Les cybercriminels exploitent les serveurs API Docker pour miner des crypto-monnaies - Actus du 22/10/2024
Découvrez comment une faille dans l'OPA de Styra met en péril la sécurité NTLM, la réponse de VMware face à une vulnérabilité critique de vCenter Server RCE, et l'exploitation des serveurs API Docker par des cybercriminels pour miner la crypto-monnaie avec SRBMiner. Protégez vos systèmes !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Une faille de sécurité dans l'OPA de Styra expose les hachages NTLM aux attaquants distants
Une vulnérabilité récemment corrigée dans l'Open Policy Agent (OPA) de Styra aurait pu permettre à un attaquant de divulguer des hachages NTLM (New Technology LAN Manager) des comptes utilisateurs locaux du serveur OPA. Selon le rapport de la société de cybersécurité Tenable, cette faille, identifiée comme une vulnérabilité de force d'authentification SMB (CVE-2024-8260, score CVSS : 6.1/7.3), affecte à la fois l'interface en ligne de commande (CLI) et le kit de développement logiciel (SDK) Go pour Windows. Le problème provient d'une validation d'entrée incorrecte, permettant un accès non autorisé en divulguant le hachage Net-NTLMv2 de l'utilisateur connecté. Pour exploiter cette vulnérabilité, l'attaquant doit avoir un accès initial à l'environnement ou manipuler un utilisateur pour exécuter OPA CLI. Les informations d'identification capturées pourraient être utilisées pour des attaques de relais ou pour craquer le mot de passe hors ligne. Après une divulgation responsable le 19 juin 2024, la vulnérabilité a été corrigée dans la version 0.68.0, publiée le 29 août 2024. Ce cas souligne l'importance de sécuriser les projets open-source pour protéger les systèmes des entreprises.
Sources :
VMware corrige un correctif pour une faille critique de vCenter Server RCE
VMware a publié une mise à jour de sécurité pour corriger la vulnérabilité critique CVE-2024-38812, une faille d'exécution de code à distance (RCE) dans le serveur vCenter, qui n'avait pas été correctement résolue par un premier correctif en septembre 2024. Cette vulnérabilité, notée 9.8 sur l'échelle CVSS v3.1, provient d'un débordement de mémoire dans l'implémentation du protocole DCE/RPC de vCenter, affectant également des produits comme vSphere et Cloud Foundation. L'exploitation de cette faille ne nécessite aucune interaction de l'utilisateur, car elle peut être déclenchée par un paquet réseau spécialement conçu. Découverte par des chercheurs en sécurité lors d'un concours de hacking en Chine, cette vulnérabilité a conduit à la divulgation d'une autre faille, CVE-2024-38813, liée à l'escalade de privilèges. VMware a conseillé à tous les clients d'appliquer les nouveaux correctifs pour les versions 7.0.3, 8.0.2 et 8.0.3 de vCenter, car les précédents correctifs n'étaient pas suffisants. Les versions plus anciennes, comme vSphere 6.5 et 6.7, sont également affectées mais ne recevront pas de mises à jour de sécurité. Aucune exploitation de ces failles n'a été signalée jusqu'à présent.
Sources :
Les cybercriminels exploitent les serveurs API Docker pour les attaques de minage de crypto-monnaie SRBMiner
Des acteurs malveillants ciblent les serveurs API Docker à distance pour déployer le mineur de cryptomonnaie SRBMiner sur des instances compromises, selon Trend Micro. Dans cette attaque, l'attaquant utilise le protocole gRPC sur h2c pour contourner les solutions de sécurité et exécuter des opérations de minage. Le processus débute par une découverte des hôtes API Docker accessibles publiquement, suivie de vérifications de la disponibilité des mises à niveau du protocole HTTP/2. Une fois la connexion établie, une requête gRPC est envoyée pour créer un conteneur et miner la cryptomonnaie XRP. Les chercheurs notent que l'attaquant exploite des méthodes gRPC pour gérer divers aspects des environnements Docker, y compris les vérifications de santé et la gestion des secrets. En parallèle, Trend Micro a observé des attaques utilisant des serveurs API Docker exposés pour déployer le malware perfctl, qui crée un conteneur Docker et exécute un script shell malveillant. Les utilisateurs sont conseillés de sécuriser leurs serveurs API Docker en mettant en œuvre des contrôles d'accès stricts, en surveillant les activités inhabituelles et en appliquant les meilleures pratiques de sécurité des conteneurs.
Sources :
Pour protéger Active Directory, neutralisez les menaces liées à l’abus et à l’élévation des privilèges
L'article souligne les défis de la sécurisation d'Active Directory (AD), en particulier face à la montée des cyberattaques. Il met en évidence que de nombreux comptes AD, souvent négligés, peuvent être compromis sans être détectés, permettant aux criminels d'élever leurs privilèges et d'accéder à des zones sensibles du réseau. Pour contrer cette menace, il est essentiel d'appliquer le principe du moindre privilège, où chaque compte ne dispose que des droits nécessaires à ses fonctions. La gestion d'AD doit être précise et granulaire, permettant aux administrateurs de définir des autorisations spécifiques pour les utilisateurs privilégiés. L'article insiste également sur l'importance de sécuriser tous les comptes, même les plus basiques, car les attaquants exploitent souvent des comptes ordinaires pour escalader leurs privilèges. De plus, il est crucial d'implémenter des couches de sécurité variées, notamment la multi-authentification (MFA), pour renforcer la défense d'AD. Les entreprises doivent être conscientes que la négligence dans la sécurisation d'AD peut mener à des failles exploitables par les cybercriminels, rendant leur stratégie de défense inefficace. En somme, une vigilance accrue et une gestion rigoureuse sont indispensables pour protéger les environnements AD.
Sources :
Cyber-Résilience : L’IA est le meilleur défenseur contre… l’IA
Le rapport 2024 de Cohesity sur la cyber-résilience met en lumière l'augmentation alarmante des attaques par ransomware, touchant 86 % des entreprises françaises en 2024, contre 53 % l'année précédente. Cette situation place la France parmi les pays les plus ciblés au monde, avec 67 % des entreprises globalement touchées. Malgré une politique de non-paiement des rançons dans 90 % des cas, 97 % des décideurs français seraient prêts à payer, renforçant ainsi le modèle économique des cybercriminels. Le rapport souligne un décalage entre les attentes et la réalité en matière de restauration après une cyberattaque, avec peu d'organisations capables de récupérer leurs données rapidement. En effet, aucun des sondés français ne se sent capable de restaurer ses systèmes en moins de 24 heures, et 17 % estiment qu'il leur faudrait entre 3 semaines et 2 mois. Les conséquences de ces attaques sont à la fois logistiques et financières, impactant la réputation et la confiance des clients. La loi LOPMI impose aux victimes de porter plainte pour préserver leurs droits à indemnisation, soulignant l'importance cruciale de la cyber-résilience pour les entreprises face à cette menace croissante.
Sources :
Kaspersky s’est associé à INTERPOL pour lutter contre la cybercriminalité durant les Jeux Olympiques de Paris 2024
Kaspersky a collaboré avec INTERPOL dans le cadre du projet Stadia pour renforcer la cybersécurité des Jeux Olympiques de Paris 2024. Ce programme vise à protéger les événements internationaux contre les cybermenaces, notamment le phishing et les escroqueries par ingénierie sociale, qui ciblent les supporters. Les experts ont identifié une augmentation des activités malveillantes, y compris des sites de phishing imitant les plateformes officielles des Jeux et des fausses ventes aux enchères de médailles. Des stratagèmes sophistiqués ont également été découverts, comme des faux partenariats avec les Jeux pour inciter les utilisateurs à divulguer leurs données personnelles via des jeux concours trompeurs. Kaspersky a fourni des informations en temps réel à INTERPOL, permettant d'identifier et de neutraliser ces menaces. Yuliya Shlychkova, vice-présidente de Kaspersky, a souligné l'importance de la collaboration entre le secteur privé et public pour contrer la cybercriminalité. Neal Jetton d'INTERPOL a ajouté que cette coopération internationale est essentielle pour protéger les athlètes et les spectateurs. Par ailleurs, une analyse de 25 000 points d'accès Wi-Fi à Paris a révélé que près de 25 % d'entre eux étaient mal sécurisés, exposant les utilisateurs à des risques de vol de données.
Sources :
NIS2 et cybersécurité : vers une sécurisation accrue des systèmes grâce à l’authentification multi-facteurs moderne
La directive NIS2, entrée en vigueur le 17 octobre 2024, marque une avancée significative pour la cybersécurité au sein de l'Union européenne, en imposant des exigences renforcées aux organisations opérant dans l'UE. Bien qu'aucune action majeure n'ait encore été entreprise, les entreprises doivent se préparer à se conformer à ces nouvelles normes. L'accent est mis sur l'importance de l'authentification multi-facteurs (MFA) pour protéger les systèmes informatiques et garantir la conformité réglementaire. Fabrice de Vésian, Sales Manager chez Yubico, souligne que les méthodes traditionnelles, comme les mots de passe à usage unique, sont insuffisantes face aux cybermenaces actuelles. NIS2 exige des solutions MFA robustes, non seulement pour les infrastructures internes, mais aussi pour les partenaires et fournisseurs, afin d'assurer une sécurité tout au long de la chaîne d'approvisionnement. L'adoption de technologies modernes, telles que les passkeys et les clés de sécurité physiques, est essentielle pour répondre aux exigences de la directive. En investissant dans la cyber-résilience, les entreprises peuvent non seulement se conformer à NIS2, mais aussi renforcer la confiance de leurs clients et partenaires, transformant ainsi cette directive en une opportunité de sécuriser leurs opérations.
Sources :
Zimperium démystifie 5 idées reçues sur la sécurité mobile
La sécurité mobile est devenue un enjeu crucial pour les entreprises, nécessitant une vigilance accrue de la part des RSSI, DSI et dirigeants. Zimperium met en lumière cinq idées reçues à déconstruire. Premièrement, bien que les systèmes Android et iOS possèdent des fonctions de sécurité, ils ne sont pas infaillibles et peuvent être compromis par des vulnérabilités ou des applications malveillantes. Deuxièmement, les App Stores ne garantissent pas la sécurité des applications, car ils ne peuvent pas toujours détecter les comportements malveillants. Troisièmement, la sécurité des serveurs ne suffit pas à protéger les données sensibles sur les appareils mobiles, qui nécessitent des solutions de sécurité spécifiques pour éviter les fuites de données. Quatrièmement, une fois qu'un appareil est compromis, les mécanismes de sécurité traditionnels peuvent être contournés, soulignant l'importance d'une approche combinée. Enfin, la protection des messageries professionnelles ne suffit pas à prévenir les menaces telles que le smishing et le phishing, qui peuvent cibler les utilisateurs par divers vecteurs. Pour une protection efficace, les entreprises doivent adopter des stratégies Zéro Trust et rester informées des menaces en constante évolution. La sécurité mobile est un processus continu nécessitant adaptation et vigilance.
Sources :
NIS 2 : L’urgence d’une sécurité DNS renforcée
La directive NIS 2 vise à renforcer la cybersécurité au sein de l'UE, imposant aux entreprises de se conformer à des normes strictes. Keyfactor propose quatre étapes clés pour répondre à ces exigences. La première étape consiste à auditer l'existant, en réalisant un inventaire exhaustif des certificats cryptographiques pour garantir leur conformité. La deuxième étape souligne l'importance d'une infrastructure à clé publique (PKI) moderne, essentielle pour assurer une authentification robuste des identités et des machines. La troisième étape recommande de déployer une politique de signature rigoureuse pour protéger les clés de signature contre les cyberattaques. Enfin, la quatrième étape met l'accent sur l'automatisation du cycle de vie des certificats, permettant une gestion proactive et évitant les interruptions d'activité. En intégrant une approche zero-trust et en maintenant des mises à jour régulières, les entreprises peuvent mieux gérer les risques et assurer la continuité des opérations. La mise en place d'une politique cryptographique solide est donc cruciale pour se conformer à NIS 2 et garantir une cybersécurité efficace. Ces mesures, basées sur une gestion appropriée des certificats, sont indispensables pour protéger les systèmes d'information contre les menaces croissantes.
Sources :
Un guide complet pour trouver des comptes de service dans Active Directory
Les comptes de service sont essentiels dans les entreprises pour automatiser des processus, mais ils représentent un risque de sécurité important s'ils ne sont pas correctement surveillés. Contrairement aux comptes utilisateurs, ces comptes ne sont pas associés à des individus, ce qui les rend vulnérables aux attaques en raison de leurs privilèges élevés. Une gestion et une surveillance adéquates sont donc cruciales pour prévenir les violations de sécurité. Pour identifier ces comptes dans Active Directory (AD), il est recommandé de commencer par examiner la documentation existante, d'utiliser la console Active Directory Users and Computers (ADUC) pour filtrer les comptes, et de consulter les propriétaires d'applications. De plus, il est important d'auditer régulièrement les journaux d'événements pour détecter toute activité suspecte. Silverfort propose une solution intégrée qui analyse chaque tentative d'accès et classifie les comportements typiques des comptes de service, déclenchant des actions de protection en cas d'activité anormale. En résumé, la gestion des comptes de service est cruciale pour la sécurité du réseau, et les outils comme Silverfort offrent une protection robuste, permettant aux entreprises de sécuriser ces comptes et de réduire les risques de violations.
Sources :
Les malwares Bumblebee et Latrodectus reviennent avec des stratégies de phishing sophistiquées
Deux familles de logiciels malveillants, Bumblebee et Latrodectus, ont refait surface après l'opération de lutte contre la cybercriminalité nommée Endgame, qui avait entraîné la désactivation de plus de 100 serveurs liés à divers malwares. Latrodectus, considéré comme un successeur d'IcedID, est utilisé dans des campagnes de phishing orchestrées par des courtiers d'accès initial (IAB) tels que TA577 et TA578. Bien que Latrodectus n'ait pas été explicitement mentionné lors de l'opération, il a subi des perturbations similaires, mais a rapidement rebondi, devenant une menace significative selon Trustwave. Les campagnes actuelles exploitent des emails de phishing, souvent déguisés en communications légitimes de Microsoft Azure ou Google Cloud, pour déployer le malware. Les messages contiennent des pièces jointes malveillantes qui, une fois ouvertes, téléchargent des scripts PowerShell ou des installateurs MSI, permettant l'exécution de Latrodectus. Parallèlement, Bumblebee utilise une méthode de livraison via des fichiers ZIP, évitant d'écrire des fichiers DLL sur le disque. Ces deux malwares ciblent principalement les secteurs financier, automobile et commercial, exploitant des infrastructures anciennes tout en intégrant des méthodes de distribution innovantes.
Sources :
Des packages npm malveillants ciblent les portefeuilles Ethereum des développeurs avec une porte dérobée SSH
Des chercheurs en cybersécurité ont découvert plusieurs paquets suspects sur le registre npm, conçus pour voler des clés privées Ethereum et accéder à distance aux machines via le protocole SSH. Ces paquets, qui tentent d'imiter le paquet légitime ethers, incluent des noms tels que ethers-mew et ethers-web3. Selon l'analyse de Phylum, ces paquets visent à insérer la clé publique de l'attaquant dans le fichier authorized_keys de l'utilisateur root, permettant ainsi un accès SSH non autorisé. La plupart des paquets, publiés par des comptes comme "crstianokavic" et "timyorks", semblent avoir été créés pour des tests, avec peu de modifications entre eux. Ce n'est pas la première fois que des paquets malveillants sont découverts sur npm ; en août 2023, un paquet nommé ethereum-cryptographyy avait déjà exfiltré des clés privées vers un serveur en Chine. La nouvelle campagne d'attaques se distingue par l'intégration directe du code malveillant dans les paquets, nécessitant que les développeurs les utilisent dans leur code pour activer l'attaque. Les paquets ont été rapidement supprimés par leurs auteurs, rendant leur détection plus difficile.
Sources :
Le malware bancaire Astaroth cible activement les utilisateurs au Brésil
Le malware bancaire Astaroth, connu pour ses activités malveillantes, a récemment refait surface, ciblant principalement les utilisateurs brésiliens. Selon des chercheurs de Trend Micro, cette résurgence se manifeste par des campagnes de phishing ciblées, visant divers secteurs, notamment les administrations publiques, l'industrie manufacturière, le commerce de détail et la santé. Les attaques commencent par l'envoi d'emails de phishing contenant des pièces jointes malveillantes, souvent déguisées en communications officielles, comme des documents fiscaux. Lorsqu'un utilisateur ouvre ces fichiers, un exécutable malveillant, "mshta.exe", s'active, exécutant des commandes JavaScript obfusquées et établissant une connexion avec le serveur de commande et de contrôle (C&C). Cela permet au malware de voler des données et de causer des dommages à long terme aux entreprises, y compris des pertes financières et de réputation. Les chercheurs ont nommé cette série d'attaques "Water Maskara", soulignant l'exploitation de la naïveté des utilisateurs face aux emails malveillants. Pour se protéger, il est conseillé de ne jamais interagir avec des emails non sollicités et de vérifier leur authenticité par d'autres moyens de communication. Astaroth est actif depuis plusieurs années et a déjà été impliqué dans d'autres campagnes ciblant le Brésil.
Sources :
Fuite de données pour FREE mobile et FreeBox ?
Un pirate informatique, se faisant appeler « drussellx », a revendiqué la possession de 19,2 millions de données de clients de Free Mobile et Freebox, incluant 5,1 millions d'IBAN. Il a annoncé avoir copié ces informations le 17 octobre 2024 et propose de vendre deux bases de données de plus de 43 Go à un acheteur unique, en utilisant un système d'escrow pour sécuriser la transaction. Bien qu'il ait fourni des échantillons de données pour appuyer ses dires, la véracité de cette fuite reste incertaine. Les informations divulguées comprennent des données personnelles telles que noms, adresses, et détails de compte. Le pirate a fait son annonce sur un forum peu avant de publier, arborant un badge VIP qui pourrait renforcer sa crédibilité, bien que ce statut puisse être acheté. La question demeure : s'agit-il d'une véritable fuite massive ou d'une tentative d'escroquerie ? ZATAZ a alerté Free, qui a mis en place une cellule de crise pour enquêter sur cette situation potentiellement grave. La communauté reste en attente de clarifications sur la nature de cette annonce.
Sources :
VMware publie une mise à jour de vCenter Server pour corriger une vulnérabilité critique RCE
VMware a publié des mises à jour logicielles pour corriger une vulnérabilité de sécurité déjà patchée dans vCenter Server, qui pourrait permettre une exécution de code à distance. Cette vulnérabilité, identifiée sous le nom CVE-2024-38812 (score CVSS : 9.8), concerne un débordement de tas dans l'implémentation du protocole DCE/RPC. Un acteur malveillant ayant accès au réseau de vCenter Server peut exploiter cette faille en envoyant un paquet réseau spécialement conçu, ce qui pourrait mener à une exécution de code à distance. Bien que la vulnérabilité ait été signalée par des chercheurs lors d'une compétition de cybersécurité en Chine, VMware a reconnu que les correctifs publiés le 17 septembre 2024 n'avaient pas complètement résolu le problème. Les correctifs sont disponibles pour les versions de vCenter Server 8.0 U3d, 8.0 U2e et 7.0 U3t, ainsi que pour VMware Cloud Foundation. Bien qu'aucune exploitation de cette vulnérabilité ne soit connue à ce jour, il est conseillé aux utilisateurs de mettre à jour vers les dernières versions pour se protéger contre d'éventuelles menaces. Par ailleurs, une loi chinoise de 2021 impose la divulgation rapide des vulnérabilités, suscitant des inquiétudes quant à leur exploitation par des États-nations.
Sources :
La CISA ajoute la vulnérabilité ScienceLogic SL1 au catalogue exploité après une attaque zero-day active
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a récemment ajouté une vulnérabilité critique affectant ScienceLogic SL1 à son catalogue des vulnérabilités exploitées (KEV), suite à des rapports d'exploitation active en tant que zero-day. Cette vulnérabilité, identifiée comme CVE-2024-9537 (score CVSS v4 : 9.3), concerne un composant tiers non spécifié pouvant entraîner une exécution de code à distance. Des correctifs ont été publiés pour les versions 12.1.3, 12.2.3, 12.3 et ultérieures, ainsi que pour les versions 10.1.x, 10.2.x, 11.1.x, 11.2.x et 11.3.x. Cette situation fait suite à la reconnaissance par Rackspace d'un problème avec le portail ScienceLogic EM7, qui a conduit à la mise hors ligne de son tableau de bord. Rackspace a confirmé que l'exploitation de cette application tierce a permis un accès non autorisé à ses serveurs internes. Les agences fédérales doivent appliquer les correctifs d'ici le 11 novembre 2024. Parallèlement, Fortinet a publié des mises à jour de sécurité pour FortiManager afin de remédier à une vulnérabilité exploitée par des acteurs menaçants liés à la Chine, sans fournir de détails précis sur cette faille.
Sources :
Des pirates exploitent la faille de messagerie Web Roundcube pour voler des e-mails et des informations d'identification
Des hackers exploitent une vulnérabilité dans le client de messagerie Roundcube pour cibler des organisations gouvernementales dans la région de la CEI. Découverte par Positive Technologies en septembre 2024, l'activité malveillante a débuté en juin. La faille, identifiée comme CVE-2024-37383, est une vulnérabilité XSS stockée de gravité moyenne qui permet l'exécution de code JavaScript malveillant via des emails spécialement conçus. Les attaquants envoient des emails apparemment vides avec une pièce jointe .DOC, intégrant un code caché qui télécharge un document trompeur tout en injectant un formulaire de connexion non autorisé sur la page HTML de l'utilisateur. Ce formulaire vise à récupérer les identifiants de connexion des victimes. Les données sont ensuite envoyées à un serveur distant récemment enregistré. Les versions de Roundcube antérieures à 1.5.6 et 1.6 à 1.6.6 sont vulnérables, et les administrateurs sont conseillés de mettre à jour vers la version 1.6.9, publiée le 1er septembre. Les failles de Roundcube sont souvent ciblées en raison de son utilisation par des organisations importantes, et des alertes ont été émises par la CISA concernant d'autres vulnérabilités similaires.
Sources :
Plus de 6 000 WordPress piratés pour installer des plugins diffusant des infostealers
Plus de 6 000 sites WordPress ont été piratés pour installer des plugins malveillants affichant de fausses mises à jour logicielles et des messages d'erreur, dans le but de propager des malwares volants d'informations. Depuis 2023, une campagne malveillante nommée ClearFake a été mise en place, affichant de fausses alertes de mise à jour de navigateur sur des sites compromis. En 2024, une nouvelle campagne, ClickFix, a émergé, simulant des messages d'erreur logiciels avec des "solutions" qui sont en réalité des scripts PowerShell téléchargeant des malwares. Ces campagnes sont devenues fréquentes, ciblant des alertes pour des services populaires comme Google Chrome et Facebook. GoDaddy a rapporté que les acteurs de menace ont utilisé des plugins malveillants, souvent déguisés sous des noms de plugins légitimes, pour injecter des scripts JavaScript nuisibles dans les sites. Les attaquants semblent utiliser des identifiants d'administrateur volés pour accéder aux sites et installer ces plugins de manière automatisée. Les utilisateurs de WordPress sont conseillés de vérifier leurs plugins installés et de réinitialiser les mots de passe des administrateurs en cas de détection d'alertes suspectes.
Sources :
Microsoft bloque Windows 11 24H2 sur deux modèles ASUS en raison de plantages
Microsoft a annoncé des problèmes de plantage avec l'écran bleu de la mort (BSOD) sur certains modèles d'ordinateurs portables ASUS lors de la mise à jour vers Windows 11 version 24H2. Les modèles concernés sont les ASUS X415KA et X515KA. Dans un bulletin, Microsoft a précisé qu'il travaillait avec ASUS pour résoudre ce problème et a suspendu les mises à jour pour ces appareils jusqu'à ce qu'une solution soit trouvée. Les utilisateurs de ces modèles sont donc invités à ne pas tenter de mise à jour manuelle, que ce soit via l'Assistant d'installation de Windows 11 ou un outil de création de médias. Ce problème survient peu après que Microsoft ait bloqué les mises à jour de Windows 11 24H2 sur certains PC Intel en raison de problèmes similaires liés à un pilote audio. Bien que les modèles ASUS concernés soient équipés de processeurs Intel de 10e et 11e génération, aucun contournement n'a encore été proposé. De plus, les utilisateurs signalent d'autres problèmes après la mise à jour, notamment des problèmes de performance de jeu et des erreurs de rapport d'espace disponible dans l'outil de nettoyage de disque.
Sources :
Le malware Bumblebee revient après une récente perturbation des forces de l'ordre
Le malware Bumblebee, un chargeur de malware développé par les créateurs de TrickBot, a été détecté dans de nouvelles attaques après une période de silence suite à l'opération 'Endgame' d'Europol en mai 2024, qui avait perturbé ses activités. Apparue en 2022 comme remplaçant de BazarLoader, Bumblebee permet aux acteurs de la ransomware d'accéder aux réseaux des victimes via des techniques telles que le phishing et la malvertising. Les attaques récentes commencent par un email de phishing incitant la victime à télécharger une archive ZIP malveillante contenant un raccourci .LNK. Ce dernier déclenche un téléchargement silencieux d'un fichier .MSI déguisé en mise à jour de pilote NVIDIA. Une fois exécuté, le malware utilise des techniques pour se charger en mémoire sans interaction de l'utilisateur. Les chercheurs de Netskope ont observé des signatures et des mécanismes d'extraction de configuration similaires à ceux des variantes précédentes de Bumblebee. Bien que les détails sur les charges utiles et l'ampleur de la campagne ne soient pas fournis, cette résurgence potentielle du malware constitue un avertissement pour la cybersécurité.
Sources :
L’avenir open source de Bitwarden a connu une frayeur
En 2024, trois gestionnaires de mots de passe open source se distinguent : Proton Pass, KeePass et Bitwarden. Récemment, Bitwarden a suscité des inquiétudes en raison de modifications de son code, remettant en question son engagement envers l'open source. Une mise à jour a introduit une clause de licence interdisant l'utilisation de certaines ressources pour développer d'autres outils, ce qui a provoqué des réactions négatives sur des plateformes comme Reddit et GitHub. Les utilisateurs craignaient une déviation des principes fondateurs de Bitwarden, ce qui aurait pu entraîner une migration vers d'autres solutions comme Proton Pass ou KeePass. Cependant, Kyle Spearrin, le fondateur de Bitwarden, a rapidement clarifié que ces changements étaient dus à un bug et que l'entreprise restait fidèle à son modèle open source, tout en maintenant une version gratuite pour les utilisateurs individuels. Bitwarden, qui compte des millions d'utilisateurs, doit préserver sa philosophie pour éviter de perdre sa clientèle, d'autant plus qu'il propose des fonctionnalités clés comme la double authentification et la synchronisation dans le cloud. La situation semble donc se stabiliser, rassurant ainsi ses utilisateurs.
