Les gangs russes de ransomware représentent 69 % de tous les revenus des rançons - Actus du 26/07/2024
Découvrez comment les gangs russes de ransomware dominent le cybercrime, l'émergence des kits de phishing IA et l'impact sur les entreprises françaises : 36 % ont été victimes d'attaques en 12 mois. Protégez-vous face à ces menaces croissantes !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Les gangs russes de ransomware représentent 69 % de tous les revenus des rançons
Selon un rapport de TRM Labs, les acteurs de la cybercriminalité russophones ont généré au moins 69 % des revenus liés aux rançongiciels en 2023, dépassant 500 millions de dollars. Bien que la Corée du Nord soit le principal voleur de cryptomonnaies, ayant dérobé plus d'un milliard de dollars, les cybercriminels russes dominent les activités malveillantes liées à la cryptographie. Les rançongiciels, qui impliquent le vol et le chiffrement de données contre rançon, sont principalement orchestrés par des groupes tels que LockBit et ALPHV/BlackCat. En 2023, ces deux groupes ont collecté à eux seuls 320 millions de dollars en paiements de rançon. Les marchés noirs russes, qui représentent 95 % des ventes illicites mondiales, ont traité 1,4 milliard de dollars de transactions, tandis que les marchés occidentaux n'ont atteint que 100 millions. De plus, la Russie est un acteur majeur du blanchiment d'argent, avec Garantex, sanctionné par les États-Unis, manipulant 82 % des cryptomonnaies liées à des entités sanctionnées. La guerre en Ukraine a également vu un flux de 85 millions de dollars vers des entreprises chinoises fournissant des équipements militaires. Les facteurs historiques et réglementaires poussent les Russes vers la cybercriminalité, exacerbés par l'isolement politique du pays.
Sources :
Ce service de cybercriminalité basé sur l'IA regroupe des kits de phishing avec des applications Android malveillantes
Un groupe de cybercriminalité hispanophone, le GXC Team, a été identifié par la société de cybersécurité singapourienne Group-IB comme utilisant des kits de phishing associés à des applications Android malveillantes, poussant l'offre de malware-as-a-service (MaaS) à un niveau supérieur. Depuis janvier 2023, ce groupe a ciblé des utilisateurs de plus de 36 banques espagnoles et d'institutions mondiales, notamment aux États-Unis, au Royaume-Uni, en Slovaquie et au Brésil. Contrairement aux méthodes de phishing traditionnelles, le GXC Team incite les victimes à télécharger une application bancaire Android, qui ouvre ensuite un site Web authentique dans une interface WebView. De plus, ils proposent des outils d'appel vocal alimentés par l'IA pour tromper les victimes en se faisant passer pour des banques, leur demandant des codes d'authentification à deux facteurs (2FA). Les chercheurs soulignent que l'utilisation d'outils d'IA par les criminels transforme les scénarios de fraude traditionnels en tactiques plus sophistiquées. Parallèlement, des attaques de phishing évoluent, exploitant des applications web progressives pour créer des pages de connexion trompeuses et manipulant des éléments d'interface utilisateur pour masquer des URL frauduleuses. Ces techniques montrent une adaptation rapide des criminels aux nouvelles technologies pour améliorer l'efficacité de leurs attaques.
Sources :
Étude Gigamon : 36 % des entreprises françaises ont été victimes d’une attaque dans leurs systèmes d’information au cours des 12 derniers mois
Gigamon a publié un rapport sur la sécurité du cloud hybride, révélant que les entreprises françaises sont encore mal préparées face aux cybermenaces. En effet, 47 % des entreprises ont détecté des violations de données par des problèmes d'accès aux applications, 37 % par des ralentissements de performance, et 31 % par des demandes de rançon. Malgré des investissements dans de nouveaux outils pour détecter les vulnérabilités, 44 % des entreprises peinent à obtenir la visibilité nécessaire. La sécurité du trafic est-ouest, devenu plus critique que le trafic nord-sud, est souvent négligée, avec seulement 39 % des organisations ayant une visibilité adéquate. Les RSSI français reconnaissent l'importance de cette visibilité, mais manquent de solutions efficaces pour y répondre. L'observabilité avancée est perçue comme essentielle pour sécuriser les infrastructures hybrides, avec 82 % des répondants la considérant comme fondamentale. De plus, 81 % estiment que le modèle Zero Trust sera une priorité dans les départements IT dans les 18 mois à venir. L'étude, réalisée par Vitreous World, a interrogé 1 033 répondants, dont 200 en France, entre mars et avril 2024.
Sources :
JO 2024 : pourquoi des sites web vont forcément tomber en panne pendant les compétitions
Depuis l'invasion de l'Ukraine par la Russie, les hacktivistes, notamment des groupes ultra-nationalistes russes, intensifient leurs cyberattaques, ciblant particulièrement la France à l'approche des Jeux Olympiques de Paris en 2024. Bien que ces attaques, souvent de type DDoS, ne causent généralement que des perturbations temporaires, elles visent à générer un maximum de bruit médiatique. Les hacktivistes annoncent des attaques contre des infrastructures liées aux JO, mais les experts estiment que les systèmes critiques, comme les applications de transport, sont bien protégés. Ils se concentreront plutôt sur des plateformes moins sécurisées, comme celles destinées aux employés ou aux partenaires. Des administrations locales, comme celles de la Normandie et de la Guadeloupe, sont également des cibles régulières. Selon un rapport d'Imperva, les attaques DDoS contre les secteurs liés aux événements sportifs ont augmenté de 89 %. Les JO représentent une vitrine mondiale, attirant l'attention des hacktivistes qui cherchent à amplifier leur impact à travers les réseaux sociaux. En somme, bien que les perturbations soient probables, leur portée réelle pourrait rester limitée.
Sources :
Google Chrome modifie le Privacy Sandbox pour autoriser les cookies
Google a récemment annoncé un changement significatif dans son approche du Privacy Sandbox, abandonnant l'interdiction totale des cookies tiers dans son navigateur Chrome. Anthony Chavez, vice-président du Privacy Sandbox, a expliqué que, bien que la fonctionnalité continue de fonctionner, elle sera désormais plus flexible concernant les cookies tiers. Lancé en 2022, le Privacy Sandbox visait à protéger la vie privée des utilisateurs en empêchant le suivi intrusif des cookies et le partage de données entre applications. Initialement perçu comme un champion de la vie privée, Google semble maintenant céder aux pressions de l'industrie publicitaire. Au lieu de bloquer les cookies tiers par défaut, Chrome proposera une nouvelle expérience permettant aux utilisateurs de faire des choix éclairés concernant leur navigation et les cookies, avec la possibilité d'ajuster ces choix à tout moment. Parallèlement, Google prévoit d'introduire une protection des adresses IP, notamment en mode Incognito, où les adresses IP des utilisateurs seront masquées. Bien que les changements favorisent les annonceurs, ils offrent également aux utilisateurs des options de confidentialité améliorées. La mise en œuvre de ces modifications reste à définir, mais l'industrie publicitaire semble avoir influencé cette décision.
Sources :
L'IA offensive : la condition sine qua non de la cybersécurité
En 1971, un programme nommé Creeper, développé par Bob Thomas, a marqué l'émergence des virus informatiques sur ARPANET, précurseur de l'Internet. Bien que Creeper n'ait pas été conçu pour nuire, il a nécessité la création de Reaper, un programme supposé par Ray Thomlinson pour éliminer Creeper, posant ainsi les bases de la cybersécurité. Ce besoin de protection dans le cyberespace, reflet de notre monde naturel, a évolué avec le temps, tout comme les méthodes de combat. Des outils comme les pare-feu, les équilibreurs de charge et les systèmes de détection d'intrusion ont remplacé les anciennes défenses. Cependant, la menace persiste, notamment avec des solutions EDR potentiellement vulnérables. L'essor de l'IA générative a également permis la création de vers avancés et de malwares polymorphes. Face à ces menaces croissantes, le développement d'IA offensive devient une nécessité, bien que moralement discutable. Les acteurs malveillants exploitent déjà ces technologies pour innover. Pour approfondir ce sujet, un atelier sur l'IA offensive sera organisé lors de SANS Network Security 2024 à Las Vegas, offrant une introduction à un nouveau cours sur les outils et techniques d'IA offensive, prévu pour 2025.
Sources :
Comment les fuites de données vont être réutilisées par les hackers pour les JO 2024
En 2024, la France fait face à une série de fuites de données massives, touchant des millions de citoyens. La Fédération Française de Football a révélé une cyberattaque exposant les données de 1,5 million de personnes, tandis que France Travail a subi une violation affectant 43 millions d'individus. Ces incidents soulèvent des inquiétudes, notamment en raison de l'approche des Jeux Olympiques de Paris, qui pourraient inciter les cybercriminels à exploiter ces données pour des campagnes de phishing. Vincent Strubel, directeur de l'ANSSI, indique qu'il n'y a pas de pic d'attaques, mais la menace demeure constante, surtout dans le contexte actuel de tensions géopolitiques. Les hackers pourraient utiliser des informations récentes pour cibler des victimes avec des messages d'hameçonnage liés aux JO, rendant la vigilance essentielle. Jérôme Notin de Cybermalveillance.gouv.fr souligne que les données volées peuvent être utilisées pour des campagnes de phishing plus convaincantes, facilitées par l'IA générative. Les sportifs et le grand public doivent donc être particulièrement attentifs à la cybersécurité durant cet événement majeur. La situation appelle à une sensibilisation accrue face à ces menaces croissantes.
Sources :
Les fans de ce sport des JO 2024 sont moins prudents que les autres avec leur cybersécurité
Un rapport de la société de cybersécurité Specops, publié en juillet, met en lumière la vulnérabilité des mots de passe liés aux sports durant les Jeux Olympiques. L'analyse de 157 048 mots de passe récupérés sur le darknet révèle que les fans de golf sont les plus exposés, avec 40 294 occurrences du mot "golf" dans les mots de passe compromis. Le football suit avec 20 550 mots de passe, tandis que le hockey, le basket et le tennis complètent le top cinq avec environ 9 600, 8 000 et 7 700 occurrences respectivement. Les experts soulignent que ces mots de passe, souvent basés sur des éléments prévisibles comme les sports favoris, sont particulièrement vulnérables aux attaques par force brute. Les hackers exploitent ces combinaisons simples pour accéder à des comptes personnels, notamment des adresses e-mail et des sites de e-commerce. Pour renforcer la sécurité, il est conseillé d'opter pour des phrases complexes intégrant des chiffres, comme « J4imebeauc0upleG0lf », plutôt que des combinaisons simples. Des outils existent pour vérifier si vos mots de passe ont déjà été compromis, soulignant l'importance d'une bonne hygiène numérique.
Sources :
Une compétition mondiale bien préparée… mais une menace qui pourrait attaquer ailleurs !
Akamai Technologies a publié une analyse des menaces liées à la compétition internationale qui se déroule à Paris, mettant en lumière les vulnérabilités potentielles des entreprises françaises. Bien que des mesures de sécurité aient été renforcées pour les organisateurs et diffuseurs, d'autres acteurs, notamment les sites marchands non-sponsors, pourraient devenir des cibles privilégiées pour les cyberattaquants. Fabio Costa, ingénieur en sécurité chez Akamai, souligne que les attaques DDoS, les ransomwares et les malwares représentent des risques majeurs, en particulier dans un contexte où l'attention médiatique et économique est accrue. Les cyberattaques, y compris celles parrainées par des États, pourraient perturber l'événement et nuire à l'image des jeux. Tyler Moffitt d'OpenText Cybersecurity avertit que le phishing sera une tactique clé des pirates, visant à compromettre à la fois les individus et les organisations. Pour se protéger, Akamai recommande aux entreprises de renforcer leur sécurité sur tous les canaux, d'utiliser uniquement des sites officiels pour les achats, de sécuriser leurs appareils avec des logiciels à jour et d'éviter les réseaux Wi-Fi publics pour des transactions sensibles. La vigilance est essentielle pour contrer ces menaces croissantes.
Sources :
Le développeur du logiciel de triche EvolvedAim se fait prendre la main dans le sac
Les chercheurs de CyberArk Labs ont analysé la technique malveillante d'un développeur de triche, EvolvedAim, pour le jeu Escape From Tarkov. Ce logiciel, qui a attiré environ 14,7 millions de joueurs, propose des fonctionnalités telles que le commerce automatisé et l'amélioration des compétences. Le développeur a non seulement vendu des outils de triche, mais a également intégré un InfoStealer, lui permettant de voler des données personnelles de ses clients, générant ainsi des revenus supplémentaires. EvolvedAim a été conçu comme une petite entreprise, adoptant un modèle d'abonnement pour assurer des revenus récurrents et menant des campagnes publicitaires sur des forums de triche. L'impact de cette triche est préoccupant, car elle cible principalement des adultes, ce qui augmente le risque d'utilisation malveillante des informations volées. Les données dérobées pourraient permettre l'accès à des informations personnelles sensibles ou à des données confidentielles d'entreprises. Cette situation souligne les dangers des logiciels de triche, qui peuvent masquer des malwares, et met en lumière la nécessité d'une vigilance accrue face à ces menaces dans le monde des jeux en ligne. Pour plus de détails, consultez l'analyse complète sur le blog de CyberArk.
Sources :
Le ministère américain de la Justice accuse un pirate informatique nord-coréen d'avoir attaqué des hôpitaux par ransomware
Le Département de la Justice des États-Unis a récemment dévoilé une inculpation contre un agent de renseignement militaire nord-coréen, Rim Jong Hyok, pour des attaques par ransomware ciblant des établissements de santé américains. Ces attaques auraient permis de financer des intrusions supplémentaires dans des entités de défense, de technologie et gouvernementales à travers le monde. Selon le FBI, Hyok et ses complices ont extorqué des hôpitaux et des entreprises de santé, blanchissant les paiements pour soutenir les activités illicites de la Corée du Nord. Le groupe de hackers, connu sous le nom d'Andariel, a utilisé un ransomware appelé Maui, identifié pour la première fois en 2022. Les paiements de rançon ont été blanchis via des facilitateurs basés à Hong Kong, convertis en yuan chinois, puis retirés pour acheter des serveurs privés virtuels. Les cibles incluent des bases de l'Air Force américaine et des entreprises de défense sud-coréennes. Les agences américaines ont également saisi environ 114 000 dollars en cryptomonnaie liés à ces attaques. Andariel, affilié au Bureau général de reconnaissance de la Corée du Nord, représente une menace persistante pour divers secteurs industriels, notamment ceux des États-Unis, de la Corée du Sud et du Japon.
Sources :
Une cyberattaque en cours cible les services Selenium Grid exposés pour le minage de crypto-monnaies
Des chercheurs en cybersécurité tirent la sonnette d'alarme sur une campagne en cours exploitant des services Selenium Grid exposés sur Internet pour le minage illicite de cryptomonnaies. La société de sécurité cloud Wiz suit cette activité sous le nom de SeleniumGreed, ciblant des versions anciennes de Selenium (3.141.59 et antérieures) depuis au moins avril 2023. Le WebDriver API de Selenium permet une interaction complète avec la machine, y compris l'exécution de commandes à distance, sans authentification par défaut, rendant de nombreuses instances accessibles et vulnérables. Selenium Grid, partie intégrante du cadre de test automatisé Selenium, doit être protégé par des permissions de pare-feu appropriées pour éviter des abus. Les attaquants exploitent des instances exposées pour exécuter un code Python qui télécharge et exécute un mineur XMRig. Ils envoient une requête au hub Selenium vulnérable pour exécuter un programme contenant un payload encodé en Base64, permettant de récupérer le mineur. Wiz a identifié plus de 30 000 instances exposées à l'exécution de commandes à distance, soulignant l'urgence de corriger ces configurations erronées pour éviter des risques de sécurité majeurs.
Sources :
CrowdStrike met en garde contre une nouvelle arnaque par phishing ciblant les clients allemands
CrowdStrike a récemment alerté sur une campagne de phishing ciblée exploitant les problèmes liés à la mise à jour de son Falcon Sensor, visant spécifiquement des clients allemands. Le 24 juillet 2024, la société a identifié une tentative de spear-phishing distribuant un installateur frauduleux de CrowdStrike via un site imitant une entité allemande. Ce site, créé le 20 juillet, a vu le jour après qu'une mise à jour défectueuse ait causé des pannes sur près de 9 millions de dispositifs Windows. L'installateur, masqué sous une apparence légitime, nécessite un mot de passe pour s'installer, ce qui indique un ciblage précis des victimes. Les techniques anti-forensiques utilisées par l'acteur malveillant, comme l'enregistrement d'un sous-domaine et le chiffrement du contenu de l'installateur, compliquent l'attribution de l'attaque. Parallèlement, d'autres attaques de phishing ont émergé, utilisant le problème de mise à jour pour propager des malwares de vol d'informations. Le PDG de CrowdStrike, George Kurtz, a exprimé ses excuses pour les perturbations causées, tandis que des analyses de trafic ont révélé des anomalies qui méritent une enquête plus approfondie.
Sources :
Une faille critique dans le serveur de rapports Telerik présente un risque d'exécution de code à distance
Progress Software exhorte les utilisateurs à mettre à jour leurs instances de Telerik Report Server suite à la découverte d'une vulnérabilité critique pouvant entraîner une exécution de code à distance. Cette faille, identifiée sous le nom CVE-2024-6327 (score CVSS : 9.9), affecte les versions du Report Server antérieures à 2024 Q2 (10.1.24.514). Selon l'entreprise, une attaque par exécution de code à distance est possible en raison d'une vulnérabilité de désérialisation non sécurisée dans les versions antérieures à 2024 Q2 (10.1.24.709). Les failles de désérialisation surviennent lorsque des données non fiables, contrôlées par un attaquant, sont reconstruites sans validation adéquate, permettant l'exécution de commandes non autorisées. Progress Software a corrigé cette vulnérabilité dans la version 10.1.24.709. En attendant, il est conseillé de modifier l'utilisateur du pool d'applications du Report Server pour un compte avec des permissions limitées. Les administrateurs peuvent vérifier la vulnérabilité de leurs serveurs en se connectant à l'interface web du Report Server et en consultant la version affichée. Cette divulgation survient près de deux mois après un autre correctif critique pour le même logiciel (CVE-2024-4358, score CVSS : 9.8).
Sources :
Le contournement du démarrage sécurisé PKfail permet aux attaquants d'installer des logiciels malveillants UEFI
Un problème critique de chaîne d'approvisionnement de firmware, nommé PKfail, expose des centaines de produits UEFI de dix fabricants à des attaques permettant de contourner le Secure Boot et d'installer des malwares. La recherche de Binarly a révélé que ces dispositifs utilisent une clé de plateforme (PK) de test, générée par American Megatrends International (AMI), étiquetée "DO NOT TRUST". Cette clé, qui gère les bases de données Secure Boot, n'est souvent pas remplacée par les fabricants, laissant les appareils avec des clés non fiables. Parmi les entreprises concernées figurent Acer, Dell, HP et Lenovo, touchant au total près de 900 produits. L'exploitation de cette vulnérabilité permet aux attaquants d'accéder à la chaîne de sécurité, de signer du code malveillant et de déployer des malwares UEFI tels que CosmicStrand et BlackLotus. Binarly recommande aux fabricants de gérer correctement la clé de plateforme et de remplacer les clés de test par des clés générées de manière sécurisée. Les utilisateurs doivent surveiller les mises à jour de firmware et appliquer rapidement les correctifs de sécurité. Binarly a également lancé le site pk.fail pour aider à identifier les dispositifs vulnérables.
Sources :
Des failles critiques de ServiceNow RCE activement exploitées pour voler des informations d'identification
Des vulnérabilités critiques dans ServiceNow sont activement exploitées par des acteurs malveillants pour voler des identifiants, ciblant des agences gouvernementales et des entreprises privées. Selon Resecurity, qui a surveillé cette activité pendant une semaine, plusieurs victimes ont été identifiées, notamment dans les secteurs public, énergétique et du développement logiciel. Bien que ServiceNow ait publié des mises à jour de sécurité le 10 juillet 2024, des milliers de systèmes restent potentiellement vulnérables. La plateforme, largement utilisée pour gérer les flux de travail numériques, compte près de 300 000 instances exposées sur Internet. La vulnérabilité CVE-2024-4879, avec un score CVSS de 9,3, permet l'exécution de code à distance par des utilisateurs non authentifiés. Après la publication d'un rapport détaillé sur cette faille et deux autres (CVE-2024-5178 et CVE-2024-5217), des exploits fonctionnels ont rapidement circulé sur GitHub. Les attaquants utilisent une injection de charge utile pour vérifier les réponses du serveur, permettant l'accès aux listes d'utilisateurs et aux identifiants. Bien que la plupart des données volées soient hachées, certaines instances ont exposé des identifiants en clair. Les utilisateurs sont conseillés de vérifier et d'appliquer les correctifs disponibles.
Sources :
La mise à jour Windows 11 KB5040527 corrige les échecs de la sauvegarde Windows
Microsoft a publié la mise à jour cumulative optionnelle KB5040527 pour Windows 11 23H2 et 22H2, le 25 juillet 2024. Cette mise à jour corrige des problèmes liés à Windows Backup et aux échecs de mise à niveau. Elle résout un problème qui empêchait parfois les sauvegardes de s'effectuer sur des appareils avec une partition système EFI. De plus, elle traite un problème connu affectant les abonnements Windows Enterprise, qui entraînait des erreurs d'accès "0x80070005" lors des mises à niveau de Windows Professionnel. La mise à jour corrige également une fuite de mémoire dans Windows Defender Application Control (WDAC) et un bug qui provoquait des échecs d'application lors de l'application des politiques d'ID d'application WDAC. Les utilisateurs peuvent installer cette mise à jour en accédant à "Vérifier les mises à jour" dans les paramètres de Windows Update. Cette mise à jour inclut également des correctifs pour des problèmes d'impression et ajoute des pilotes à la liste noire des pilotes vulnérables. Microsoft a rappelé que les éditions Home et Pro de Windows 11 22H2 atteindront la fin de leur service le 8 octobre 2024, tandis que les éditions Enterprise et Éducation continueront d'être prises en charge.
Sources :
Les États-Unis offrent 10 millions de dollars pour des informations sur un pirate informatique de la RPDC lié aux attaques de ransomware de Maui
Le Département d'État américain offre une récompense allant jusqu'à 10 millions de dollars pour des informations permettant d'arrêter Rim Jong Hyok, un hacker militaire nord-coréen lié aux attaques de ransomware Maui. Hyok fait partie du groupe de hackers Andariel, qui a ciblé des infrastructures critiques et des organisations de santé aux États-Unis. Il a été inculpé pour conspiration en matière de piratage informatique et de blanchiment d'argent, avec un mandat d'arrêt fédéral émis dans le district du Kansas. Les enquêteurs ont établi des liens entre ces hackers et des incidents de ransomware ayant touché des bases de l'US Air Force, des prestataires de santé, des entrepreneurs de défense et la NASA. Les attaques ont entraîné le chiffrement des systèmes informatiques des hôpitaux, perturbant ainsi les services de santé. En novembre 2022, des hackers d'Andariel ont volé plus de 30 Go de données d'un entrepreneur de défense américain. Le programme "Rewards for Justice" du Département d'État permet de signaler des menaces à la sécurité nationale. Une alerte conjointe a également été émise par le CISA et le FBI concernant Andariel, considéré comme une menace persistante pour divers secteurs industriels.
Sources :
Meta détruit un réseau massif de sextorsion sur Instagram comptant 63 000 comptes
Meta a récemment supprimé 63 000 comptes Instagram basés au Nigeria, impliqués dans des arnaques de sextorsion, dont un réseau coordonné de 2 500 comptes liés à 20 individus ciblant principalement des hommes adultes aux États-Unis. Ces comptes sont associés à un groupe de cybercriminalité organisé connu sous le nom de « Yahoo Boys », qui a intensifié ses activités. En plus des comptes Instagram, Meta a également effacé 1 300 comptes Facebook, 200 pages et 5 700 groupes, tous liés à la diffusion de conseils pour réaliser des arnaques. Les arnaques de sextorsion consistent à contraindre des individus à envoyer des images explicites, suivies de menaces de diffusion de ces contenus à moins qu'une rançon ne soit versée. Meta a mis en place des mesures pour bloquer automatiquement les tentatives de création de nouveaux comptes par les arnaqueurs. Parmi les protections, on trouve le floutage automatique des nudités dans les messages directs et des paramètres de messagerie plus stricts pour les utilisateurs adolescents. Les victimes sont encouragées à signaler ces crimes via le portail des conseils du FBI et à consulter des ressources pour se protéger.
Sources :
Progress met en garde contre un bug critique RCE dans Telerik Report Server
Progress Software a averti ses clients d'un grave défaut de sécurité de type exécution de code à distance (RCE) dans le Telerik Report Server, qui pourrait compromettre des dispositifs vulnérables. Cette vulnérabilité, identifiée sous le code CVE-2024-6327, résulte d'une désérialisation de données non fiables, permettant aux attaquants d'exécuter du code à distance sur les serveurs non corrigés. Elle affecte les versions 2024 Q2 (10.1.24.514) et antérieures, et a été corrigée dans la version 2024 Q2 (10.1.24.709). Progress recommande vivement de mettre à jour vers cette dernière version pour éliminer la vulnérabilité. Les administrateurs peuvent vérifier si leurs serveurs sont vulnérables en accédant à l'interface web du Report Server et en consultant la version. Pour ceux qui ne peuvent pas effectuer la mise à jour immédiatement, des mesures d'atténuation temporaires sont proposées, comme le changement de l'utilisateur du pool d'applications du Report Server à un compte avec des permissions limitées. Bien que Progress n'ait pas confirmé d'exploitation active de cette vulnérabilité, d'autres failles Telerik ont déjà été ciblées par des attaques, soulignant l'importance de la vigilance en matière de sécurité.
Sources :
La police française utilise le malware PlugX pour autodétruire les PC
Les forces de police françaises, en collaboration avec Europol et la société de cybersécurité Sekoia, lancent une opération de désinfection pour éliminer le malware PlugX des dispositifs infectés en France. PlugX, un cheval de Troie d'accès à distance, a été utilisé par divers acteurs malveillants chinois et a infecté près de 2,5 millions d'appareils via une botnet qui se propageait par des clés USB. Sekoia a réussi à prendre le contrôle des serveurs de commande abandonnés, empêchant ainsi les infections de se propager davantage. Cependant, le malware restait actif sur les systèmes, posant un risque de réinfection. Pour remédier à cela, Sekoia a développé un plugin permettant de donner un ordre d'auto-destruction aux dispositifs infectés. L'opération de nettoyage a débuté le 18 juillet 2024 et se poursuivra jusqu'à la fin de l'année, touchant également d'autres pays européens. Les autorités françaises, en particulier l'ANSSI, informeront individuellement les victimes du processus de désinfection. Les utilisateurs sont conseillés de faire preuve de prudence lors de l'utilisation de clés USB dans des lieux publics, afin de minimiser les risques d'infection.
