Mise à jour défectueuse de CrowdStrike fait planter les systèmes Windows - Actus du 19/07/2024
Une mise à jour défectueuse de CrowdStrike perturbe Windows à l'échelle mondiale, deux Russes avouent des attaques LockBit, et une panne Microsoft retarde la relance des systèmes. Découvrez les impacts majeurs sur les entreprises et la cybersécurité.
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Une mise à jour CrowdStrike défectueuse fait planter les systèmes Windows, affectant les entreprises du monde entier
Une mise à jour défectueuse de CrowdStrike a provoqué des perturbations mondiales sur les postes de travail Windows des entreprises. CrowdStrike a identifié et corrigé le problème, mais les clients doivent suivre des instructions de mitigation pour les systèmes déjà impactés. L'incident a également touché Google Cloud Compute Engine, Microsoft Azure et Amazon Web Services. Des experts soulignent l'importance de la diversification des infrastructures IT pour éviter de tels incidents. Microsoft a également connu une panne distincte affectant ses services Microsoft 365. Les pannes de Microsoft et de CrowdStrike mettent en lumière la fragilité des chaînes d'approvisionnement monoculturelles et soulignent l'importance de la diversité pour une plus grande résilience et sécurité.
Sources :
Deux ressortissants russes plaident coupables dans les attaques du ransomware LockBit
Deux ressortissants russes ont plaidé coupables devant un tribunal américain pour leur participation en tant qu'affiliés dans le schéma de ransomware LockBit, facilitant des attaques de ransomware à travers le monde. Les accusés incluent Ruslan Magomedovich Astamirov, 21 ans, de la République tchétchène, et Mikhail Vasiliev, 34 ans, un double national canadien et russe de Bradford, en Ontario. Astamirov a été arrêté en Arizona en mai 2023, tandis que Vasiliev, déjà recherché pour des accusations similaires au Canada, a été condamné à près de quatre ans de prison et extradé aux États-Unis le mois dernier. LockBit, opération de ransomware ayant attaqué plus de 2 500 entités depuis fin 2019, aurait généré environ 500 millions de dollars de rançons. Les deux accusés ont plaidé coupables de divers chefs d'accusation et risquent jusqu'à 25 et 45 ans de prison respectivement. La sentence est prévue pour le 8 janvier 2025.
Sources :
Panne mondiale Microsoft : pourquoi cela va prendre du temps pour relancer les ordinateurs
Une panne majeure dans les systèmes Microsoft causée par une mise à jour défectueuse du logiciel de cybersécurité CrowdStrike a perturbé de nombreuses entreprises dans le monde. Des problèmes ont été signalés dans les aéroports, les gares, les banques et les médias. Le PDG de CrowdStrike a confirmé qu'il s'agissait d'un problème interne. Les utilisateurs affectés peuvent suivre des instructions pour résoudre le problème, mais la réparation est laborieuse, surtout pour les grandes entreprises. Les équipes informatiques tentent de restaurer les sauvegardes ou de revenir à des mises à jour antérieures pour débloquer les systèmes. Cette situation souligne l'ironie du logiciel de cybersécurité qui devait protéger contre les cyberattaques mais a fini par causer une panne.
Sources :
La mise à jour CrowdStrike plante les systèmes Windows et provoque des pannes dans le monde entier
Une mise à jour défectueuse de CrowdStrike Falcon provoque des pannes de systèmes Windows à l'échelle mondiale, touchant diverses organisations telles que des aéroports, des stations de télévision et des hôpitaux. Les utilisateurs signalent des pannes massives, entraînant des arrêts complets d'entreprises et de flottes de centaines de milliers d'ordinateurs. CrowdStrike a reconnu le problème et a publié une alerte technique, offrant des correctifs et des solutions pour les environnements cloud et virtuels. Malgré les correctifs déployés, les entreprises ressentiront les effets de l'incident pendant un certain temps, avec des administrateurs devant travailler dur pour résoudre les problèmes sur des flottes informatiques de grande envergure.
Sources :
Les Russes plaident coupables d'implication dans les attaques du ransomware LockBit
Deux individus russes ont plaidé coupables pour leur participation aux attaques de ransomware LockBit, ciblant des victimes dans le monde entier, dont aux États-Unis. Ruslan Magomedovich Astamirov et Mikhail Vasiliev étaient des affiliés de l'opération de ransomware-as-a-service de LockBit, volant des données sensibles et exigeant des rançons en échange de la suppression des données volées et du décryptage des fichiers des victimes. Astamirov a collecté au moins 1,9 million de dollars de rançons entre 2020 et 2023, tandis que Vasiliev a causé au moins 500 000 dollars de dommages entre 2021 et 2023. Les membres de LockBit ont été inculpés aux États-Unis, avec des arrestations antérieures et une opération récente ayant permis de saisir des serveurs et des clés de décryptage. Malgré ces actions, LockBit reste actif et continue de cibler des victimes, publiant d'importantes quantités de données.
Sources :
Protégez les identités personnelles et d’entreprise grâce à l’intelligence d’identité
L'article met en lumière les activités souterraines des cybercriminels, l'importance de l'intelligence de l'identité pour atténuer les risques liés aux informations sensibles compromises, et l'efficacité des mesures de sécurité telles que l'authentification multi-facteurs et la formation des employés. Les vols de données et les compromissions de comptes peuvent coûter cher aux entreprises, avec une estimation moyenne de 4,5 millions de dollars par violation de données en 2022. L'intelligence de l'identité permet de détecter et de répondre efficacement aux compromissions de comptes, offrant ainsi une protection renforcée pour les employés et les clients. En utilisant des outils d'intelligence artificielle et d'apprentissage automatique, les équipes de sécurité peuvent anticiper les risques et prévenir les attaques, renforçant ainsi la posture de sécurité de l'organisation. En conclusion, l'adoption stratégique de l'intelligence de l'identité renforce la défense des organisations et favorise une approche proactive de la cybersécurité, réduisant les dommages potentiels liés aux menaces liées à l'identité.
Sources :
Un groupe pro-Houthi cible les organisations humanitaires du Yémen avec un logiciel espion Android
Un groupe de menace présumé pro-Houthi a ciblé au moins trois organisations humanitaires au Yémen avec un logiciel espion Android conçu pour collecter des informations sensibles. Ces attaques, attribuées à un cluster d'activités nommé OilAlpha, visent CARE International, le Conseil Norvégien pour les Réfugiés (NRC) et le Centre d'Aide Humanitaire et de Secours du Roi Salman d'Arabie Saoudite. Le groupe de menace OilAlpha est probablement actif et mène des activités ciblées contre des organisations humanitaires et des droits de l'homme opérant au Yémen et potentiellement dans tout le Moyen-Orient. Ces attaques utilisent des applications malveillantes se faisant passer pour des programmes d'aide humanitaire et récoltent des données sensibles. Les opérations d'OilAlpha incluent également un composant de collecte d'informations d'identification qui utilise de fausses pages de connexion pour récolter les informations de connexion des utilisateurs. Il est suspecté que l'objectif soit de mener des efforts d'espionnage en accédant aux comptes associés aux organisations affectées. Ces actions surviennent après une opération de surveillance par un acteur menaçant aligné sur les Houthis qui a délivré un outil de collecte de données Android appelé GuardZoo à des cibles au Yémen et dans d'autres pays du Moyen-Orient.
Sources :
Panne majeure de Microsoft 365 causée par un changement de configuration Azure
Une panne majeure de Microsoft 365 a été causée par un changement de configuration Azure le 19 juillet 2024, affectant les clients de la région centrale des États-Unis. L'incident a débuté vers 18h00 EST, empêchant l'accès à diverses applications et services Microsoft 365. Les services touchés incluent Microsoft Defender, Intune, Teams, PowerBI, OneNote, OneDrive for Business, SharePoint Online, Windows 365, Viva Engage, Microsoft Purview, et le centre d'administration Microsoft 365. Xbox Live a également été impacté, avec des problèmes de connexion signalés. Microsoft a travaillé sur le réacheminement du trafic impacté pour atténuer l'impact. Bien que la plupart des services soient de retour en ligne, certains clients rencontrent encore des problèmes d'accès à Microsoft Teams et au centre d'administration. D'autres pannes graves ont été signalées par le passé, notamment en janvier 2023 et juillet 2022. Une mise à jour défectueuse de CrowdStrike Falcon a également provoqué une panne généralisée de Windows.
Sources :
TF1, Free, La Poste : tous les services touchés par la panne de Microsoft en France et dans le monde
Une panne majeure chez Microsoft impacte les plus grands groupes mondiaux, provoquant des perturbations dans les aéroports, les gares, les banques et les médias. Une mise à jour ratée du logiciel de cybersécurité CrowdStrike est suspectée. Des millions de postes sont touchés, y compris les services des Jeux olympiques à Paris. Les banques, les compagnies aériennes, les médias, les opérateurs téléphoniques, la bourse de Londres, Disneyland et d'autres services sont paralysés. La liste des services affectés est longue, avec des conséquences mondiales.
Sources :
Résumé du webinaire « Les leaders de l'IA dévoilent leurs secrets »
Le webinar "AI Leaders Spill Their Secrets" organisé par Sigma Computing a réuni des experts de renom en intelligence artificielle partageant leurs expériences et stratégies de succès dans l'industrie de l'IA. Les intervenants incluaient Michael Ward de Sardine, Damon Bryan de Hyperfinity et Stephen Hillian d'Astronomer, modérés par Zalak Trivedi, Product Manager chez Sigma Computing. Les discussions ont porté sur les applications de l'IA, les success stories, le futur de l'IA et le rôle de Sigma, ainsi que les considérations réglementaires et de sécurité. Les intervenants ont souligné l'importance de l'innovation continue et de l'adaptation des technologies de l'IA pour rester compétitif. Le webinar a mis en lumière le rôle de Sigma Computing dans l'avancement de l'IA à travers sa plateforme d'analyse puissante, soulignant l'importance de l'innovation continue et de la collaboration dans le domaine de l'IA.
Sources :
Panne informatique mondiale : quelle est la cause des perturbations chez Microsoft ?
Une panne mondiale historique paralyse les systèmes suite à une mise à jour défectueuse de CrowdStrike, géant de la cybersécurité. Les interfaces Microsoft sont touchées, entraînant des dysfonctionnements dans les aéroports, les gares, les banques et les groupes audiovisuels de nombreux pays. Les compagnies aériennes américaines suspendent leurs vols. L'origine interne du problème est confirmée par CrowdStrike et écarte pour l'instant la piste d'une cyberattaque. Un expert en cybersécurité évoque une possible suppression accidentelle d'un fichier système sensible. La défaillance provient de l'agent Falcon Sensor de CrowdStrike, bloquant les systèmes Windows. Les conséquences de cette panne sont étendues et la résolution du problème nécessitera du temps.
Sources :
APT41 infiltre les réseaux en Italie, en Espagne, à Taiwan, en Turquie et au Royaume-Uni
Plusieurs organisations opérant dans les secteurs du transport maritime et de la logistique, des médias et du divertissement, de la technologie et de l'automobile en Italie, en Espagne, à Taïwan, en Thaïlande, en Turquie et au Royaume-Uni ont été la cible d'une "campagne soutenue" par le groupe de piratage APT41 basé en Chine. Mandiant, propriété de Google, a déclaré que APT41 avait infiltré avec succès et maintenu un accès non autorisé prolongé aux réseaux de nombreuses victimes depuis 2023, leur permettant d'extraire des données sensibles sur une longue période. Les attaques impliquent l'utilisation de coquilles web, de chargeurs personnalisés et d'outils disponibles publiquement pour atteindre la persistance, délivrer des charges utiles supplémentaires et exfiltrer des données d'intérêt. Google a déclaré que les comptes Workspace identifiés ont été remédiés pour empêcher l'accès non autorisé, sans révéler le nombre de comptes affectés. Parallèlement, la société de cybersécurité israélienne Sygnia a révélé des détails sur une campagne de cyberattaque menée par un groupe de menace sophistiqué appelé GhostEmperor pour délivrer une variante du rootkit Demodex.
Sources :
SolarWinds corrige 8 failles critiques dans le logiciel Access Rights Manager
SolarWinds a corrigé un ensemble de failles de sécurité critiques affectant son logiciel Access Rights Manager (ARM) pouvant être exploitées pour accéder à des informations sensibles ou exécuter du code arbitraire. Sur les 13 vulnérabilités, huit sont classées comme critiques avec un score CVSS de 9,6 sur 10, et cinq sont considérées comme élevées. Les failles les plus graves ont été corrigées dans la version 2024.3 sortie le 17 juillet 2024. Cela fait suite à une divulgation responsable dans le cadre de l'initiative Zero Day de Trend Micro. En 2020, SolarWinds a été victime d'une importante attaque de la chaîne d'approvisionnement, ce qui a conduit à une action en justice de la SEC américaine. Cependant, une grande partie des allégations de la plainte ont été rejetées par le tribunal de district du sud de New York le 18 juillet.
Sources :
La région Pays de la Loire cible d’une cyberattaque des hackers russophones de Lockbit
Le groupe de pirates Lockbit revient après deux semaines d'absence avec une cyberattaque contre la région Pays de la Loire, exigeant une rançon avant le 4 août. Les hackers ont déjà publié des documents administratifs sur leur plateforme darknet. La région n'a pas encore réagi. Lockbit, spécialisé dans le ransomware, avait été attaqué en février par les forces de l'ordre de 10 pays, mais est revenu en avril pour paralyser l'hôpital de Cannes. La France est à nouveau visée.
Sources :
La plateforme d'échange de crypto-monnaie WazirX perd 230 millions de dollars suite à une faille de sécurité majeure
La bourse de cryptomonnaies indienne WazirX a confirmé avoir été la cible d'une violation de sécurité ayant entraîné le vol de 230 millions de dollars d'actifs en cryptomonnaies. L'attaque a été attribuée à des acteurs affiliés à la Corée du Nord, avec des similitudes avec le groupe Lazarus. Liminal, une société de garde de cryptomonnaies, a été impliquée dans l'incident. Les attaquants ont échangé les actifs cryptographiques contre de l'Ether. Cette attaque survient dans un contexte où les acteurs étatiques nord-coréens ont mené des cyberattaques dans le secteur des cryptomonnaies pour contourner les sanctions internationales. Par ailleurs, une opération policière nommée Spincaster a récemment démantelé des réseaux d'escroquerie utilisant des tactiques d'approbation de phishing pour voler des fonds en cryptomonnaies.
Sources :
Le gang Revolver Rabbit enregistre 500 000 domaines pour des campagnes de logiciels malveillants
Le groupe de cybercriminels Revolver Rabbit a enregistré plus de 500 000 domaines pour des campagnes de logiciels malveillants ciblant les systèmes Windows et macOS. Ils utilisent des algorithmes de génération de domaines enregistrés (RDGAs) pour acheter des centaines de milliers de domaines, principalement des domaines .BOND, pour distribuer le malware XLoader. Les RDGAs sont plus difficiles à détecter que les DGAs, car ils restent secrets et tous les domaines générés sont enregistrés. Cette opération a coûté environ 1 million de dollars en frais d'enregistrement. Infoblox a suivi Revolver Rabbit pendant près d'un an avant de découvrir l'utilisation des RDGAs. D'autres acteurs malveillants utilisent également des RDGAs pour des opérations malveillantes telles que la distribution de logiciels malveillants, le phishing, les campagnes de spam et les escroqueries.
Sources :
SolarWinds corrige 8 bugs critiques dans le logiciel d'audit des droits d'accès
SolarWinds a corrigé huit vulnérabilités critiques dans son logiciel Access Rights Manager (ARM), dont six permettaient aux attaquants d'exécuter du code à distance. Ces failles ont été corrigées dans la version 2024.3. En février, cinq autres vulnérabilités RCE avaient déjà été corrigées. Il y a quatre ans, SolarWinds avait été victime d'une attaque par le groupe de hackers russe APT29. Malgré l'attaque, seuls un nombre limité de clients SolarWinds avaient été ciblés pour une exploitation ultérieure.
