Les détails sur le groupe de menace FIN7 dévoilés par SentinelLabs - Actus du 17/07/2024
Découvrez nos 6 conseils essentiels pour éviter le piratage en vacances. Apprenez-en plus sur la violation de données chez MarineMax touchant 123 000 personnes et les dernières révélations de SentinelLabs sur le groupe de hackers russes FIN7. Protégez vos informations dès maintenant !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Voici les 6 conseils à suivre pour éviter d’être piraté pendant vos vacances
L'article met en garde contre les hackers qui profitent de la période estivale pour piéger les vacanciers, notamment via des mails frauduleux et des sites de réservation falsifiés. Il est recommandé d'être vigilant, de ne pas annoncer son départ sur les réseaux sociaux, de vérifier les liens suspects et de privilégier les paiements en liquide ou par carte dans des endroits sécurisés. Il est également conseillé de se renseigner sur l'environnement numérique local, d'utiliser un VPN en cas de connexion non sécurisée et de privilégier les connexions HTTPS pour les téléchargements. Enfin, il est recommandé de soutenir les médias en ligne pour une information de qualité accessible à tous.
Sources :
La violation de données du géant du yacht MarineMax affecte plus de 123 000 personnes
MarineMax, le géant des yachts, a subi une violation de données affectant plus de 123 000 personnes, suite à une attaque de ransomware par le groupe Rhysida. Les informations personnelles ont été volées entre le 1er et le 10 mars 2024, mais la société n'a pas encore révélé toutes les données compromises. Le groupe de ransomware a publié des fichiers volés sur le dark web, incluant des documents financiers de MarineMax. Rhysida, actif depuis mai 2023, a déjà ciblé diverses organisations, y compris des entités de santé et des studios de jeux.
Sources :
SentinelLabs dévoile plus de détails sur FIN7, un groupe de menace d’origine russe
SentinelLabs, la division de recherche de SentinelOne, a publié une étude sur le groupe de hackers russe FIN7, qui cible divers secteurs pour des motifs financiers. FIN7 a évolué vers les ransomwares en collaborant avec des groupes RaaS comme REvil et Conti. Le rapport révèle que FIN7 utilise des pseudonymes multiples, des attaques automatisées par injection SQL, et un outil spécialisé, AvNeutralizer, pour contourner les solutions de sécurité. Une nouvelle version d'AvNeutralizer exploite une technique inédite en altérant les solutions de sécurité via le pilote Windows ProcLaunchMon.sys. Le rapport complet est disponible sur le site de SentinelLabs.
Sources :
Les développeurs vont réduire le temps passé à remédier aux vulnérabilités du code grâce OpenText Fortify Aviator
OpenText™ a lancé Fortify Aviator, une solution de sécurité de code alimentée par l'IA pour accélérer le triage et la remédiation des vulnérabilités lors du développement. Cette solution permet aux développeurs de gagner du temps en facilitant l'audit et la correction des vulnérabilités des tests statiques de sécurité des applications. Fortify Aviator identifie précisément les vraies vulnérabilités, explique leur nature et fournit des remédiations contextualisées pour une correction rapide. Cette approche réduit les risques tout en permettant aux développeurs de publier des logiciels sécurisés plus rapidement. En combinant des modèles à grand langage avec une expertise de vingt ans en SAST, Fortify Aviator offre des analyses approfondies et une remédiation efficace. Disponible pour les utilisateurs du cloud public Fortify on Demand, cette solution révolutionne la sécurité des applications en fournissant des suggestions de correction personnalisées.
Sources :
Plus d’un tiers des informations sensibles saisies dans les applications d’IA générative sont des données personnelles règlementées
L'utilisation de l'IA générative a fortement augmenté, mais les entreprises peinent à gérer les risques liés à cette technologie. Une étude de Netskope révèle que les données réglementées représentent un tiers des données sensibles partagées avec les applications d'IA générative, exposant les entreprises à des risques de violations coûteuses. Bien que de nombreuses entreprises bloquent certaines applications d'IA générative, peu mettent en place des contrôles centrés sur les données pour prévenir les fuites d'informations sensibles. Les entreprises doivent investir davantage dans des mesures de prévention des pertes de données pour utiliser en toute sécurité l'IA générative, qui est de plus en plus utilisée. Netskope recommande aux entreprises d'adapter leur cadre de risque et de mettre en place des contrôles de sécurité élémentaires et avancés pour protéger leurs données face aux risques liés à l'IA générative.
Sources :
L’industrie manufacturière critique cible principale des cyberattaque
Nozomi Networks a publié son rapport biannuel sur la sécurité OT/IoT pour le premier semestre 2024, mettant en avant les requêtes de paramètres illégaux comme principale anomalie. Les attaques par trafic malformé et les attaques de type « TCP Flood » sont également mentionnées. Les données des honeypots IoT montrent une baisse des attaques uniques par jour, mais soulignent le danger des botnets IoT malveillants. Les attaquants, majoritairement originaires de Chine ou Hong Kong, utilisent principalement l'exécution de code à distance et les attaques par force brute. L'exploitation de mots de passe par défaut ou faibles reste une pratique courante pour accéder aux appareils IoT.
Sources :
5 étapes pour automatiser les examens d'accès des utilisateurs et simplifier la conformité informatique
La gestion des accès dans un environnement de travail moderne, avec des équipes distribuées et des technologies basées sur le cloud en constante évolution, devient de plus en plus complexe. L'obtention et le maintien des certifications de conformité IT, comme SOC 2, HIPAA ou PCI DSS, sont des défis majeurs en raison de la prolifération des outils SaaS. Nudge Security propose une solution automatisée pour simplifier les revues d'accès utilisateur, en identifiant et classifiant les actifs concernés, en automatisant les demandes de confirmation des utilisateurs et en facilitant la suppression des accès non autorisés. Cette approche permet d'accélérer le processus de conformité IT et de simplifier la gestion des applications SaaS, tout en assurant la sécurité des données de l'entreprise.
Sources :
Le téléphone de l’auteur des tirs contre Donald Trump a été piraté avec une technologie israélienne
Le FBI a utilisé un logiciel de Cellebrite pour accéder au smartphone du tireur ayant tenté d'assassiner Donald Trump. Le déverrouillage a pris seulement 40 minutes. Cellebrite est une société israélienne valorisée à 2,4 milliards de dollars, dont environ un cinquième des revenus provient des autorités fédérales américaines. Les appareils de Cellebrite exploitent des vulnérabilités ou utilisent la force brute pour accéder aux téléphones. En 2015, le FBI avait confronté Apple après la fusillade de San Bernardino, mais avait refusé d'aider à contourner le chiffrement de l'iPhone du tireur. Les autorités américaines se sont donc équipées de technologies pour pirater les téléphones en cas de besoin.
Sources :
Gérer les risques internes : vos employés favorisent-ils les menaces externes ?
Les attaques contre votre réseau sont souvent des opérations minutieusement planifiées lancées par des menaces sophistiquées. Parfois, vos fortifications techniques offrent un défi redoutable, et l'attaque nécessite une assistance de l'intérieur pour réussir. Par exemple, en 2022, le FBI a émis un avertissement selon lequel les attaques de swap SIM sont en augmentation : prendre le contrôle du téléphone et ouvrir la voie aux emails, comptes bancaires, actions, bitcoins, identifiants et mots de passe. Les conséquences des attaques facilitées par des insiders accidentels peuvent être importantes : pertes financières, amendes, répercussions légales et coûts de remédiation. Cependant, en mettant en œuvre une formation à la sensibilisation à la sécurité, des contrôles techniques et organisationnels adéquats, et en favorisant une culture consciente de la sécurité, les organisations peuvent réduire considérablement le risque.
Sources :
Le groupe FIN7 fait la promotion d'un outil de contournement de sécurité sur les forums du Dark Web
Le groupe de cybercriminalité FIN7, connu pour ses activités financières, utilise divers pseudonymes pour promouvoir un outil spécialisé appelé AvNeutralizer, conçu pour perturber les solutions de sécurité et utilisé par plusieurs groupes de ransomware. FIN7, d'origine russe et ukrainienne, a évolué depuis 2012 pour devenir un acteur majeur du ransomware, lançant ses propres programmes DarkSide et BlackMatter. Le groupe a démontré une grande adaptabilité et sophistication en reconfigurant son arsenal de logiciels malveillants, malgré les arrestations de certains de ses membres. L'utilisation de tactiques de malvertising et la vente d'outils spécialisés comme AvNeutralizer sur les forums criminels témoignent de l'évolution de leurs méthodes pour diversifier leurs revenus. L'outil AvNeutralizer a été amélioré pour contourner les solutions de sécurité modernes, ce qui souligne l'importance croissante des outils de contournement pour les opérateurs de ransomware face aux défenses renforcées.
Sources :
Un pirate diffuse toutes les informations du fils d’un chanteur français très connu !
Un pirate informatique a diffusé les informations personnelles du fils d'un chanteur français célèbre, suscitant l'inquiétude. Ce pirate, actif sur le site COCO, se vantait d'actions violentes et a exposé des données sensibles d'un mineur pour 500€. Les autorités devraient être alertées plutôt que de laisser ce pirate agir en justice. Il est crucial de ne pas laisser des individus non autorisés prendre des mesures illégales au nom de la protection des enfants. La victime, accusée de comportements répréhensibles par le pirate, doit être traitée par la justice et non par des actions arbitraires en ligne. La diffusion d'informations personnelles peut avoir des conséquences graves, surtout si la victime est innocente. Il est essentiel de protéger la vie privée et de laisser la justice faire son travail.
Sources :
A vendre, bases de données d’entreprises françaises
Des pirates informatiques vendent les bases de données de 15 entreprises françaises, dont LDLC, Oscaro, et des opérateurs de téléphonie. Les échantillons ne suffisent pas à crédibiliser ces ventes. Le pirate pourrait être un ancien membre cherchant à se débarrasser de fichiers encombrants ou un appât pour attraper des recéleurs.
Sources :
SFR, Free, Corsica Telecom : un pirate commercialise-t-il des accès clients ?
Un pirate informatique propose la vente d'accès aux données clients de SFR, Free, Corsica Telecom, etc. Il prétend avoir accès à toutes les informations des clients pour quelques dizaines d'euros. Des acheteurs se sont manifestés, mais il pourrait s'agir d'une arnaque. Ce pirate vend également des accès à d'autres entreprises telles que GRDF, Société Générale, McDonald's, et propose des données extraites de Corse GSM. Il utilise la technique du "scraping" pour collecter automatiquement des informations à partir de sites web.
Sources :
APT17, lié à la Chine, cible les entreprises italiennes avec un logiciel malveillant 9002 RAT
Un groupe de menace lié à la Chine nommé APT17 cible des entreprises et des entités gouvernementales italiennes en utilisant une variante du malware connu sous le nom de 9002 RAT. Deux attaques ciblées ont eu lieu les 24 juin et 2 juillet 2024, selon une analyse de la société de cybersécurité italienne TG Soft. Les attaques utilisent des leurres de spear-phishing pour inciter les victimes à télécharger un installeur MSI pour Skype for Business, déclenchant ainsi l'exécution du 9002 RAT. Ce cheval de Troie modulaire permet de surveiller le trafic réseau, de capturer des captures d'écran, d'énumérer des fichiers, de gérer des processus et d'exécuter des commandes supplémentaires reçues d'un serveur distant.
Sources :
Scattered Spider adopte RansomHub et Qilin Ransomware pour les cyberattaques
Le groupe de cybercriminalité Scattered Spider a intégré des souches de ransomware telles que RansomHub et Qilin dans son arsenal, selon Microsoft. Scattered Spider est connu pour ses stratagèmes de piratage sophistiqués et a été associé à des attaques contre des serveurs VMWare ESXi et au déploiement du ransomware BlackCat. Il partage des similitudes avec d'autres groupes tels que 0ktapus, Octo Tempest et UNC3944. RansomHub, identifié comme une réincarnation du ransomware Knight, est devenu l'une des familles de ransomware les plus répandues. Microsoft a observé son utilisation par des groupes tels que Manatee Tempest et Mustard Tempest. D'autres familles de ransomware émergent, comme FakePenny, Fog et ShadowRoot, qui ciblent les entreprises turques. Microsoft recommande aux utilisateurs et aux organisations de suivre les meilleures pratiques de sécurité, notamment en matière d'hygiène des identifiants, de principe du moindre privilège et de confiance zéro, face à la menace croissante, évolutive et étendue des ransomwares.
Sources :
Vulnérabilité critique d'Apache HugeGraph attaquée - Patch dès que possible
Des acteurs de menace exploitent activement une faille de sécurité critique récemment divulguée affectant Apache HugeGraph-Server, pouvant entraîner des attaques d'exécution de code à distance. La vulnérabilité, suivie sous le nom CVE-2024-27348 (score CVSS : 9.8), concerne toutes les versions antérieures à la 1.3.0 du logiciel. Il s'agit d'une faille d'exécution de commande à distance dans l'API du langage de traversée de graphe Gremlin. Les utilisateurs sont invités à mettre à jour vers la version 1.3.0 avec Java11 et à activer le système d'authentification pour corriger le problème. Des tentatives d'exploitation en cours ont été observées, rendant crucial l'application des correctifs les plus récents. Les vulnérabilités découvertes dans les projets Apache ont été des vecteurs d'attaque lucratifs pour les acteurs de menace nationaux et financièrement motivés ces dernières années.
Sources :
La CISA prévient que la faille critique de Geoserver GeoTools RCE est exploitée lors d'attaques
La CISA met en garde contre l'exploitation active d'une faille critique de GeoServer GeoTools permettant l'exécution de code à distance. La vulnérabilité CVE-2024-36401 a été corrigée dans les versions 2.23.6, 2.24.4 et 2.25.2 de GeoServer. Les attaquants peuvent exécuter du code à distance, ouvrir des connexions sortantes ou créer des fichiers sur les serveurs exposés. La CISA exige que les agences fédérales corrigent cette faille d'ici le 5 août 2024. Environ 16 462 serveurs GeoServer sont exposés en ligne, principalement aux États-Unis, en Chine, en Roumanie, en Allemagne et en France. Les organisations privées utilisant GeoServer doivent également prioriser le patching pour éviter les attaques.
Sources :
Photos de chat, mots de passe, Fortnite… ce que contient la fuite massive de Disney
Le groupe Disney a été victime d'une cyberattaque menée par le collectif d'hacktivistes Nullbulge, qui a divulgué plus de 1 To de données sensibles sur un forum de hackers. Les hackers ont obtenu l'accès au système interne en piratant un développeur. Les fichiers fuités incluent des secrets d'entreprise, des projets futurs, des discussions Slack, des photos de chats et des informations sensibles telles que des mots de passe. Les données révèlent des projets de skins pour Fortnite et un potentiel jeu Aliens. Disney enquête sur l'incident, mais les fuites pourraient retarder les projets de jeux en cours.
Sources :
Les adresses e-mail de 15 millions d'utilisateurs de Trello ont été divulguées sur un forum de piratage
Les adresses e-mail de 15 millions d'utilisateurs de Trello ont été divulguées sur un forum de piratage. Les données ont été collectées en utilisant une API non sécurisée en janvier. Les profils contiennent des adresses e-mail non publiques associées aux comptes Trello. Les informations peuvent être utilisées pour des attaques de phishing ciblées et du doxxing. Atlassian a confirmé que les données ont été collectées via une API REST de Trello sécurisée en janvier. Les API non sécurisées sont devenues une cible populaire pour les acteurs de menace, qui les exploitent pour combiner des informations non publiques avec des profils publics.
Sources :
Microsoft annonce de nouvelles mises à jour cumulatives du « point de contrôle » de Windows
Microsoft a annoncé qu'à partir de fin 2024, des mises à jour cumulatives de type "checkpoint" seront introduites pour les systèmes utilisant Windows Server 2025 et Windows 11, version 24H2 ou ultérieure. Ces mises à jour offriront des correctifs de sécurité et de nouvelles fonctionnalités via des différentiels incrémentiels plus petits, n'incluant que les changements depuis la dernière mise à jour checkpoint. L'objectif est d'économiser la bande passante, l'espace disque et le temps d'installation mensuel des mises à jour. Les utilisateurs recevront automatiquement ces mises à jour, sans action requise de leur part. Les administrateurs pourront continuer à gérer les mises à jour de manière habituelle. Cette nouvelle approche vise à simplifier et accélérer le processus de mise à jour de Windows.
Sources :
Arnaque SMS : « Votre colis est arrivé à l’entrepôt mais a été retenu », attention au phishing durant les Prime Days
Amazon relance son Prime Day les 16 et 17 juillet avec de grosses promotions, attirant les pirates. Des campagnes de phishing par SMS usurpant La Poste visent à voler des données bancaires. Il est conseillé de vérifier l'expéditeur, de ne pas cliquer sur les liens douteux, de vérifier directement sur le site du service de livraison et de contacter les sociétés en cas de doute. Restez prudent et ne vous précipitez pas, même pendant les vacances.
