Le réseau Ticket Heist vend de faux billets pour les Jeux Olympiques - Actus du 10/07/2024
Découvrez comment un nouveau groupe de ransomwares exploite la vulnérabilité du logiciel Veeam, plongeant dans l'extorsion par effraction. La mise à jour de juillet de Microsoft corrige 143 failles critiques, dont deux déjà exploitées. Ne manquez pas les détails essentiels !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Un nouveau groupe de ransomwares exploite la vulnérabilité du logiciel de sauvegarde Veeam
Une faille de sécurité désormais corrigée dans le logiciel Veeam Backup & Replication est exploitée par un nouveau groupe de ransomware nommé EstateRansomware. Le groupe de sécurité Group-IB basé à Singapour a découvert l'acteur de la menace en avril 2024, utilisant la faille CVE-2023-27532 pour mener des activités malveillantes. L'attaque a impliqué l'exploitation d'un compte dormant sur un pare-feu Fortinet FortiGate pour accéder au serveur de secours, suivi de la mise en place d'une porte dérobée persistante pour établir des connexions RDP et déployer le ransomware. Cisco Talos souligne que de nombreux groupes de ransomware ciblent les vulnérabilités des applications publiques, les pièces jointes de phishing ou les comptes valides pour contourner les défenses. Le modèle de double extortion a conduit au développement d'outils personnalisés pour exfiltrer des données avant le chiffrement des fichiers. Cette évolution nécessite des accès à long terme pour explorer l'environnement, identifier les ressources exploitables et voler des données de valeur.
Sources :
Extorsion par effraction
Les attaquants passent de l'accès initial à l'exploitation en quelques minutes ou heures au lieu de jours ou semaines, rendant la stratégie classique de patch et de mise en place aussi efficace qu'un camion de pompiers arrivant après qu'un bâtiment ait brûlé. Le firmware IoT est principalement composé de composants open source vulnérables, exposant les appareils à des exploits zero-day. Des solutions comme Integrity de Green Hills et QNX de BlackBerry offrent une isolation efficace mais nécessitent des processeurs énergivores. Une isolation plus granulaire au niveau des tâches est nécessaire pour les microcontrôleurs à faible consommation d'énergie. La partitionnement isolé est aussi efficace contre les zero-days que contre les vulnérabilités non corrigées, et peut atténuer les menaces internes. Il permet également l'application de bonnes pratiques de programmation et peut conduire à des livraisons plus rapides.
Sources :
La mise à jour de juillet de Microsoft corrige 143 failles, dont deux activement exploitées
Microsoft a publié des correctifs pour 33 vulnérabilités dans le navigateur Edge basé sur Chromium, dont deux ont été exploitées. Les CVE-2024-38080 et CVE-2024-38112 présentent des risques d'élévation de privilèges et de spoofing. Des chercheurs ont découvert des attaques utilisant des fichiers .URL pour rediriger vers des URL malveillantes via Internet Explorer. D'autres failles corrigées concernent des attaques de canal latéral, d'exécution de code à distance et de contournement de sécurité. Les correctifs incluent des problèmes dans SQL Server, Microsoft Office, et .NET. Microsoft a également annoncé l'attribution de CVE pour les vulnérabilités liées au cloud. D'autres fournisseurs ont également publié des mises à jour de sécurité pour corriger des failles, notamment Adobe, Amazon Web Services, et WordPress.
Sources :
Vraie protection ou fausse promesse ? Le guide ultime de présélection ITDR
L'explosion des attaques de ransomware a conduit les CISO et les équipes de sécurité à réaliser que la protection de l'identité accuse un retard de 20 ans par rapport à leurs endpoints et réseaux. Cette lacune est principalement due à la transformation du mouvement latéral, autrefois réservé aux APT et aux principaux groupes de cybercriminalité, en une compétence courante utilisée dans presque toutes les attaques de ransomware. L'ITDR est apparu ces dernières années pour combler cette lacune en matière de détection et de réponse aux menaces liées à l'identité. Pour assurer une sécurité efficace de l'identité, l'ITDR doit couvrir tous les comptes d'utilisateurs, les ressources sur site et cloud, ainsi que tous les modes d'accès, y compris les identités non humaines comme les comptes de service Active Directory. Il doit également intégrer directement les fournisseurs d'identité pour analyser les authentifications en temps réel et détecter les anomalies dans les protocoles d'authentification. En outre, l'ITDR doit être capable de déclencher une vérification renforcée à partir d'une solution MFA en cas d'accès suspect. Enfin, il doit s'intégrer de manière transparente avec la pile de sécurité existante. Silverfort ITDR offre une plateforme de sécurité de l'identité consolidée, intégrant la MFA, la sécurité des accès privilégiés, la protection des comptes de service et les pare-feu d'authentification.
Sources :
Google ajoute des clés d'accès au programme de protection avancée pour les utilisateurs à haut risque
Google a annoncé mercredi la disponibilité de passkeys pour les utilisateurs à haut risque afin de s'inscrire à son programme de protection avancée (APP). Les passkeys, considérés comme une alternative plus sécurisée aux mots de passe, sont basés sur la norme d'authentification FIDO et peuvent remplacer entièrement le besoin d'un mot de passe. Les utilisateurs à haut risque, tels que les journalistes, les responsables politiques, les défenseurs des droits de l'homme et les dirigeants d'entreprise, peuvent vérifier la compatibilité de leur appareil et navigateur et compléter le processus d'inscription. Google collabore avec Internews pour fournir un soutien en matière de sécurité aux journalistes et aux défenseurs des droits de l'homme dans 10 pays. De plus, Google prévoit d'étendre les rapports sur le dark web à tous les utilisateurs disposant d'un compte Google pour vérifier si leurs informations ont été divulguées.
Sources :
Le réseau Ticket Heist de 700 domaines vend de faux billets pour les Jeux Olympiques
Une vaste campagne de fraude ciblant les utilisateurs russophones cherchant à acheter des billets pour les Jeux olympiques d'été à Paris a été découverte, avec plus de 700 noms de domaine impliqués. Surnommée "Ticket Heist", l'opération propose de faux billets pour les Jeux olympiques ainsi que pour d'autres événements sportifs et musicaux majeurs. Les chercheurs ont identifié des domaines créés en 2022 et ont constaté que l'acteur malveillant enregistrait en moyenne 20 nouveaux domaines par mois. Les prix des billets frauduleux étaient souvent trois fois plus élevés que sur les sites officiels, incitant les victimes à croire qu'elles bénéficiaient d'un traitement premium. Les transactions se font via la plateforme de paiement Stripe, et une entreprise fictive nommée VIP Events Team LLC est impliquée. Les chercheurs ont identifié un réseau de 708 domaines frauduleux, principalement en russe, suggérant que les utilisateurs russophones étaient la cible principale. Malgré les avertissements de sociétés de cybersécurité, l'opération Ticket Heist se poursuit, mettant en lumière la nécessité de vigilance et de partage d'indicateurs de compromission pour contrer cette fraude persistante.
Sources :
Près de 1000 comptes de propagande russe ont été supprimés sur X (ex-Twitter) par les États-Unis
Le ministère américain de la Justice a supprimé près de 1 000 comptes Twitter gérés par des bots russes, diffusant de la désinformation depuis l'invasion de l'Ukraine. Ces profils étaient contrôlés par le FSB et Russia Today. Le FBI a saisi des sites web et dévoilé l'utilisation d'outils basés sur l'IA par le Kremlin pour propager la désinformation. Un logiciel nommé Meliorator était utilisé pour créer des faux comptes authentiques sur les réseaux sociaux. L'IA est devenue un outil clé dans les opérations de désinformation, facilitant le travail des organes de propagande russes. Ce logiciel pourrait être étendu à d'autres réseaux sociaux à l'avenir.
Sources :
Le programme de protection avancée de Google obtient des mots de passe pour les utilisateurs à haut risque
Google a annoncé que les passkeys sont désormais disponibles pour les utilisateurs à haut risque s'inscrivant au Programme de Protection Avancée, offrant le plus haut niveau de sécurité des comptes. Ce programme gratuit protège les comptes d'utilisateurs tels que les activistes, journalistes, dirigeants d'entreprise et équipes politiques, exposés à des attaques en ligne. Les passkeys, liés à un appareil spécifique, offrent une alternative sécurisée aux mots de passe traditionnels, réduisant considérablement les risques de violations de données. Ils permettent l'accès aux sites, services en ligne et applications via des capteurs biométriques ou des méthodes de verrouillage d'écran. Les utilisateurs à haut risque peuvent s'inscrire au Programme de Protection Avancée en utilisant une passkey, nécessitant un appareil et un navigateur compatibles. Google exige également une option de récupération lors de l'inscription, comme un numéro de téléphone ou un autre passkey, pour garantir l'accès en cas de blocage du compte. En octobre, Google a rendu les passkeys la méthode de connexion par défaut pour tous les comptes personnels.
Sources :
Garantie HuiOne : le centre de cybercriminalité de 11 milliards de dollars en Asie du Sud-Est
Des analystes en cryptomonnaie ont mis en lumière un marché en ligne nommé HuiOne Guarantee, largement utilisé par des cybercriminels en Asie du Sud-Est, notamment liés à des escroqueries de découpe de porcs. Ce marché, faisant partie du groupe HuiOne, est associé à des services de technologie, de données et de blanchiment d'argent, avec des transactions totalisant au moins 11 milliards de dollars. HuiOne International Payments, une autre entreprise du groupe, est impliquée dans le blanchiment d'argent à l'échelle mondiale. Les escroqueries de découpe de porcs sont devenues courantes dans des pays comme le Myanmar, le Cambodge et les Philippines, impliquant des victimes piégées dans des "compounds d'escroquerie" et incitées à investir dans de fausses entreprises de cryptomonnaie. HuiOne Guarantee, établi en 2021, est un réseau de milliers de canaux d'application de messagerie instantanée sur Telegram, offrant principalement des services aux opérateurs d'escroqueries en ligne. Les marchands proposent des services de blanchiment d'argent, de développement de sites web pour les escroqueries de cryptomonnaie, ainsi que des équipements pour torturer les travailleurs piégés. Elliptic a souligné que HuiOne Guarantee est un acteur clé des opérations d'escroquerie en Asie du Sud-Est.
Sources :
Le logiciel malveillant ViperSoftX se déguise en livres électroniques sur les torrents pour propager des attaques furtives
Le malware sophistiqué ViperSoftX est distribué sous forme d'eBooks via des torrents. Il utilise le Common Language Runtime (CLR) pour charger et exécuter dynamiquement des commandes PowerShell, créant ainsi un environnement PowerShell dans AutoIt. Détecté par Fortinet en 2020, ViperSoftX vise à exfiltrer des informations sensibles des hôtes Windows compromis. Il évolue en adoptant des techniques avancées anti-analyse et a récemment été utilisé pour propager des malwares comme Quasar RAT. Les attaques utilisant ViperSoftX se servent de logiciels piratés et de sites torrent, mais l'utilisation d'eBooks comme appâts est une nouvelle approche. Le malware collecte des informations système, recherche des portefeuilles de cryptomonnaie, capture le presse-papiers et télécharge et exécute des charges utiles supplémentaires. ViperSoftX utilise le CLR pour exécuter des opérations PowerShell dans AutoIt, échappant ainsi à la détection. Il peut également contourner les mesures de sécurité traditionnelles en patchant l'Antimalware Scan Interface (AMSI).
Sources :
Nouvelle vulnérabilité OpenSSH découverte : risque potentiel d'exécution de code à distance
Certaines versions de la suite de réseau sécurisé OpenSSH sont vulnérables à une nouvelle faille pouvant déclencher une exécution de code à distance (RCE). La vulnérabilité, identifiée sous le nom CVE-2024-6409 (score CVSS : 7.0), concerne les versions 8.7p1 et 8.8p1 livrées avec Red Hat Enterprise Linux 9. Découverte par le chercheur en sécurité Alexander Peslyak, alias Solar Designer, cette faille a été détectée lors de l'examen de la CVE-2024-6387. Bien que l'impact immédiat soit limité en raison du processus enfant privilégié, l'exploitation réussie de la vulnérabilité peut entraîner une exécution de code à distance. Une exploitation active de la CVE-2024-6387 a été observée, avec un acteur de menace ciblant principalement des serveurs en Chine. L'attaque provient de l'adresse IP 108.174.58[.]28, hébergeant des outils d'exploitation pour les serveurs SSH vulnérables.
Sources :
Les États-Unis perturbent une ferme de robots alimentée par l’IA et poussant la propagande russe sur X
Une opération internationale dirigée par le Département de la Justice des États-Unis a perturbé un important réseau de bots alimenté par l'IA diffusant de la propagande russe sur Twitter. Près de mille comptes Twitter contrôlés par ce réseau ont été supprimés. Les bots, gérés par un rédacteur en chef adjoint de Russia Today (RT) et un officier du FSB russe, utilisaient un logiciel nommé Meliorator pour propager de la désinformation depuis 2022. Ce réseau permettait à RT d'étendre sa portée au-delà de ses diffusions télévisées traditionnelles. Le FBI a déclaré que Meliorator était conçu pour créer de faux profils authentiques en masse sur les réseaux sociaux afin de propager de la désinformation et influencer l'opinion publique. Les autorités ont saisi les domaines utilisés pour enregistrer les bots et ont pris des mesures pour perturber cette opération.
Sources :
Mise à jour Windows 11 KB5040442 publiée avec 31 correctifs et modifications
Microsoft déploie la mise à jour cumulative KB5040442 pour Windows 11 23H2, comprenant 31 améliorations. Parmi celles-ci, le retour du bouton "Afficher le bureau", une carte de recommandation Game Pass, la création de fichiers 7-Zip et TAR via le menu contextuel, et le support des formes de symboles Unicode pour les groupes familiaux. De nouveaux emojis sont ajoutés. Cette mise à jour améliore la plateforme de filtrage virtuel et modifie l'ordre de tri des processus dans le Gestionnaire des tâches. Les unités de vitesse DDR passent de MHz à MT/s. Des problèmes liés à la désactivation des "Fonctionnalités multimédias" sont également corrigés. Les détails complets sont disponibles sur le site de support de Microsoft. Certains utilisateurs recommandent d'attendre avant de passer à Windows 11 en raison de problèmes persistants.
Sources :
La nouvelle attaque Blast-RADIUS contourne l'authentification RADIUS largement utilisée
Une nouvelle attaque Blast-RADIUS contourne l'authentification RADIUS largement utilisée en exploitant une vulnérabilité du protocole et une attaque de collision MD5. Les attaquants peuvent ainsi accéder aux réseaux et appareils en manipulant les réponses du serveur RADIUS. Cette attaque permet aux attaquants d'obtenir des privilèges administratifs sans avoir besoin de forcer des mots de passe ou de voler des identifiants. Les chercheurs ont développé une preuve de concept qui permet de forger une réponse "Access-Accept" valide en utilisant une collision de hachage MD5, nécessitant quelques minutes. Les opérateurs réseau peuvent se protéger en passant à RADIUS sur TLS (RADSEC), en déployant des configurations "multihop" RADIUS, et en isolant le trafic RADIUS de l'accès internet. Les utilisateurs finaux ne peuvent pas se protéger contre cette attaque, mais les fournisseurs et administrateurs système sont invités à suivre les meilleures pratiques pour sécuriser les dispositifs RADIUS.
Sources :
Fujitsu confirme que les données de ses clients ont été exposées lors de la cyberattaque de mars
Fujitsu a confirmé qu'une cyberattaque en mars a exposé des données de clients, sans ransomware mais avec une technique sophistiquée. Le malware a touché 49 ordinateurs, permettant le vol de données personnelles et commerciales. Fujitsu a isolé les ordinateurs infectés et renforcé sa sécurité. Aucune utilisation abusive des données compromises n'a été signalée.
Sources :
Mise à jour Windows 10 KB5040427 publiée avec les modifications de Copilot, 12 autres correctifs
Microsoft a publié la mise à jour cumulative KB5040427 pour Windows 10 21H2 et 22H2, comprenant 13 changements, notamment une évolution de Microsoft Copilot en tant qu'application offrant plus de flexibilité dans son affichage. Cette mise à jour est obligatoire, incluant les correctifs de sécurité de juillet 2024. Les utilisateurs peuvent l'installer manuellement via les paramètres de Windows Update. Elle met à jour Windows 10 vers les versions 19045.4651 et 19044.4651. Les nouveautés incluent des améliorations de Copilot et 13 corrections, mais des problèmes persistants sont signalés. Un résumé complet des correctifs est disponible dans le bulletin de support KB5040427.
Sources :
Le patch Tuesday de juillet 2024 de Microsoft corrige 142 failles, 4 jours zéro
Microsoft a classé une faille zero-day comme étant publiquement divulguée ou activement exploitée sans correctif officiel disponible. La vulnérabilité permettrait à un attaquant d'obtenir des privilèges SYSTEM. Bien que Microsoft indique que la faille est activement exploitée, aucune information supplémentaire n'a été partagée sur sa découverte. Une attaque pourrait être réalisée en fermant un flux http/3 pendant le traitement du corps de la requête, entraînant une condition de concurrence. Microsoft a corrigé une attaque de canal secondaire "FetchBench" permettant de voler des informations secrètes. Cisco a révélé une vulnérabilité d'injection de commande CLI dans NX-OS Software exploitée lors d'attaques. Diverses autres vulnérabilités ont également été identifiées dans des services et composants Windows, allant de modérées à critiques.
Sources :
Mise à jour Windows 11 KB5040435 publiée avec 31 correctifs et modifications
Microsoft déploie la mise à jour cumulative KB5040442 pour Windows 11 23H2, comprenant 31 améliorations. Parmi celles-ci, le retour du bouton "Afficher le bureau", une carte de recommandation Game Pass, la création de fichiers 7-Zip et TAR via le menu contextuel, et le support des formes de symboles Unicode pour les groupes familiaux. De nouveaux emojis sont ajoutés. Cette mise à jour améliore la plateforme de filtrage virtuel et modifie l'ordre de tri des processus dans le Gestionnaire des tâches. Les unités de vitesse DDR passent de MHz à MT/s. Des problèmes liés à la désactivation des "Fonctionnalités multimédias" sont également corrigés. La disponibilité varie pour les PC existants. Un fin liseré noir entoure désormais l'élément sélectionné. Pour plus de détails, consultez le site de support de Microsoft.
Sources :
Les pirates ciblent le plugin de calendrier WordPress utilisé par 150 000 sites
Des hackers ciblent le plugin de calendrier WordPress Modern Events Calendar utilisé par 150 000 sites. Une vulnérabilité (CVE-2024-5441) permet l'upload de fichiers arbitraires et l'exécution de code à distance. Découverte par Friderika Baranyai, elle a reçu un score de gravité élevé. Le problème provient d'une validation insuffisante des types de fichiers dans la fonction 'setfeaturedimage'. Les versions jusqu'à 7.11.0 sont affectées. Webnus a corrigé en publiant la version 7.12.0. Les hackers tentent déjà d'exploiter la faille, malgré plus de 100 tentatives bloquées en 24 heures. Les utilisateurs doivent mettre à jour ou désactiver le plugin pour éviter les attaques.
Sources :
La ville de Philadelphie déclare que plus de 35 000 personnes ont été touchées lors d'une violation en mai 2023
La ville de Philadelphie a révélé qu'une violation de données en mai 2024 a affecté plus de 35 000 individus, avec des informations personnelles et de santé protégées compromises. Les attaquants ont accédé à plusieurs comptes e-mail entre mai et juillet 2023. Les données exposées incluent des informations démographiques, médicales et financières. Les personnes affectées ont été informées en juillet 2024 et des mesures ont été prises pour renforcer la sécurité et offrir des services de surveillance de crédit gratuits. Les autorités n'ont pas encore expliqué comment les attaquants ont accédé aux comptes e-mail de la ville ni pourquoi la divulgation a été retardée. Cette violation rappelle une précédente violation de la DBHIDS en 2020.
