Les victimes d’attaque par rançongiciel harcelées au téléphone par le groupe de cybercriminels - Actus du 11/07/2024
Découvrez comment la violation de données d'Advance Auto Parts impacte 2,3 millions de personnes ! En parallèle, les victimes du rançongiciel Volcano Demon sont harcelées au téléphone par les pirates. La pénurie de compétences en cybersécurité aggrave ces incidents alarmants.
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
La violation de données d’Advance Auto Parts touche 2,3 millions de personnes
La société Advance Auto Parts a été victime d'une violation de données affectant 2,3 millions de personnes, dont des employés actuels et anciens ainsi que des candidats à un emploi. Les données volées comprenaient des noms complets, des numéros de sécurité sociale, des permis de conduire et des numéros d'identification gouvernementaux. Les personnes touchées bénéficient de 12 mois de protection contre le vol d'identité et de surveillance de crédit. La violation a été confirmée en juin 2024 et a été attribuée à une campagne plus large ciblant les comptes Snowflake, touchant d'autres entreprises telles que Pure Storage, Los Angeles Unified, Neiman Marcus, Ticketmaster et Banco Santander. Les échantillons de données volées vus par BleepingComputer suggèrent une possible exposition des informations des clients.
Sources :
Allo ? Les victimes d’attaque par rançongiciel harcelées au téléphone par le groupe de cybercriminels Volcano Demon
Le groupe de cybercriminels Volcano Demon a intensifié ses attaques en intimidant directement les dirigeants d'entreprises par téléphone après avoir infiltré leurs réseaux et chiffré leurs données. Les cybercriminels menacent de rendre les données publiques et de s'en prendre aux clients et aux employés pour obtenir une plus grosse rançon. Selon Halcyon, ce groupe a mené de nombreuses attaques réussies récemment. Les entreprises doivent se préparer à diverses conséquences et protéger leurs données en les classant par valeur pour pouvoir les restaurer rapidement en cas d'attaque.
Sources :
Les incidents de cybersécurité étroitement liés à la pénurie de compétences
L'article met en lumière la pénurie de talents en cybersécurité et son impact sur les entreprises, soulignant le besoin de 4 millions de nouveaux professionnels dans le domaine. Les intrusions ont des conséquences financières et de réputation importantes, incitant les conseils d'administration à accorder plus d'importance à la cybersécurité. Les entreprises élargissent leurs critères de recrutement pour combler le manque de compétences, en misant sur la diversité. Fortinet s'engage à former 1 million de personnes d'ici 2026 pour renforcer la cyber-résilience des entreprises. La stratégie adoptée associe formation, sensibilisation et technologie pour aider les équipes IT et de sécurité à acquérir des compétences essentielles en sécurité.
Sources :
Kaspersky Safe Kids démontre un niveau de protection élevé face aux contenus inappropriés
La solution Kaspersky Safe Kids a reçu la mention "Approuvé" de la part d'AV-TEST et AV-Comparatives pour son efficacité à bloquer les contenus inappropriés, avec des taux de réussite de 100% et 98,1% sur Windows. Elle est la seule à obtenir ces résultats et est saluée pour ses performances en contrôle parental. Les tests ont été réalisés sur 7 500 sites par AV-TEST et sur 1000 sites pour adultes par AV-Comparatives, sans faux positifs ni défauts. Kaspersky Safe Kids est reconnue pour ses fonctionnalités de blocage des sites malveillants, de contrôle des réseaux sociaux et de limitation du temps d'utilisation. Les solutions de contrôle parental de Kaspersky sont régulièrement testées depuis 2014 et continuent de répondre aux exigences des certifications.
Sources :
Sécurité mobile : les 5 étapes pour reconnaître et éviter les tentatives de phishing liées au malware Rafel RAT
Les campagnes de phishing, en particulier celles utilisant le malware Rafel RAT, représentent une menace majeure pour les entreprises. Zimperium propose 5 étapes clés pour identifier et éviter ces attaques : vérifier l'expéditeur, se méfier des mails urgents, examiner les liens, utiliser des logiciels de sécurité et sensibiliser les employés. Il est crucial de vérifier les adresses électroniques, de ne pas agir précipitamment, de vérifier les liens avant de cliquer, d'utiliser un logiciel de sécurité fiable et de former régulièrement les employés aux bonnes pratiques en matière de cybersécurité pour contrer ces attaques sophistiquées.
Sources :
L'APT41 chinois met à niveau son arsenal de logiciels malveillants avec DodgeBox et MoonWalk
Un groupe de menace persistante avancée (APT) lié à la Chine, nommé APT41, utilise une version améliorée du malware StealthVector pour diffuser un nouveau backdoor nommé MoonWalk. Ce nouveau variant, nommé DodgeBox, a été découvert par Zscaler ThreatLabz en avril 2024. MoonWalk utilise Google Drive pour la communication de commande et contrôle (C2). APT41 est actif depuis 2007 et a été associé à des intrusions dans des réseaux gouvernementaux américains et des médias taïwanais. DodgeBox est une version améliorée de StealthVector, utilisant des techniques d'évasion telles que le DLL side-loading. Il est distribué via l'exécutable légitime taskhost.exe pour charger un DLL malveillant (sbiedll.dll) et lancer le backdoor MoonWalk. DodgeBox est attribué à APT41 en raison de ses similitudes avec StealthVector et de son utilisation du DLL side-loading. Ce malware offre diverses capacités pour éviter la détection statique et comportementale.
Sources :
Le patch mardi de juillet 2024 de Microsoft a corrigé plus de 140 vulnérabilités
Microsoft a déployé son lot de mises à jour de sécurité pour juillet 2024, comprenant 142 correctifs pour divers produits. Quatre vulnérabilités zero-day ont été corrigées, dont une affectant .NET et Visual Studio (CVE-2024-35264), une autre avec Windows Hyper-V (CVE-2024-38080), une sur Windows MSHTML Platform (CVE-2024-38112), et une attaquant les puces ARM (CVE-2024-37985). En plus, cinq vulnérabilités critiques de type exécution de code à distance ont été corrigées. Il est crucial pour les utilisateurs de Microsoft de mettre à jour leurs appareils immédiatement pour se protéger contre les menaces.
Sources :
API Authy MFA non sécurisée exploitée pour la vérification malveillante d’un numéro de téléphone
Des hackers criminels ont exploité une API non sécurisée d'Authy (une application MFA) pour vérifier de manière frauduleuse des numéros de téléphone, exposant ainsi des millions d'utilisateurs à des menaces cybernétiques. Twilio, la société mère d'Authy, a révélé cette faille de sécurité et a pris des mesures pour protéger les utilisateurs. Les hackers ont utilisé un point d'accès non sécurisé pour obtenir des données des utilisateurs, telles que leurs numéros de téléphone, pouvant être utilisées pour des attaques de phishing SMS et de détournement de carte SIM. Twilio a corrigé l'API exposée et demande aux utilisateurs de mettre à jour leurs applications Authy. Aucune infiltration des comptes Authy n'a été signalée. La firme n'a pas identifié les hackers, mais des indices pointent vers le groupe de hackers ShinyHunters.
Sources :
Solutions de sécurité rationalisées : PAM pour les petites et moyennes entreprises
Les organisations de petite et moyenne taille sont de plus en plus exposées aux cybermenaces et ont besoin de solutions de gestion des accès privilégiés (PAM) pour se protéger. Ces solutions offrent la gestion des identifiants, une intégration simplifiée, une protection complète, la conformité réglementaire et la réduction des risques liés aux menaces internes. Les entreprises de petite et moyenne taille peuvent simplifier la mise en œuvre d'une solution PAM en optant pour des solutions spécifiquement conçues pour elles, comme celle proposée par One Identity en mode SaaS. Cela permet une mise en place rapide, une gestion des accès privilégiés efficace et rentable, tout en assurant la conformité réglementaire et la protection des données. En adoptant des mesures de sécurité proactives et des technologies PAM modernes, ces entreprises peuvent garantir la continuité opérationnelle sans complexité excessive ni contrainte de ressources.
Sources :
Le nouveau RAT Poco cible les victimes hispanophones dans une campagne de phishing
Une campagne de phishing cible les victimes de langue espagnole avec un nouveau cheval de Troie d'accès à distance appelé Poco RAT depuis au moins février 2024. Les secteurs principalement visés sont l'exploitation minière, la fabrication, l'hôtellerie et les services publics. Les attaques commencent par des messages de phishing avec des leurres financiers qui incitent les destinataires à cliquer sur un lien pointant vers un fichier d'archive 7-Zip hébergé sur Google Drive. Les fichiers HTML ou PDF sont également utilisés pour propager Poco RAT. Une fois lancé, le malware établit une persistance sur l'hôte Windows compromis et contacte un serveur C2 pour livrer des charges supplémentaires. Les acteurs de la menace non identifiés se concentrent sur l'Amérique latine en utilisant Delphi, un langage de programmation couramment associé aux trojans bancaires dans la région. Des attaques similaires de vol de données ciblent les utilisateurs indiens avec des messages SMS frauduleux.
Sources :
Une vulnérabilité PHP exploitée pour propager des logiciels malveillants et lancer des attaques DDoS
Des acteurs malveillants exploitent une faille de sécurité récemment divulguée dans PHP pour diffuser des chevaux de Troie d'accès à distance, des mineurs de cryptomonnaie et des botnets de déni de service distribué. La vulnérabilité CVE-2024-4577 permet l'exécution de commandes malveillantes sur des systèmes Windows utilisant des paramètres régionaux chinois et japonais. Des tentatives d'exploitation ont été observées dès la divulgation de la faille, visant à distribuer des malwares tels que Gh0st RAT, RedTail et XMRig, ainsi qu'un botnet DDoS nommé Muhstik. Les chercheurs recommandent aux utilisateurs de PHP de mettre à jour leurs installations pour se protéger contre ces menaces actives. Par ailleurs, Cloudflare a enregistré une augmentation des attaques DDoS de 20% en glissement annuel au deuxième trimestre 2024, avec l'attaque HTTP DDoS la plus courante provenant de botnets connus. Les secteurs les plus ciblés par les attaques DDoS sont les technologies de l'information, les télécommunications, les biens de consommation, l'éducation, la construction et l'alimentation. L'Argentine a été classée comme le plus grand émetteur d'attaques DDoS au deuxième trimestre 2024, suivi de près par l'Indonésie et les Pays-Bas.
Sources :
GitLab corrige une faille critique autorisant des tâches de pipeline non autorisées
GitLab a publié une série de mises à jour pour corriger des failles de sécurité sur sa plateforme de développement logiciel, dont une vulnérabilité critique permettant à un attaquant d'exécuter des tâches de pipeline en tant qu'utilisateur arbitraire. Cette faille, identifiée sous le code CVE-2024-6385, a un score CVSS de 9.6 sur 10. GitLab a également corrigé un bug similaire le mois dernier (CVE-2024-5655) et une autre faille de gravité moyenne (CVE-2024-5257). Toutes les vulnérabilités ont été corrigées dans les versions 17.1.2, 17.0.4 et 16.11.6 de GitLab CE et EE. Par ailleurs, Citrix a publié des mises à jour pour une faille d'authentification critique affectant NetScaler Console, tandis que Broadcom a corrigé des vulnérabilités d'injection moyenne dans VMware Cloud Director et VMware Aria Automation. En parallèle, le CISA et le FBI ont émis un bulletin appelant les fabricants de technologie à éliminer les failles d'injection de commandes OS dans les logiciels pour prévenir l'exécution de code à distance par des acteurs malveillants.
Sources :
Microsoft 365 et les utilisateurs d'Office touchés par une vague d'erreurs de mise à jour « 30088-27 »
Les utilisateurs de Microsoft 365 et de Microsoft Office rencontrent des erreurs de mise à jour "30088-27" depuis un mois. Ces problèmes touchent les utilisateurs de Microsoft 365 et ceux utilisant les versions Click-To-Run (C2R) d'Office 2016, 2019 et 2021. Microsoft recommande de revenir à la version précédente et de désactiver les mises à jour automatiques. Pour cela, les utilisateurs doivent utiliser l'invite de commandes et exécuter des commandes spécifiques. Microsoft n'a pas encore répondu aux questions sur ces problèmes de mise à jour. Par le passé, l'entreprise a également partagé des correctifs temporaires pour d'autres problèmes liés à Outlook.
Sources :
La garantie Huione exposée comme un marché de 11 milliards de dollars pour la cybercriminalité
L'article expose le marché de la cybercriminalité de Huione Guarantee, une plateforme en ligne apparemment légitime utilisée pour blanchir de l'argent provenant d'arnaques en ligne, notamment des fraudes d'investissement telles que le "découpage de porc". Les commerçants sur Huione Guarantee ont effectué des transactions d'au moins 11 milliards de dollars liées à divers types de cybercriminalité. La plateforme facilite la vente d'articles illégaux en garantissant la sécurité des transactions via Huione Pay, mais ne modère pas les offres illicites. Elliptic a découvert que Huione Guarantee opère de manière similaire aux marchés du darknet et implique même son personnel dans des opérations de blanchiment d'argent. Les chercheurs ont observé des messages dans des groupes de discussion où un utilisateur demandait de l'aide pour blanchir 2 millions de dollars provenant d'une arnaque, et un représentant de Huione International Payments a accepté de gérer le processus moyennant une commission de 10,5%. Elliptic affirme que Huione Guarantee est un acteur clé des opérations d'escroquerie en Asie du Sud-Est et que son système de paiement est activement impliqué dans le blanchiment des produits d'arnaques du monde entier.
Sources :
GitLab : un bug critique permet aux attaquants d'exécuter des pipelines en tant qu'autres utilisateurs
Une vulnérabilité critique dans GitLab permet aux attaquants de lancer des tâches de pipeline en tant qu'autres utilisateurs. Cette faille, corrigée dans la mise à jour de sécurité CVE-2024-6385, affecte les versions 15.8 à 17.1.2 de GitLab CE/EE. GitLab a publié des correctifs pour ses versions Community et Enterprise et recommande aux administrateurs de mettre à jour immédiatement. Cette vulnérabilité s'ajoute à d'autres failles récemment corrigées, telles que CVE-2024-5655 et CVE-2024-4835, exploitées par des attaquants. Les attaques contre GitLab sont préoccupantes en raison des données sensibles qu'il héberge, telles que des clés API et du code propriétaire, pouvant entraîner des attaques de la chaîne d'approvisionnement.
Sources :
Le malware ViperSoftX exécute PowerShell en secret à l'aide de scripts AutoIT
Les dernières variantes du malware ViperSoftX utilisent le Common Language Runtime (CLR) pour charger et exécuter des commandes PowerShell dans des scripts AutoIt afin d'éviter la détection. Le malware est distribué via des sites torrent sous forme de faux fichiers PDF ou ebooks, contenant des scripts PowerShell et AutoIT dissimulés. En utilisant le CLR pour exécuter des commandes PowerShell dans l'environnement AutoIt, ViperSoftX cherche à se fondre dans les activités légitimes du système et à éviter la détection. Le malware utilise l'obfuscation Base64 et le chiffrement AES pour cacher les commandes dans les scripts PowerShell. Il vise à voler des données telles que les détails du système, les portefeuilles de cryptomonnaie et le contenu du presse-papiers. Les chercheurs décrivent ViperSoftX comme une menace sophistiquée et agile qui peut être contrée par une stratégie de défense complète incluant la détection, la prévention et la réponse.
Sources :
CISA exhorte les développeurs à éliminer les vulnérabilités d'injection de commandes du système d'exploitation
CISA et le FBI exhortent les développeurs à éliminer les vulnérabilités d'injection de commandes OS avant l'expédition des produits. Suite à des attaques exploitant ces failles, ils recommandent l'utilisation de fonctions de bibliothèque intégrées pour séparer les commandes de leurs arguments, la paramétrisation des entrées utilisateur, et la validation des données fournies. Les dirigeants technologiques doivent s'impliquer activement dans le processus de développement en veillant à l'utilisation de fonctions générant des commandes de manière sécurisée. Les vulnérabilités d'injection de commandes OS sont évitables en séparant clairement les entrées utilisateur du contenu d'une commande. CISA et le FBI encouragent les dirigeants à analyser les défauts passés et à élaborer un plan pour les éliminer à l'avenir. Ces failles ont été classées cinquièmes dans la liste des 25 faiblesses logicielles les plus dangereuses de MITRE, après les écritures hors limites, le cross-site scripting, l'injection SQL et les défauts d'utilisation après libération.
Sources :
Le Japon met en garde contre des attaques liées aux pirates informatiques nord-coréens du Kimsuky
Le Japon met en garde contre les attaques liées aux hackers nord-coréens Kimsuky, utilisant des techniques de phishing et de social engineering pour cibler des organisations japonaises. Les attaques ont été détectées en mars 2024 et sont attribuées à un groupe de menaces persistantes avancées nord-coréen. Les attaquants déploient des malwares personnalisés pour voler des données et maintenir leur présence sur les réseaux. En mai 2024, Kimsuky a été repéré distribuant un nouveau type de malware CHM en Corée, plus sophistiqué pour éviter la détection. Les organisations japonaises sont invitées à rester vigilantes contre les fichiers CHM pouvant contenir des scripts malveillants.
Sources :
Windows MSHTML Zero Day utilisé dans des attaques de logiciels malveillants depuis plus d'un an
Un chercheur de Check Point Research a découvert une vulnérabilité zero-day dans Windows, exploitée pendant plus d'un an pour lancer des scripts malveillants contournant les fonctionnalités de sécurité intégrées. La faille, CVE-2024-38112, a été corrigée par Microsoft en juillet 2024. Les attaquants ont exploité cette vulnérabilité en utilisant des fichiers .url pour ouvrir des URL dans le navigateur par défaut. Bien que Microsoft ait annoncé la fin de vie d'Internet Explorer, des vulnérabilités persistent, permettant aux acteurs malveillants de télécharger des fichiers malveillants sans avertissement. La vulnérabilité est similaire à une précédente exploitée par des hackers nord-coréens en 2021.
Sources :
Microsoft corrige un bug de Windows 11 provoquant des boucles de redémarrage et la barre des tâches se bloque
Microsoft a corrigé un bug sur Windows 11 provoquant des boucles de redémarrage et des problèmes de barre des tâches après l'installation de la mise à jour de prévisualisation KB5039302 de juin. Cette correction a été incluse dans la mise à jour KB5040442 du 9 juillet 2024. Les systèmes Windows 11 23H2 et 22H2 étaient principalement touchés, avec moins d'impact sur la version Home. L'incident a été causé par des outils de machine virtuelle et de virtualisation, affectant des fonctionnalités telles que CloudPC, DevBox et Azure Virtual Desktop. La mise à jour a également entraîné des problèmes de gel de la barre des tâches sur les systèmes N Edition ou avec les fonctionnalités multimédias désactivées. Microsoft a temporairement suspendu la mise à jour pour les utilisateurs de logiciels de virtualisation, mais a depuis repris le déploiement pour la plupart des appareils.
