Pirates nord-coréens attaquent les entreprises crypto avec malwares sur macOS - Actus du 07/11/2024
Découvrez les dernières menaces cybernétiques : HPE alerte sur des failles RCE dans les points d'accès Aruba, ESET dévoile les cibles européennes des groupes APT, tandis que des hackers nord-coréens visent les crypto-monnaies avec des logiciels dangereux sur macOS. Ne manquez pas cet article !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
HPE met en garde contre des failles critiques de RCE dans les points d'accès Aruba Networking
Hewlett Packard Enterprise (HPE) a publié des mises à jour pour les logiciels Instant AOS-8 et AOS-10 afin de corriger deux vulnérabilités critiques dans les points d'accès Aruba Networking. Ces failles, identifiées comme CVE-2024-42509 et CVE-2024-47460, permettent à un attaquant distant d'effectuer une injection de commandes non authentifiées via le protocole de gestion des points d'accès (PAPI) sur le port UDP 8211, avec des scores de gravité de 9.8 et 9.0. En outre, quatre autres vulnérabilités ont été corrigées, dont une exécution de commandes à distance et des failles d'accès non autorisé à des fichiers. Ces six vulnérabilités affectent plusieurs versions d'AOS-10 et d'Instant AOS-8. HPE recommande aux utilisateurs de mettre à jour leurs dispositifs vers des versions spécifiques pour remédier aux problèmes. En cas d'impossibilité de mise à jour, des solutions de contournement sont proposées, notamment le blocage de l'accès au port UDP 8211 et la restriction d'accès aux interfaces de gestion. Bien qu'aucune exploitation active des failles n'ait été observée, il est fortement conseillé d'appliquer les mises à jour de sécurité.
Sources :
Rapport ESET : investigation sur les cyber groupes APT ciblant activement l’Europe
Le rapport d'ESET sur les activités des groupes APT, couvrant la période d'avril à septembre 2024, met en lumière plusieurs développements significatifs. Pour la première fois, le groupe MirrorFace, aligné sur la Chine, a ciblé une organisation diplomatique au sein de l'Union européenne, élargissant ainsi son champ d'action habituellement centré sur le Japon. Parallèlement, les groupes liés à l'Iran intensifient leurs activités d'espionnage diplomatique, compromettant des entreprises de services financiers en Afrique et menant des cyberattaques contre des cibles en Irak, en Azerbaïdjan, ainsi qu'en France et aux États-Unis. ESET a également analysé le piratage de l'Agence polonaise antidopage, attribué à un courtier en accès initial ayant partagé l'accès avec le groupe biélorusse FrostyNeighbor, connu pour ses campagnes de désinformation contre l'OTAN. D'autres groupes, comme Kimsuky et GreenCube, continuent d'exploiter des vulnérabilités pour voler des fonds et des informations. Le rapport souligne l'évolution des tactiques des acteurs malveillants, notamment l'utilisation croissante de VPN open-source par les groupes chinois pour maintenir leur accès aux réseaux ciblés. Ces activités illustrent un paysage de menaces en constante évolution.
Sources :
Des pirates informatiques nord-coréens ciblent les entreprises de crypto-monnaie avec des logiciels malveillants à risque caché sur macOS
Un acteur malveillant lié à la République populaire démocratique de Corée (RPDC) cible des entreprises de cryptomonnaie avec un malware multi-étapes capable d'infecter les appareils macOS. La société de cybersécurité SentinelOne a nommé cette campagne "Hidden Risk" et l'a attribuée avec une grande confiance à BlueNoroff, connu pour des familles de malware comme RustBucket et KANDYKORN. Selon un rapport, cette campagne utilise des emails diffusant de fausses nouvelles sur les tendances des cryptomonnaies pour infecter les cibles via une application malveillante déguisée en fichier PDF. Les attaques, qui ont probablement commencé en juillet 2024, visent des employés du secteur de la finance décentralisée (DeFi) et des cryptomonnaies, en se présentant comme de fausses opportunités d'emploi ou d'investissement. SentinelOne a observé une tentative de phishing en octobre 2024, livrant une application mimant un PDF. Les acteurs nord-coréens, connus pour leur créativité, adaptent leurs méthodes, passant d'une approche de "grooming" sur les réseaux sociaux à une méthode de phishing par email plus traditionnelle. Parallèlement, d'autres campagnes visent à infiltrer des entreprises occidentales pour voler des données et contourner les sanctions financières.
Sources :
Guide du hacker pour déchiffrer les mots de passe
La sécurité des organisations est comparable à celle d'un château : il est essentiel de comprendre les stratégies des hackers pour anticiper leurs attaques. Les failles de sécurité, comme des politiques de mots de passe laxistes, sont souvent exploitées par des hackers qui recherchent des mots de passe simples et prévisibles, souvent basés sur des informations personnelles. Les mots de passe comme "qwerty" ou "iloveyou" sont faciles à deviner, surtout sans authentification multi-facteurs. La rapidité avec laquelle un mot de passe peut être craqué dépend de sa longueur, de sa complexité et des outils utilisés par les hackers. Les méthodes de craquage les plus courantes incluent les attaques par force brute et par dictionnaire. Pour renforcer la sécurité, il est crucial d'éduquer les utilisateurs tout en mettant en place des mesures de protection, telles que des seuils de verrouillage après plusieurs tentatives échouées et l'authentification multi-facteurs. L'utilisation de passphrases, qui combinent des mots sans lien, est recommandée pour leur facilité de mémorisation et leur résistance aux attaques. En outre, des méthodes de vérification d'identité et des outils de sécurité avancés peuvent aider à protéger les données sensibles et à respecter les exigences réglementaires.
Sources :
Pourquoi protéger ses données comptables avec une formation en cybersécurité ?
La digitalisation des entreprises, bien qu'elle favorise la croissance, expose également les cabinets d'expertise comptable à des cybermenaces croissantes, telles que les ransomwares et le vol de données. Ces attaques ciblent particulièrement les informations sensibles, mettant en péril la réputation et la pérennité des cabinets. Pour contrer ces risques, une formation en cybersécurité est essentielle. Elle permet aux équipes de comprendre les mécanismes des cyberattaques et d'identifier les vulnérabilités dans leur infrastructure numérique. En acquérant des compétences sur les bonnes pratiques de sécurité, comme la gestion des mots de passe et l'authentification forte, le personnel sera mieux préparé à prévenir les cybermenaces. La formation aide également à développer une stratégie de protection du patrimoine informationnel, incluant la sécurisation des données clients et des processus métier. De plus, elle enseigne des mesures techniques pour protéger les postes utilisateurs et sécuriser les réseaux, comme la configuration des pare-feu et la mise à jour des logiciels antivirus. En intégrant ces connaissances, les cabinets d'expertise comptable peuvent renforcer leur résilience face aux cyberattaques, garantissant ainsi la sécurité de leurs données comptables et la continuité de leurs activités.
Sources :
Non, les données personnelles des clients d’Intermarché ne sont pas en ligne
Le 7 novembre 2024, un courriel diffusé sur les réseaux sociaux a laissé entendre qu'Intermarché avait subi une cyberattaque. Cependant, un porte-parole de l'enseigne a précisé qu'il s'agissait d'une erreur dans un message destiné aux clients. Bien que des tentatives de piratage aient été détectées, aucun compte de particulier n'a été compromis. Intermarché a pris des mesures de sécurité en bloquant les comptes concernés. L'entreprise a également recommandé aux clients de changer leurs mots de passe pour éviter d'éventuelles connexions frauduleuses. Ce type d'attaque est courant, les cybercriminels utilisant souvent des mots de passe récupérés lors de fuites précédentes ou des méthodes de « force brute » pour deviner les combinaisons. Les mots de passe sont souvent peu sécurisés, car beaucoup de personnes utilisent des combinaisons simples et les réutilisent sur plusieurs comptes. Cela facilite l'accès des hackers à divers comptes en ligne. En réponse à ces menaces, des solutions comme U-Cyber 360° de Mailinblack offrent des outils de protection et de formation en cybersécurité pour les organisations. Intermarché a présenté ses excuses pour la confusion causée par le courriel.
Sources :
EMERALDWHALE – Opération cyber mondiale / 15 000 identités de services Cloud volées
Sysdig a récemment découvert l'opération cyber mondiale EMERALDWHALE, qui a conduit au vol de plus de 15 000 informations d'identification de services Cloud. Les chercheurs de Sysdig ont identifié que les attaquants ciblaient des fichiers de configuration Git exposés pour dérober des identifiants liés à divers services, y compris des fournisseurs de courriers électroniques. Ces informations peuvent être revendues pour des centaines de dollars, et les campagnes de phishing semblent être l'objectif principal de cette opération. EMERALDWHALE a utilisé des outils privés pour exploiter des services web mal configurés, permettant aux attaquants de collecter des informations d'identification de plus de 10 000 dépôts privés. Bien que l'opération ne soit pas la plus sophistiquée, elle se distingue par sa méthode ciblée, exploitant des fichiers de configuration Git qui contiennent souvent des secrets. Cette attaque souligne l'importance d'une gestion rigoureuse des secrets et de la surveillance des identités associées aux informations d'identification. Pour se prémunir contre de telles menaces, il est crucial d'effectuer des analyses de vulnérabilité et de gestion de l'exposition, tant en interne qu'en externe, afin de détecter les problèmes potentiels.
Sources :
Les pirates informatiques de MirrorFace, alliés de la Chine, ciblent les diplomates de l'UE avec un appât pour l'Exposition universelle de 2025
Le groupe de hackers aligné avec la Chine, connu sous le nom de MirrorFace, a été observé en train de cibler une organisation diplomatique de l'Union européenne, marquant ainsi sa première incursion dans cette région. Selon le rapport d'ESET sur l'activité des APT, l'attaque a utilisé comme appât l'Exposition mondiale prévue en 2025 à Osaka, au Japon, soulignant que MirrorFace reste concentré sur le Japon et ses événements. Également suivi sous le nom d'Earth Kasha, MirrorFace fait partie du groupe APT10, qui inclut d'autres clusters comme Earth Tengshe. Bien que le groupe cible principalement des organisations japonaises depuis 2019, une campagne récente a élargi ses opérations à Taïwan et à l'Inde. Les attaques de MirrorFace, qui se produisent moins de dix fois par an, visent principalement l'espionnage cybernétique et le vol de données. Dans la dernière attaque, un courriel de spear-phishing a été envoyé, contenant un lien vers un fichier ZIP hébergé sur OneDrive, déclenchant une séquence d'infection. Parallèlement, d'autres acteurs de la menace liés à la Chine, tels que Flax Typhoon et Volt Typhoon, intensifient leurs attaques contre des infrastructures critiques.
Sources :
Plus de 500 employés du secteur bancaire français pourraient cliquer chaque mois sur des liens de phishing
Cette étude de Netskope Threat Labs met en lumière la persistance du phishing comme menace majeure dans le secteur bancaire, où la fraude financière est le principal objectif des cybercriminels. Le rapport examine trois types de menaces : l'ingénierie sociale, la diffusion de contenus malveillants et la sécurité des données liées à l'intelligence artificielle (IA) générative. Il révèle que le phishing est la méthode d'ingénierie sociale la plus courante, avec environ 500 employés du secteur bancaire en France susceptibles de cliquer sur des liens de phishing chaque mois. Les malwares ciblant ce secteur incluent Downloader.SLoad, Infostealer.AgentTesla, et d'autres. En ce qui concerne l'IA générative, le secteur bancaire adopte cette technologie plus lentement que d'autres industries, avec 93 % des banques bloquant certaines applications d'IA générative. Le rapport souligne que les banques sont efficaces dans la gestion des risques liés à l'IA, en utilisant des mesures telles que la prévention des pertes de données. Netskope recommande aux banques d'améliorer leur sécurité en inspectant les téléchargements, en bloquant les fichiers à haut risque et en utilisant des technologies d'isolation pour protéger leurs réseaux.
Sources :
Les 5 techniques de malware les plus courantes en 2024
Les TTPs (Tactiques, Techniques et Procédures) sont des indicateurs plus stables que les IOCs, permettant une identification fiable des menaces cybernétiques. L'absence de journaux d'événements peut entraîner des lacunes dans les données critiques, rendant difficile la détection des activités malveillantes. Les journaux d'événements Windows peuvent être manipulés, permettant aux malwares de rester indétectés. Par exemple, XWorm désactive les journaux de service d'accès à distance. Pour analyser les TTPs malveillants, ANY.RUN propose un bac à sable interactif avec des machines virtuelles configurables. Cela permet de détoner des malwares et d'observer leurs actions en temps réel. Les acteurs malveillants utilisent des techniques d'obfuscation via PowerShell pour contourner les mécanismes de détection, comme le montre BlankGrabber, qui désactive les systèmes de protection de Windows. Les fichiers malveillants peuvent être placés dans le dossier de démarrage pour assurer une persistance à long terme. DCRAT, un autre malware, utilise des techniques d'évasion basées sur le temps pour éviter la détection. ANY.RUN intègre la matrice MITRE ATT&CK pour suivre les TTPs, offrant une analyse rapide et des rapports sur le comportement des malwares. Une période d'essai gratuite de 14 jours est disponible pour intégrer ce service dans les workflows organisationnels.
Sources :
Les logiciels malveillants SteelFox et Rhadamanthys utilisent des escroqueries liées aux droits d'auteur et des exploits de pilotes pour cibler les victimes
Une campagne de phishing en cours, nommée CopyRh(ight)adamantys, utilise des thèmes liés aux violations de droits d'auteur pour inciter les victimes à télécharger une nouvelle version du voleur d'informations Rhadamanthys depuis juillet 2024. La société de cybersécurité Check Point suit cette campagne à grande échelle, qui cible principalement les États-Unis, l'Europe, l'Asie de l'Est et l'Amérique du Sud. La version 0.7 du voleur, intégrant l'intelligence artificielle pour la reconnaissance optique de caractères, a été mise en avant par Recorded Future. Les attaques se caractérisent par des tactiques de spear-phishing, où des emails prétendant provenir de grandes entreprises accusent les destinataires de violations de marque sur les réseaux sociaux, leur demandant de retirer des contenus. Une fois le fichier exécutable lancé, il installe un fichier DLL permettant le déploiement de Rhadamanthys. Cette campagne, orchestrée par un groupe criminel motivé financièrement, montre une évolution continue des tactiques de phishing. Parallèlement, Kaspersky a révélé un nouveau malware, SteelFox, qui exploite des pilotes vulnérables et se propage via des forums et des torrents, ciblant des victimes dans plusieurs pays, notamment au Brésil et en Chine.
Sources :
Le package malveillant PyPI « Fabrice » a été découvert et vole les clés AWS de milliers de développeurs
Des chercheurs en cybersécurité ont découvert un package malveillant sur le Python Package Index (PyPI) nommé "fabrice", qui a été téléchargé plus de 37 100 fois en trois ans tout en exfiltrant discrètement les identifiants Amazon Web Services (AWS) des développeurs. Ce package exploite une erreur typographique d'une bibliothèque populaire, "fabric", qui permet d'exécuter des commandes shell à distance via SSH. Publié en mars 2021, "fabrice" est toujours disponible sur PyPI. Selon la société de sécurité Socket, ce package malveillant utilise des "payloads" pour voler des identifiants, créer des portes dérobées et exécuter des scripts spécifiques à la plateforme. Sur les systèmes Linux, il télécharge et exécute des scripts shell depuis un serveur externe, tandis que sur Windows, il utilise un script Visual Basic et un script Python pour exécuter des commandes et télécharger un exécutable malveillant. L'objectif principal de "fabrice" est le vol de clés d'accès AWS, permettant à l'attaquant d'accéder à des ressources cloud sensibles. Cette attaque sophistiquée de typosquatting vise à tromper les développeurs en imitant la bibliothèque de confiance "fabric".
Sources :
Cisco publie un correctif pour la vulnérabilité critique URWB dans les systèmes sans fil industriels
Cisco a publié des mises à jour de sécurité pour corriger une vulnérabilité critique affectant les points d'accès Ultra-Reliable Wireless Backhaul (URWB), permettant à des attaquants distants non authentifiés d'exécuter des commandes avec des privilèges élevés. Suivie sous le code CVE-2024-20418 (score CVS : 10.0), cette faille provient d'un manque de validation des entrées dans l'interface de gestion web du Cisco Unified Industrial Wireless Software. Selon Cisco, un attaquant pourrait exploiter cette vulnérabilité en envoyant des requêtes HTTP malveillantes à l'interface de gestion d'un système affecté, ce qui pourrait lui permettre d'exécuter des commandes arbitraires avec des privilèges root sur le système d'exploitation sous-jacent. Les produits concernés incluent les points d'accès Catalyst IW9165D, IW9165E et IW9167E, mais seuls ceux fonctionnant en mode URWB sont touchés. Cisco a découvert cette vulnérabilité lors de tests de sécurité internes et l'a corrigée dans la version 17.15.1 du logiciel. Les utilisateurs des versions 17.14 et antérieures sont invités à migrer vers cette version corrigée. Bien que Cisco ne signale pas d'exploitation active de cette faille, il est crucial que les utilisateurs appliquent rapidement les derniers correctifs pour se protéger contre d'éventuelles menaces.
Sources :
Le Canada ordonne à TikTok de fermer ses opérations canadiennes pour des raisons de sécurité
Le gouvernement canadien a ordonné à TikTok, propriété de ByteDance, de cesser ses opérations au Canada en raison de risques pour la sécurité nationale, sans toutefois interdire l'accès à l'application. François-Philippe Champagne, ministre de l'Innovation, a précisé que cette décision reposait sur des informations recueillies lors d'une revue et sur les conseils des services de sécurité canadiens. Bien que l'application soit déjà interdite sur les appareils gouvernementaux depuis février 2023, le gouvernement a souligné que l'utilisation de TikTok reste un choix personnel pour les Canadiens. Il a également recommandé d'adopter de bonnes pratiques de cybersécurité face aux risques potentiels liés à l'utilisation des réseaux sociaux. L'ordre de dissolution de TikTok a été émis conformément à la Loi sur Investissement Canada, qui permet d'examiner les investissements étrangers pouvant nuire à la sécurité nationale. TikTok a annoncé son intention de contester cette décision en justice, soulignant que la fermeture de ses bureaux canadiens entraînerait la perte de centaines d'emplois. Les préoccupations concernant la sécurité des données des utilisateurs ont également conduit à des restrictions similaires dans d'autres pays, notamment aux États-Unis, où TikTok fait face à des pressions pour se désinvestir.
Sources :
Les pirates informatiques utilisent de plus en plus le kit de post-exploitation Winos4.0 dans leurs attaques
Les hackers ciblent de plus en plus les utilisateurs de Windows avec le cadre malveillant Winos4.0, distribué via des applications de jeux apparemment inoffensives. Ce kit, similaire à Sliver et Cobalt Strike, a été documenté par Trend Micro dans un rapport sur des attaques visant des utilisateurs chinois. Initialement, un acteur malveillant, identifié comme Void Arachne/Silver Fox, attirait les victimes avec des logiciels modifiés pour le marché chinois, intégrant des composants malveillants. Un rapport de Fortinet révèle une évolution des attaques, les hackers utilisant désormais des fichiers liés aux jeux pour cibler les utilisateurs chinois. Lors de l'exécution des installateurs, un fichier DLL est téléchargé, déclenchant un processus d'infection en plusieurs étapes. Ce processus inclut le téléchargement de fichiers supplémentaires, l'établissement d'une connexion avec un serveur de commande et de contrôle (C2), et la collecte d'informations sur le système de la victime. Winos4.0 vérifie également la présence de divers outils de sécurité pour ajuster son comportement. Fortinet décrit ce cadre comme puissant, capable de contrôler des systèmes compromis, et son utilisation continue indique une solidification de son rôle dans les opérations malveillantes. Des indicateurs de compromission sont disponibles dans les rapports de Fortinet et Trend Micro.
Sources :
Le Bloc-notes de Microsoft sera doté d'un outil de réécriture basé sur l'IA sur Windows 11
Microsoft teste actuellement des outils de réécriture de texte alimentés par l'IA pour Notepad et de génération d'images pour Paint, marquant une évolution significative de ces applications lancées dans les années 1980. Ces nouvelles fonctionnalités sont disponibles pour les utilisateurs de Windows 11 Insiders dans les canaux Canary et Dev, après la mise à jour vers Paint 11.2410.28.0 et Notepad 11.2410.15.0. Dans Paint, les outils de remplissage et d'effacement génératifs permettent aux utilisateurs de modifier des images en remplaçant des éléments par du contenu généré par l'IA, tout en préservant le style artistique existant. Notepad, quant à lui, introduit une fonctionnalité appelée "Rewrite", qui réécrit automatiquement le contenu à l'aide de l'IA générative, permettant de reformuler des phrases et d'ajuster le ton et la longueur du texte. Actuellement, cette fonctionnalité est accessible en version préliminaire pour les utilisateurs de plusieurs pays, dont les États-Unis et la France, nécessitant une connexion avec un compte Microsoft. Ces ajouts visent à moderniser Notepad, qui a vu peu de changements au fil des ans, et à le rendre plus compétitif face à des alternatives populaires.
Sources :
Un bug de Cisco permet aux pirates d'exécuter des commandes en tant que root sur les points d'accès UWRB
Cisco a corrigé une vulnérabilité de gravité maximale, identifiée comme CVE-2024-20418, qui permet aux attaquants d'exécuter des commandes avec des privilèges root sur des points d'accès Ultra-Reliable Wireless Backhaul (URWB) utilisés pour l'automatisation industrielle. Cette faille de sécurité a été découverte dans l'interface de gestion web du logiciel Unified Industrial Wireless de Cisco. Les acteurs malveillants non authentifiés peuvent l'exploiter via des attaques d'injection de commandes à faible complexité, sans nécessiter d'interaction utilisateur. Cisco a précisé que cette vulnérabilité résulte d'une validation incorrecte des entrées dans l'interface de gestion. Les points d'accès concernés incluent les modèles Catalyst IW9165D, IW9165E et IW9167E, mais uniquement s'ils fonctionnent avec un logiciel vulnérable et si le mode URWB est activé. Bien que Cisco n'ait pas trouvé de code d'exploitation public ni de preuves d'attaques exploitant cette faille, il est conseillé aux administrateurs de vérifier si le mode URWB est activé en utilisant la commande CLI "show mpls-config". En parallèle, Cisco a également corrigé d'autres vulnérabilités, notamment des failles de déni de service et d'injection de commandes.
Sources :
L'attaque VEILDrive exploite les services Microsoft pour échapper à la détection et diffuser des logiciels malveillants
Une campagne de menace en cours, nommée VEILDrive, exploite des services légitimes de Microsoft tels que Teams, SharePoint, Quick Assist et OneDrive pour mener des attaques de spear-phishing et distribuer des malwares. Découverte par la société israélienne Hunters en septembre 2024, cette campagne a ciblé une organisation d'infrastructure critique aux États-Unis, désignée "Org C". Les attaques auraient commencé un mois plus tôt, culminant avec le déploiement d'un malware basé sur Java utilisant OneDrive pour le contrôle à distance. L'attaquant a envoyé des messages via Teams à des employés d'Org C en se faisant passer pour un membre de l'équipe informatique, demandant un accès à distance via Quick Assist. Ce qui distingue cette méthode est l'utilisation d'un compte d'un ancien potentiel victime (Org A) au lieu de créer un nouveau compte. L'attaquant a partagé un lien de téléchargement SharePoint contenant un fichier ZIP avec un outil d'accès à distance, LiteManager. Le malware, conçu pour se connecter à un compte OneDrive contrôlé par l'adversaire, utilise des identifiants codés pour exécuter des commandes PowerShell. Cette stratégie, dépendante des SaaS, complique la détection en temps réel et contourne les défenses conventionnelles.
Sources :
Le nouveau malware SteelFox détourne les PC Windows à l'aide d'un pilote vulnérable
Un nouveau malware nommé 'SteelFox' cible les ordinateurs Windows en utilisant la technique "bring your own vulnerable driver" pour obtenir des privilèges SYSTEM. Ce logiciel malveillant, distribué via des forums et des trackers torrent sous forme d'outils de piratage pour activer des versions légitimes de logiciels comme Foxit PDF Editor et AutoCAD, permet de miner des cryptomonnaies et de voler des données de cartes de crédit. Découvert par des chercheurs de Kaspersky en août 2024, SteelFox est actif depuis février 2023 et sa distribution a récemment augmenté. Les posts malveillants fournissent des instructions détaillées pour activer illégalement les logiciels, ce qui nécessite un accès administrateur que le malware exploite par la suite. Une fois les droits administratifs obtenus, SteelFox installe un service utilisant le driver vulnérable WinRing0.sys, permettant une élévation de privilèges. Ce malware collecte des données sensibles à partir de 13 navigateurs, y compris des informations de carte de crédit et l'historique de navigation. Bien que SteelFox ne cible pas spécifiquement des utilisateurs, il semble se concentrer sur ceux utilisant AutoCAD, JetBrains et Foxit PDF Editor, compromettant des systèmes dans plusieurs pays.
Sources :
Les tribunaux de Washington hors service après une cyberattaque ce week-end
Les systèmes judiciaires de l'État de Washington sont hors ligne depuis dimanche en raison d'une cyberattaque détectée sur leurs réseaux. Cette panne affecte tous les systèmes d'information judiciaire, les sites web et les services associés des tribunaux de l'État. L'Office administratif des tribunaux (AOC) a rapidement pris des mesures pour sécuriser les systèmes critiques et travaille à la restauration des services. Wendy Ferrell, directrice associée de l'AOC, a déclaré qu'ils agissaient par précaution en désactivant les systèmes pour protéger les données. Bien que certains tribunaux municipaux et de district fonctionnent avec des services limités, le bureau du greffier du tribunal supérieur du comté de Pierce a annoncé que l'accès en ligne restait disponible, bien que des interruptions de service soient à prévoir. Les fonctions essentielles des tribunaux devraient continuer avec peu d'interruptions, mais certaines informations sur les jugements et les amendes, ainsi que certaines recherches de dossiers électroniques, sont temporairement indisponibles. Des modifications de service resteront en vigueur toute la semaine pour maintenir les services essentiels tout en protégeant l'intégrité des dossiers judiciaires. Ce cyberincident rappelle une attaque similaire survenue au Kansas l'année dernière, où des fichiers sensibles avaient été volés.
