Le ransomware Eldorado cible les machines virtuelles Windows et VMware - Actus du 05/07/2024
Des hackers révèlent des billets présumés pour Taylor Swift, intensifiant l'extorsion sur Ticketmaster. En parallèle, le ransomware Eldorado cible les machines virtuelles Windows et VMware ESXi, tandis que Singapour développe des directives techniques pour sécuriser les systèmes d'IA.
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Des pirates informatiques divulguent des billets présumés pour Taylor Swift et amplifient l'extorsion de fonds sur Ticketmaster
Des hackers ont divulgué des données de codes-barres présumées des billets du Taylor Swift Eras Tour, menaçant de divulguer davantage d'événements si une demande de rançon de 2 millions de dollars n'est pas payée. En mai, un acteur de menace nommé ShinyHunters a commencé à vendre des données sur 560 millions de clients de Ticketmaster pour 500 000 dollars. Ticketmaster a confirmé la violation de données provenant de leur compte sur Snowflake, une entreprise de stockage de données basée sur le cloud. Les hackers ont également volé des données de comptes Snowflake de plusieurs organisations, dont Neiman Marcus et Los Angeles Unified School District. Un autre acteur de menace, Sp1d3rHunters, a publié des données de codes-barres pour 166 000 billets du Taylor Swift Eras Tour, exigeant 2 millions de dollars pour éviter la divulgation de données supplémentaires. Le groupe ShinyHunters est connu pour plusieurs violations de données, y compris la fuite de 386 millions d'enregistrements d'utilisateurs en 2020. Ticketmaster n'a pas encore confirmé la validité des données des billets ni si les billets seront réémis.
Sources :
Le nouveau ransomware Eldorado cible les machines virtuelles Windows et VMware ESXi
Le nouveau ransomware Eldorado cible les systèmes Windows et VMware ESXi, avec 16 victimes principalement aux États-Unis dans divers secteurs. Les chercheurs de Group-IB ont observé les activités d'Eldorado, notant sa promotion sur les forums RAMP. Ce ransomware utilise l'algorithme ChaCha20 pour le chiffrement et génère des clés uniques pour chaque fichier verrouillé. Il supprime les copies de volume d'ombre pour empêcher la récupération des fichiers et s'auto-supprime pour éviter la détection. Les recommandations de défense incluent l'authentification multi-facteurs, l'utilisation de solutions EDR, des sauvegardes régulières, l'analyse basée sur l'IA et la sensibilisation des employés. Il est déconseillé de payer la rançon.
Sources :
Singapour travaille sur des directives techniques pour sécuriser les systèmes d'IA
Singapour prévoit de publier prochainement des directives techniques visant à renforcer la sécurité des systèmes d'intelligence artificielle (IA). Les directives volontaires, élaborées par l'Agence de cybersécurité (CSA), offriront des mesures pratiques pour renforcer la sécurité des outils et systèmes d'IA. Janil Puthucheary, ministre d'État de Singapour, a souligné l'importance de ces directives lors du sommet sur la sécurité de l'IA. Il a mis en garde contre les nouvelles menaces liées à l'IA, telles que l'apprentissage machine adversaire. Puthucheary a souligné la nécessité pour les organisations publiques et privées de comprendre ces risques émergents et de renforcer leurs capacités de défense. Il a également mentionné les efforts de l'Agence de technologie gouvernementale pour simuler des attaques potentielles sur les systèmes d'IA. En parallèle, il a souligné le rôle de l'IA dans l'amélioration de la cybersécurité en permettant une détection plus rapide et précise des menaces. Enfin, il a évoqué la création d'un groupe d'intérêt spécialisé sur l'IA par l'Association des professionnels de la sécurité de l'information (AiSP) pour favoriser les échanges sur les avancées et les capacités dans ce domaine.
Sources :
Alerte webinaire : découvrez comment les solutions ITDR stoppent les attaques d'identité sophistiquées
Les cybercriminels utilisent désormais des tactiques avancées pour infiltrer les organisations et causer des dommages majeurs avec des identifiants compromis, allant au-delà du simple vol de cartes de crédit. Un webinaire révolutionnaire sur la Détection et la Réponse aux Menaces Identitaires (ITDR) est proposé pour aider les professionnels de la cybersécurité à mieux protéger leurs identités numériques. Animé par le VP du Marketing Produit de Silverfort, Yiftach Keshet, ce webinaire abordera les vulnérabilités cachées dans les solutions de sécurité traditionnelles, les caractéristiques clés des solutions ITDR, des cas concrets d'attaques basées sur l'identité contrecarrées par l'ITDR, ainsi que les tendances futures en matière de sécurité des identités. Ne manquez pas cette opportunité cruciale et inscrivez-vous dès maintenant pour sécuriser votre place.
Sources :
OVHcloud a enregistré une attaque DDoS record de 840 millions de PPS à l'aide des routeurs MikroTik
OVHcloud, une entreprise française de cloud computing, a réussi à atténuer une attaque DDoS record en avril 2024, atteignant un débit de paquets de 840 millions par seconde. Cette attaque combinait une inondation TCP ACK provenant de 5 000 adresses IP sources et une attaque de réflexion DNS utilisant environ 15 000 serveurs DNS pour amplifier le trafic. La société a observé une augmentation significative des attaques DDoS en termes de fréquence et d'intensité depuis 2023, avec des attaques dépassant 1 téraoctet par seconde devenant courantes. Les attaques de paquets ont augmenté, provenant en grande partie de routeurs MikroTik compromis. Il est estimé qu'en piratant 1% des appareils exposés, les attaquants pourraient lancer des attaques de couche 7 atteignant 2,28 milliards de paquets par seconde. Les routeurs MikroTik ont été utilisés pour créer des botnets puissants et pour des opérations de botnet en tant que service, ce qui pourrait remettre en question les infrastructures anti-DDoS.
Sources :
Plan de réussite : mise en œuvre d'une opération CTEM
L'article met en avant l'importance croissante de la surface d'attaque pour les entreprises et la nécessité d'adopter le Continuous Threat Exposure Management (CTEM) pour renforcer la sécurité. Ce cadre offre une vue continue et complète de la surface d'attaque, permettant de tester l'efficacité des contrôles de sécurité et de remédier aux vulnérabilités. En priorisant les investissements basés sur un programme de gestion continue des expositions, les organisations pourraient réduire de trois fois le risque de subir une violation de sécurité d'ici 2026. CTEM implique l'orchestration de multiples éléments à travers l'entreprise, notamment les actifs numériques, les charges de travail, les réseaux, les identités et les données. Il est essentiel d'adopter des stratégies de test offensives pour émuler les méthodes des attaquants et assurer l'efficacité continue des contrôles de sécurité. En résumé, CTEM offre une approche proactive et globale pour gérer les menaces de cybersécurité et renforcer la posture de sécurité des entreprises face à un environnement informatique de plus en plus complexe et aux capacités croissantes des acteurs malveillants.
Sources :
OpenAI avait oublié la base de la sécurité pour ChatGPT sur Mac
Depuis juin 2024, OpenAI propose une application macOS pour intégrer ChatGPT aux ordinateurs Apple, mais les conversations n'étaient pas chiffrées. Un développeur a découvert cette faille, obligeant OpenAI à mettre à jour l'application pour corriger le stockage en clair. Bien que le risque était modéré, la mise à jour a résolu le problème. Une porte-parole a confirmé la résolution de la faille.
Sources :
Le logiciel malveillant GootLoader toujours actif, déploie de nouvelles versions pour des attaques améliorées
Le malware GootLoader, utilisé par des acteurs malveillants pour délivrer des charges utiles supplémentaires, est actuellement actif avec sa version 3. Il est associé au trojan bancaire Gootkit et distribué par des tactiques de poisonnement de moteur de recherche. Il sert de passerelle pour des charges utiles telles que Cobalt Strike, Gootkit, IcedID, Kronos, REvil et SystemBC. Les attaques impliquent la compromission de sites web pour héberger le chargeur JavaScript de GootLoader, déguisé en documents légaux, et utilisent des techniques d'optimisation de moteur de recherche pour attirer les victimes. Les attaques utilisent également le codage de code source, l'obfuscation du flux de contrôle et l'inflation de la taille de la charge utile pour résister à l'analyse et à la détection. GootLoader a reçu plusieurs mises à jour pour éviter la détection.
Sources :
L'attaque Polyfill[.]io affecte plus de 380 000 hôtes, y compris de grandes entreprises
Une attaque de la chaîne d'approvisionnement ciblant la bibliothèque JavaScript Polyfill.io est plus étendue que prévu, avec plus de 380 000 hôtes intégrant un script polyfill lié à un domaine malveillant. Des entreprises telles que WarnerBros, Hulu, Mercedes-Benz et Pearson sont touchées. L'attaque a été découverte en juin 2024 et a entraîné la suspension du domaine par Namecheap, le remplacement automatique des liens Polyfill par des sites miroirs sûrs et le blocage des publicités par Google. D'autres domaines liés aux mainteneurs de Polyfill ont été identifiés, suggérant une campagne malveillante plus large. Censys a également signalé des activités malveillantes similaires sur d'autres domaines, avec 1,6 million d'hôtes publics liés à ces domaines suspects. Patchstack a averti des risques en cascade pour les sites WordPress utilisant des plugins légitimes liés au domaine frauduleux.
Sources :
Nouveau botnet Zergeca basé sur Golang, capable de puissantes attaques DDoS
Des chercheurs en cybersécurité ont découvert un nouveau botnet nommé Zergeca, capable de mener des attaques par déni de service distribué (DDoS). Écrit en Golang, ce botnet offre diverses fonctionnalités telles que le proxy, le scan, la mise à jour automatique, la collecte d'informations sensibles, etc. Zergeca utilise DNS-over-HTTPS pour résoudre les noms de domaine des serveurs C2 et une bibliothèque moins connue appelée Smux pour les communications C2. Il est en constante évolution et a été observé ciblant le Canada, l'Allemagne et les États-Unis avec des attaques DDoS de type ACK flood entre juin 2024. Le botnet utilise quatre modules distincts pour établir la persistance, le proxy, la suppression de malwares concurrents et le contrôle exclusif des appareils x86-64. Le module zombie collecte des informations sensibles et exécute des commandes du serveur. Zergeca montre une connaissance avancée des tactiques d'évasion, telles que le chiffrement XOR et l'utilisation de DoH pour masquer la résolution C2.
