Piratage Free : 19 millions de clients impactés et IBAN volés - Actus du 28/10/2024
Découvrez comment les forces de l'ordre ont démantelé les opérations de malware Redline et Meta infostealer. Explorez notre récapitulatif cybersécurité pour les menaces et outils clés, et comment Webflow est exploité par les cybercriminels pour voler vos informations sensibles.
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Les opérations de malware Redline et Meta infostealer saisies par la police
Les opérations de malware Redline et Meta, des infostealers qui volent des informations stockées sur les navigateurs, ont été perturbées par la police avec l'aide d'agences internationales telles que le FBI et Europol. Ces malwares, qui ont causé des vols massifs de données, ont été utilisés pour dérober des identifiants, des cookies d'authentification et des portefeuilles de cryptomonnaie. Les autorités ont annoncé avoir accès au code source et à l'infrastructure des malwares, y compris les serveurs de licences et les bots Telegram, ce qui pourrait mener à des arrestations. En 2024, Redline et Meta ont volé 227 millions d'identifiants, et Redline, lancé en 2020, a été responsable de près d'un milliard de vols depuis son lancement. Les données volées sont souvent revendues sur le dark web, alimentant des cyberattaques majeures, comme celles ayant touché Snowflake et Change Healthcare. Les forces de l'ordre, notamment la police néerlandaise, ont intensifié leurs efforts pour surveiller et avertir les cybercriminels, signalant qu'ils sont sous surveillance. Cette opération marque une avancée significative dans la lutte contre les malwares d'infostealing, un fléau croissant pour la cybersécurité.
Sources :
Récapitulatif de la cybersécurité THN : principales menaces, outils et actualités (du 21 au 27 octobre)
Cette semaine, des problèmes de cybersécurité préoccupants ont été mis en lumière, notamment des failles cryptographiques graves dans cinq fournisseurs de stockage cloud, dont Sync et pCloud, permettant aux attaquants d'accéder à des données sensibles. Une campagne malveillante, débutée en février 2024, a trompé des utilisateurs en les dirigeant vers un site de jeu, exploitant des scripts JavaScript pour obtenir un accès à distance. Par ailleurs, la SEC a infligé des amendes à quatre entreprises pour des divulgations trompeuses liées à la cyberattaque de SolarWinds en 2020. Delta Air Lines a poursuivi CrowdStrike après une panne majeure en juillet, accusant le fournisseur de négligence, ce qui a entraîné des milliers d'annulations de vols. De plus, un rapport a révélé que des fraudes liées à des travailleurs IT ne se limitaient pas à la Corée du Nord, soulevant des inquiétudes sur l'identité des employés. Des vulnérabilités dans Google Gemini ont permis à des acteurs malveillants de manipuler l'IA pour produire des réponses trompeuses. Enfin, des attaques de détournement de modèles de langage ont été signalées, exploitant des identifiants AWS exposés pour accéder à des services de modèles de langage. Des outils de sécurité comme Azure PIM et Cisco Umbrella sont recommandés pour renforcer la protection des données.
Sources :
Les cybercriminels utilisent Webflow pour tromper les utilisateurs et les inciter à partager des informations de connexion sensibles
Des chercheurs en cybersécurité ont signalé une augmentation des pages de phishing créées avec l'outil Webflow, utilisé par des acteurs malveillants exploitant des services légitimes comme Cloudflare et Microsoft Sway. Ces campagnes visent à voler des informations sensibles de portefeuilles crypto tels que Coinbase et MetaMask, ainsi que des identifiants de connexion pour des plateformes de messagerie d'entreprise et Microsoft 365. Netskope Threat Labs a observé une multiplication par dix du trafic vers ces pages de phishing entre avril et septembre 2024, touchant plus de 120 organisations, principalement en Amérique du Nord et en Asie. Webflow est particulièrement attrayant pour les cybercriminels car il permet de créer des sous-domaines personnalisés sans coût supplémentaire, contrairement à d'autres services qui génèrent des sous-domaines aléatoires. Les pages de phishing imitent les véritables pages de connexion pour tromper les utilisateurs, qui, une fois leurs informations fournies, reçoivent un message d'erreur les incitant à contacter un support fictif. Parallèlement, des campagnes de malvertising diffusent un malware appelé WARMCOOKIE, facilitant l'accès persistant aux systèmes compromis. Les secteurs ciblés incluent la fabrication, le gouvernement et les services financiers, avec une concentration d'attaques aux États-Unis et en Europe.
Sources :
Cryptomonnaies : une nouvelle escroquerie cible les demandeurs d’emploi
Les chercheurs de Proofpoint ont récemment analysé la montée des escroqueries aux cryptomonnaies, notamment à travers de fausses offres d'emploi. Ces attaques, connues sous le nom de « Pig Butchering », permettent aux cybercriminels de soutirer des milliards à des victimes vulnérables, en leur promettant des investissements attrayants. L'analyse révèle que ces escroqueries exploitent des mécanismes psychologiques pour manipuler les victimes, comme le biais du coût irrécupérable et l'aversion à la perte. Les escrocs utilisent des messages non sollicités sur les réseaux sociaux et des applications de messagerie pour attirer les cibles, leur proposant des opportunités de télétravail. Une fois inscrites sur des sites malveillants, les victimes sont amenées à réaliser des tâches fictives et à payer des frais sur de faux comptes, souvent sous prétexte de recevoir des bonus. Ces fraudes, bien que moins lucratives que les méthodes traditionnelles, sont plus fréquentes. Le FBI a émis une alerte en juin 2024 concernant ces offres d'emploi frauduleuses. Proofpoint conseille de rester vigilant face aux offres non sollicitées et de ne jamais envoyer d'argent à des employeurs douteux.
Sources :
Naviguer en toute sécurité sur les sept mers, de port en port – Sécurité d'accès OT pour les navires et les grues
La sécurité des technologies opérationnelles (OT) est devenue cruciale pour les opérateurs maritimes et portuaires, en raison de la numérisation rapide des navires et des grues industrielles. Cette évolution entraîne de nouveaux défis en matière de sécurité, notamment en ce qui concerne l'accès à distance pour les techniciens de maintenance. Deux clients ont été aidés à résoudre leurs besoins critiques en matière de contrôle d'accès. Le premier, un opérateur maritime gérant une flotte mondiale, faisait face à des mesures de sécurité inadéquates, avec des connexions toujours actives et un manque de contrôle d'accès granulaire. Une solution centralisée a été mise en place sur le cloud AWS, permettant une gestion sécurisée et efficace des accès à distance, garantissant ainsi la sécurité de l'équipage et la conformité aux normes NIS2 et IEC 62442. Le second client, opérant dans environ 50 pays, avait des contrôles de sécurité insuffisants pour ses grues automatisées. La solution déployée a permis d'ajouter des restrictions régionales pour les techniciens, tout en intégrant des contrôles d'accès granulaire sans perturber l'infrastructure existante. Ces améliorations ont réduit les risques de cyberattaques et facilité la conformité réglementaire.
Sources :
Kaspersky a identifié des failles de sécurité dans le système sur puce Unisoc, rendant possible le détournement à distance
Les experts de Kaspersky ICS CERT ont identifié des vulnérabilités critiques dans les systèmes sur puce (SoC) Unisoc, permettant à des hackers de contourner les mesures de sécurité et d'accéder à distance aux appareils via la communication modem. Ces failles, référencées CVE-2024-39432 et CVE-2024-39431, touchent divers dispositifs, notamment des smartphones, des tablettes et des véhicules connectés, principalement en Asie, en Afrique et en Amérique latine. L'équipe a démontré que des attaquants pouvaient exploiter des techniques avancées, comme la manipulation des périphériques DMA, pour exécuter du code non autorisé et modifier des fichiers système. Ces méthodes rappellent des tactiques utilisées dans des campagnes de cyberattaques antérieures, soulignant la sophistication des menaces. La généralisation des puces Unisoc pourrait avoir des conséquences graves sur la sécurité, notamment dans des secteurs critiques comme l'automobile. Kaspersky a salué la réactivité d'Unisoc, qui a rapidement développé des correctifs. Toutefois, ils recommandent une approche de sécurité multicouche, car certaines limitations matérielles pourraient persister malgré les mises à jour logicielles. Les fabricants et utilisateurs sont encouragés à installer ces correctifs pour atténuer les risques.
Sources :
Piratage d’envergure Free : 19 millions de clients touchés, dont 5,11 millions d’IBAN dérobés
Free a récemment confirmé une fuite de données sensibles, potentiellement l'un des plus grands piratages d'opérateurs en France, touchant 5,11 millions d'IBAN. Les informations volées, comprenant des noms, adresses, dates de naissance et numéros de téléphone, sont déjà en vente sur le Dark Web pour environ 70 000 USD. L'attaque, survenue le 17 octobre, a été initialement dissimulée, mais Free a depuis informé ses clients par mail. Bien que l'entreprise ait assuré qu'aucun mot de passe, carte bancaire ou contenu de communication n'ait été compromis, la situation reste préoccupante, car les IBAN peuvent être utilisés pour des prélèvements SEPA illicites. Free a déposé une plainte et notifié les autorités compétentes, soulignant les conséquences légales pour l'auteur de cette cyberattaque. Ce piratage met en lumière la vulnérabilité des systèmes de sécurité des entreprises françaises, après une attaque similaire subie par SFR. Les clients sont donc avertis de surveiller leurs comptes bancaires pour détecter d'éventuels prélèvements non autorisés. La protection des IBAN, bien qu'étant un identifiant public, est essentielle pour éviter des abus financiers.
Sources :
Incident de sécurité chez Transak : les pièces d’identités concernées
Transak, une plateforme d'achat et de vente de cryptomonnaies, a récemment subi une fuite de données touchant 92 554 utilisateurs, soit 1,14 % de sa base. Cette violation a été causée par un accès non autorisé au poste de travail d'un employé, résultant d'une attaque de phishing. L'attaquant a pu accéder à un fournisseur tiers de vérification d'identité (KYC) utilisé par Transak, permettant la consultation de données sensibles telles que noms, dates de naissance, documents d'identité (passeports, permis de conduire) et vidéos de confirmation d'inscription. Cependant, aucune donnée financière, comme les informations de carte de crédit ou les mots de passe, n'a été compromise. En tant que plateforme non dépositaire, Transak ne conserve pas les fonds des utilisateurs, garantissant ainsi que leurs actifs ne sont pas affectés par cette attaque. Malgré l'absence d'utilisation malveillante avérée des données consultées, les utilisateurs sont conseillés de rester vigilants face à d'éventuelles tentatives d'usurpation d'identité. Parallèlement, une vente de données touchant au moins un million de Français a été détectée, avec des identités et IBAN proposés à la vente sur le dark web.
Sources :
Des chercheurs découvrent une vulnérabilité de rétrogradation du système d'exploitation ciblant le noyau Microsoft Windows
Une nouvelle technique d'attaque permet de contourner l'Application de Signature des Pilotes (DSE) de Microsoft sur des systèmes Windows entièrement mis à jour, ouvrant la voie à des attaques de rétrogradation du système d'exploitation. Cette méthode permet de charger des pilotes de noyau non signés, ce qui donne aux attaquants la possibilité de déployer des rootkits personnalisés capables de neutraliser les contrôles de sécurité et de masquer les activités. Les recherches de SafeBreach ont révélé deux vulnérabilités d'escalade de privilèges dans le processus de mise à jour de Windows, pouvant être exploitées pour revenir à des versions antérieures contenant des failles de sécurité non corrigées. Un outil, nommé Windows Downdate, a été développé pour détourner le processus de mise à jour de Windows et effectuer des rétrogradations indétectables. Bien que Microsoft ait corrigé certaines vulnérabilités, la technique d'attaque exploite une condition de concurrence pour remplacer un fichier de catalogue de sécurité vérifié par une version malveillante. La protection peut être contournée si la Sécurité Basée sur la Virtualisation (VBS) n'est pas activée ou si des modifications sont apportées aux clés de registre. Pour une protection efficace, il est crucial que VBS soit activé avec un verrou UEFI et un mode "Obligatoire".
Sources :
Windows 11 24H2 : Le matériel et le logiciel bloquent la nouvelle mise à jour
Windows 11 24H2 est actuellement indisponible pour de nombreux utilisateurs en raison de restrictions de compatibilité imposées par Microsoft sur certains appareils et configurations logicielles. Ces restrictions visent à éviter des problèmes tels que des plantages ou des performances dégradées, souvent causés par des pilotes ou des applications obsolètes. Un exemple notable est l'incompatibilité entre le pilote Voicemeeter et le gestionnaire de mémoire mis à jour de Windows 11, qui affecte des fonctionnalités comme la détection d'objets. Microsoft a également restreint la mise à jour pour les appareils utilisant le Safe Exam Browser, en particulier ceux équipés de processeurs Intel Alder Lake+ et de pilotes Easy Anti-Cheat obsolètes. De plus, des problèmes de compatibilité avec la technologie Intel Smart Sound peuvent entraîner des erreurs d'écran bleu lors de la mise à jour. Les utilisateurs doivent éviter les mises à jour manuelles via l'Assistant d'installation de Windows 11, car cela pourrait aggraver les problèmes. Microsoft recommande de mettre à jour les applications de fond d'écran pour lever ces restrictions. Les utilisateurs affectés doivent attendre que les problèmes soient résolus avant de tenter de mettre à jour leur système.
Sources :
Service Veille ZATAZ : votre protection gratuite Jusqu’au 31 décembre 2024
ZATAZ prolonge son engagement en cybersécurité en offrant gratuitement son Service Veille ZATAZ (SVZ) jusqu’au 31 décembre 2024. Ce service, qui surveille le Darkweb et d'autres environnements à risque, permet de détecter rapidement les fuites de données personnelles et d'alerter les utilisateurs sur les cybermenaces. Destiné aux particuliers, le SVZ aide à réagir efficacement face aux risques de vol de données et de cyberattaques. Cette initiative s'inscrit dans le cadre du Mois de la Cybersécurité, visant à sensibiliser le public aux dangers numériques et à promouvoir de bonnes pratiques en matière de sécurité en ligne. Pour bénéficier de cette offre, il suffit d'envoyer une adresse courriel à ZATAZ, qui garantira la confidentialité des données en supprimant l'adresse du système après la période d'utilisation. L'offre est limitée à 5 000 demandes et ne concerne que les particuliers, les entreprises devant passer par des procédures spécifiques. En offrant ce service, ZATAZ espère toucher un large public et renforcer la protection des données personnelles face à l'augmentation des cybermenaces.
