personnelles par les entreprises.
