Ransomwares : une menace grandissante et comment s'en protéger - Actus du 19/03/2025
Découvrez comment les pirates exploitent une faille PHP pour déployer des mineurs de rat quasar et XMRI, explorez la menace croissante des ransomwares et pourquoi la prévention du phishing doit dépasser le simple e-mail. Protégez-vous efficacement dès maintenant!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Les pirates exploitent une faille PHP sévère pour déployer des mineurs de rat quasar et XMRI
Des acteurs malveillants exploitent une vulnérabilité critique dans PHP, identifiée sous le CVE-2024-4577, qui permet l'injection d'arguments sur les systèmes Windows fonctionnant en mode CGI. Cette faille pourrait permettre à des attaquants distants d'exécuter du code arbitraire. Selon Bitdefender, une augmentation des tentatives d'exploitation a été observée depuis la fin de l'année dernière, principalement à Taïwan (54,65 %), Hong Kong (27,06 %), Brésil (16,39 %), Japon (1,57 %) et Inde (0,33 %). Environ 15 % des tentatives impliquent des vérifications de vulnérabilité basiques, tandis qu'une autre proportion similaire concerne la reconnaissance système. Martin Zugec de Bitdefender a noté qu'environ 5 % des attaques ont abouti au déploiement du mineur de cryptomonnaie XMRig, souvent déguisé en application légitime pour éviter la détection. D'autres attaques ont utilisé des outils d'accès à distance comme Quasar RAT et des fichiers MSI malveillants. Fait intéressant, des tentatives de modification des configurations de pare-feu ont été observées, suggérant une compétition entre groupes de cryptojacking. Les utilisateurs sont conseillés de mettre à jour leurs installations PHP pour se protéger contre ces menaces.
Sources :
Ransomwares : une menace grandissante et les solutions pour s’en protéger
Les ransomwares représentent une menace croissante pour les entreprises, en particulier dans le secteur de la santé, où plus d'une attaque sur cinq est ciblée. Cette augmentation est due à l'adoption rapide de nouvelles technologies par les cybercriminels, qui exploitent des failles logicielles et utilisent des méthodes variées pour infiltrer les systèmes, y compris des attaques via des périphériques infectés ou des chaînes d'approvisionnement. Un rapport indique que seulement 14 % des organisations se jugent entièrement préparées à faire face à ces attaques, ce qui complique la détection et la récupération, souvent plusieurs mois après l'incident. Pour contrer cette menace, les experts recommandent l'adoption de solutions de détection et réponse étendues managées (Managed XDR). Cette technologie permet une surveillance continue du réseau, identifiant les menaces dès leur apparition et réduisant le temps de réponse. En automatisant la gestion des incidents, elle limite les dégâts potentiels et améliore l'efficacité de la protection. Les ransomwares ne sont pas une menace passagère, et tant que des vulnérabilités existeront, les cybercriminels continueront d'évoluer. L'implémentation de Managed XDR est essentielle pour protéger les organisations contre des pertes financières et opérationnelles significatives.
Sources :
Pourquoi il est temps que la prévention du phishing va au-delà du courrier électronique
Les attaquants utilisent des techniques sophistiquées pour contourner les solutions de filtrage de contenu en ligne, comme Google Safe Browsing. Ils déploient des kits de phishing qui agissent comme des proxies entre la cible et un portail de connexion légitime, permettant ainsi d'intercepter des informations d'authentification telles que les identifiants et les codes MFA. Ces kits, tels que Tycoon et Evilginx, sont conçus pour échapper aux outils de détection en masquant les redirections et en changeant fréquemment d'URL. Les attaquants exploitent également des techniques pour rendre leurs pages malveillantes difficiles à détecter, en modifiant la structure du DOM, en randomisant les titres de page et en utilisant des éléments visuels variés. De plus, les liens de phishing sont souvent diffusés via des plateformes de messagerie instantanée et des réseaux sociaux, rendant les scanners d'e-mails insuffisants comme seule défense. Pour contrer ces menaces, Push Security propose une plateforme de sécurité d'identité qui détecte et répond aux attaques d'identité, y compris le credential stuffing et le vol de session. Les utilisateurs sont encouragés à réserver une démonstration pour découvrir comment Push peut les protéger contre ces attaques.
Sources :
Les chats Black Basta divulgués suggèrent que les responsables russes aidaient l'évasion du leader de l'Arménie
Une récente fuite de messages internes du groupe de ransomware Black Basta a révélé des liens potentiels avec des autorités russes. Publiée par un utilisateur de Telegram, cette fuite contient plus de 200 000 messages échangés entre septembre 2023 et septembre 2024. Selon une analyse de la société de cybersécurité Trellix, le leader présumé Oleg Nefedov aurait reçu de l'aide d'officiels russes après son arrestation en Arménie en juin 2024, facilitant son évasion. Les messages indiquent qu'il a contacté des responsables pour bénéficier d'un "corridor vert". Trellix souligne que ces révélations compliquent la possibilité pour Black Basta de changer complètement ses opérations. Parmi d'autres découvertes, le groupe aurait deux bureaux à Moscou et utiliserait OpenAI ChatGPT pour diverses tâches, y compris la rédaction de lettres frauduleuses et le débogage de code. De plus, des membres de Black Basta seraient liés à d'autres opérations de ransomware. Le groupe a également développé un cadre de commande et de contrôle post-exploitation appelé Breaker et travaille sur un nouveau ransomware dérivé du code source de Conti. Enfin, ils ont investi dans un cadre de brute-forcing nommé BRUTED pour cibler des dispositifs réseau.
Sources :
Le rapport d'exposition à l'identité de Spycloud en 2025 révèle l'échelle et les risques cachés des menaces d'identité numérique
Le 19 mars 2025, CyberNewsWire a rapporté une augmentation alarmante des données volées liées à l'identité des utilisateurs d'entreprise, atteignant en moyenne 146 en raison d'une exploitation plus sophistiquée par les cybercriminels. Ces derniers combinent des données provenant de violations, de logiciels malveillants et de campagnes de phishing, rendant obsolètes les stratégies de défense traditionnelles. SpyCloud a observé une croissance de 22 % de sa base de données darknet, totalisant plus de 53,3 milliards de dossiers d'identité distincts, ce qui alimente la cybercriminalité basée sur l'identité. Les entreprises doivent donc adopter une approche de défense holistique pour faire face à cette menace croissante. Les données révèlent que 70 % des utilisateurs exposés ont réutilisé des mots de passe compromis, augmentant ainsi leur risque d'attaques. De plus, 17,3 milliards de cookies ont été récupérés, permettant aux attaquants de contourner l'authentification multi-facteurs. SpyCloud propose des solutions de protection contre les menaces d'identité, utilisant des analyses avancées pour prévenir les ransomwares et les détournements de comptes. Avec une clientèle comprenant des entreprises de premier plan et des agences gouvernementales, SpyCloud s'engage à protéger les utilisateurs contre l'exploitation des données volées.
Sources :
Regardez ce webinaire pour apprendre à éliminer les attaques basées sur l'identité - avant de se produire
Dans le monde numérique actuel, les violations de sécurité sont fréquentes, notamment les attaques basées sur l'identité comme le phishing et le contournement de l'authentification multifacteur. Plutôt que de réagir après coup, il est crucial de prévenir ces attaques. Le prochain webinaire intitulé "Comment éliminer les menaces basées sur l'identité" présentera des experts de Beyond Identity, Jing Reyhan et Louis Marascio, qui expliqueront comment une solution d'accès conçue pour la sécurité peut bloquer ces menaces avant qu'elles n'atteignent votre réseau.
Les participants apprendront à arrêter les attaques à la source, à maîtriser des techniques de sécurité essentielles, et à obtenir des conseils pratiques pour protéger leur organisation sans compétences techniques avancées. Des études de cas réelles illustreront l'efficacité de ces stratégies. En prévenant les violations, les entreprises peuvent réduire les coûts et renforcer la confiance avec leurs clients. Ce webinaire est une occasion de repenser les approches de sécurité traditionnelles et d'adopter des mesures proactives. Inscrivez-vous dès maintenant pour transformer votre stratégie de sécurité et protéger ce qui compte le plus. Partagez cette invitation avec vos collègues pour promouvoir une sécurité proactive.
Sources :
Clearfake infecte 9 300 sites, utilise un faux recaptcha et des tourniquets pour répandre les voleurs d'informations
ClearFake, identifié pour la première fois en juillet 2023, est un cluster d'activités malveillantes utilisant de faux baits de mise à jour de navigateur sur des sites WordPress compromis pour distribuer des malwares. Ces attaques visent à déployer des malwares volants d'informations sur les systèmes Windows et macOS. En mai 2024, ClearFake a intégré ClickFix, une technique d'ingénierie sociale incitant les utilisateurs à exécuter du code PowerShell malveillant sous prétexte de résoudre un problème technique fictif. Cette variante utilise la technique EtherHiding et interagit avec la Binance Smart Chain pour charger des codes JavaScript et des ressources supplémentaires, permettant de fingerprinting le système de la victime. Le processus d'attaque commence lorsqu'un utilisateur visite un site compromis, entraînant le chargement d'un code JavaScript intermédiaire. Si la victime exécute le code PowerShell, cela déploie Emmenhtal Loader, qui installe Lumma Stealer. En janvier 2025, une autre chaîne d'attaque ClearFake a été observée, installant Vidar Stealer. En juillet 2024, environ 200 000 utilisateurs uniques ont été exposés à ces leurres. Des campagnes de phishing exploitant diverses vulnérabilités ont également été découvertes, soulignant la nécessité pour les organisations de renforcer leurs mécanismes d'authentification et de contrôle d'accès.
Sources :
5 Détection et réponse des menaces d'identité incontournables pour la sécurité du super saaS
Les attaquants ciblent les identités en utilisant des identifiants compromis, des méthodes d'authentification détournées et des privilèges mal utilisés, créant des vulnérabilités pour les organisations dépendantes des applications SaaS. Pour contrer cette menace, la détection et la réponse aux menaces d'identité (ITDR) se révèlent essentielles. Les outils traditionnels de détection des menaces, tels que les XDR et EDR, ne couvrent pas les applications SaaS, laissant les entreprises exposées. L'ITDR doit s'étendre au-delà de la sécurité cloud classique pour inclure des applications comme Microsoft 365 et Salesforce, avec des intégrations fluides aux fournisseurs d'identité (IdP) tels qu'Okta et Azure AD. L'ITDR permet de visualiser l'ensemble de l'histoire d'une attaque par une seule identité, en structurant les événements d'authentification et les anomalies d'accès en chaînes d'attaque. L'analyse comportementale des utilisateurs (UEBA) aide à détecter les écarts par rapport à l'activité normale. De plus, l'intelligence des menaces ITDR doit classifier les activités du darknet et cartographier les étapes des attaques selon le cadre MITRE ATT&CK. Enfin, une gestion de la posture de sécurité SaaS (SSPM) est recommandée pour réduire la surface d'attaque, renforçant ainsi la protection des environnements SaaS.
Sources :
Chasse aux Tesla : un site sème la panique en publiant les données personnelles des propriétaires
Un site web controversé a lancé une carte interactive révélant les informations personnelles de propriétaires potentiels de Tesla aux États-Unis, incluant noms, adresses et numéros de téléphone. Le créateur du site, DOGEQUEST, a promis de retirer ces données si les individus prouvent avoir vendu leur véhicule. Le ton provocateur du site, illustré par un curseur en forme de cocktail Molotov, incite à des actes de vandalisme contre les véhicules Tesla. En parallèle, des manifestations appelées « Tesla Takedown » se multiplient, accompagnées de dégradations ciblant les concessions et superchargeurs de la marque. Les données publiées, bien que certaines vérifiées, soulèvent des doutes quant à leur fiabilité. Un propriétaire contacté a exprimé son mécontentement envers Elon Musk, soulignant qu'il avait acquis son véhicule avant de connaître les controverses entourant le PDG. Tesla traverse une période difficile sur le marché boursier, avec une chute significative de ses actions. Le site DOGEQUEST reste anonyme, mais il semble exacerber les tensions autour de Tesla et de son image publique. Les propriétaires sont encouragés à vendre leurs véhicules pour faire supprimer leurs informations du site.
Sources :
Les défauts critiques de MyScada Mypro pourraient laisser les attaquants reprendre les systèmes de contrôle industriel
Des chercheurs en cybersécurité ont révélé deux vulnérabilités critiques affectant mySCADA myPRO, un système SCADA utilisé dans des environnements technologiques opérationnels. Ces failles pourraient permettre à des acteurs malveillants de prendre le contrôle de systèmes vulnérables. Selon la société suisse PRODAFT, ces vulnérabilités, notées 9,3 sur l'échelle CVSS v4, pourraient donner accès non autorisé aux réseaux de contrôle industriel, entraînant des perturbations opérationnelles graves et des pertes financières. Les deux failles identifiées sont : CVE-2025-20014, une injection de commande du système d'exploitation via des requêtes POST malveillantes contenant un paramètre de version, et CVE-2025-20061, similaire mais utilisant un paramètre d'email. L'exploitation de ces vulnérabilités permettrait d'injecter des commandes système et d'exécuter du code arbitraire. Les problèmes ont été corrigés dans les versions mySCADA PRO Manager 1.3 et mySCADA PRO Runtime 9.2.1. PRODAFT souligne que ces vulnérabilités révèlent les risques de sécurité persistants dans les systèmes SCADA et la nécessité de défenses renforcées. Les organisations sont conseillées d'appliquer les derniers correctifs, de segmenter les réseaux et de surveiller les activités suspectes.
Sources :
CISA met en garde contre l'exploitation active dans le compromis de la chaîne d'approvisionnement de l'action GitHub
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajouté une vulnérabilité liée à la compromission de la chaîne d'approvisionnement du GitHub Action tj-actions/changed-files à son catalogue des vulnérabilités exploitées. Cette faille de haute sévérité, identifiée comme CVE-2025-30066 (score CVSS : 8.6), permet à un attaquant distant d'injecter du code malveillant pour accéder à des données sensibles via les journaux d'actions. Les secrets exposés peuvent inclure des clés d'accès AWS, des jetons d'accès personnels GitHub, des jetons npm et des clés RSA privées. La société de sécurité cloud Wiz a révélé que cette attaque pourrait être le résultat d'une attaque en cascade, où des acteurs malveillants ont d'abord compromis le GitHub Action reviewdog/action-setup@v1 pour infiltrer tj-actions/changed-files. La compromission a eu lieu le 11 mars 2025, avant le 14 mars. Les mainteneurs de tj-actions ont confirmé que l'attaque a été facilitée par un jeton d'accès personnel GitHub compromis. Les utilisateurs affectés sont conseillés de mettre à jour vers la version 46.0.1 de tj-actions/changed-files d'ici le 4 avril 2025 et d'auditer leurs workflows passés pour détecter des activités suspectes.
Sources :
Le géant des spermatozoïdes California Cryobank met en garde contre une violation de données
California Cryobank, le plus grand sperm bank des États-Unis, a averti ses clients d'une violation de données ayant exposé des informations personnelles. L'incident a été détecté le 21 avril 2024, après que des activités suspectes ont été repérées sur leur réseau. Une enquête a révélé qu'un tiers non autorisé avait accédé à l'environnement informatique de l'entreprise entre le 20 et le 22 avril 2024, compromettant des données telles que noms, numéros de comptes bancaires, numéros de sécurité sociale, permis de conduire, numéros de cartes de paiement et informations d'assurance santé. En réponse, California Cryobank propose une surveillance de crédit gratuite pendant un an aux clients concernés. L'entreprise a également renforcé ses mesures de sécurité pour protéger les données. Bien que le don de sperme soit généralement anonyme, il n'est pas clair si les identifiants des donneurs ont été volés, ce qui soulèverait des préoccupations majeures en matière de confidentialité. California Cryobank n'a pas encore répondu aux demandes de clarification concernant l'exposition des données des donneurs. Cette situation met en lumière les risques associés à la gestion des informations sensibles dans le secteur de la reproduction assistée.
Sources :
Le piratage d'action GitHub a probablement conduit à un autre dans l'attaque de la chaîne d'approvisionnement en cascade
Une attaque en chaîne a été déclenchée par la compromission de l'action GitHub "reviewdog/action-setup@v1", entraînant une violation des secrets CI/CD dans l'action "tj-actions/changed-files". La semaine dernière, cette attaque a permis à un code malveillant d'écrire des secrets CI/CD dans les journaux de workflow de 23 000 dépôts. Les développeurs de tj-actions n'ont pas pu déterminer comment un jeton d'accès personnel (PAT) a été compromis. Des chercheurs de Wiz pensent que l'attaque a commencé avec l'injection de code dans "reviewdog/action-setup", ce qui a permis de voler le PAT de tj-actions. Le code malveillant a été inséré dans le fichier install.sh, exposant ainsi les secrets des workflows CI. Bien que la compromission de reviewdog/action-setup ait été corrigée, le risque de récurrence demeure si l'action reste vulnérable. Wiz recommande aux projets potentiellement touchés de vérifier les références à reviewdog/action-setup@v1 et de supprimer toutes les références aux actions affectées. Pour éviter de futures compromissions, il est conseillé de verrouiller les actions GitHub à des hachages de commit et d'utiliser la fonctionnalité de liste blanche de GitHub. Ces attaques pourraient avoir des conséquences durables sur les projets touchés.
Sources :
Western Alliance Bank informe 21 899 clients de violation de données
Western Alliance Bank, basé en Arizona, a informé près de 22 000 clients d'une violation de données survenue en octobre 2024, suite à une faille de sécurité dans le logiciel de transfert de fichiers d'un fournisseur tiers. La banque, filiale de Western Alliance Bancorporation, a révélé dans un dépôt à la SEC en février 2025 que des attaquants avaient exploité une vulnérabilité zero-day pour accéder à certains systèmes et exfiltrer des fichiers contenant des informations personnelles des clients, telles que noms, numéros de sécurité sociale, dates de naissance, et informations financières. Les lettres de notification envoyées aux 21 899 clients concernés indiquent que les données ont été compromises entre le 12 et le 24 octobre 2024. Bien que la banque n'ait trouvé aucune preuve d'utilisation frauduleuse des informations, elle propose une année de services de protection d'identité gratuits via Experian. Le groupe de ransomware Clop a revendiqué cette violation, ayant ciblé plusieurs entreprises en exploitant des vulnérabilités dans des logiciels comme Cleo LexiCom. La banque a encouragé les clients à profiter de la surveillance de crédit offerte, tout en restant en attente de commentaires de ses représentants.
Sources :
Les applications malveillantes Android 'Vapor' sur Google Play ont installé 60 millions de fois
Plus de 300 applications Android malveillantes, connues sous le nom de "Vapor", ont été téléchargées 60 millions de fois sur Google Play. Découvertes par IAS Threat Lab, ces applications, actives depuis début 2024, ont été identifiées comme générant 200 millions de demandes d'enchères publicitaires frauduleuses par jour. Un rapport de Bitdefender a révélé que 331 applications étaient impliquées, avec des infections notables au Brésil, aux États-Unis, au Mexique, en Turquie et en Corée du Sud. Ces applications, souvent des utilitaires comme des outils de suivi de santé ou des optimisateurs de batterie, contiennent des fonctionnalités malveillantes qui se téléchargent après installation. Elles se cachent en désactivant leur activité de lancement et en se renommant pour passer inaperçues. Les utilisateurs sont exposés à des publicités intrusives et à des tentatives de phishing pour voler des informations personnelles. Bien que Google ait retiré ces applications, le risque de réapparition demeure, car les acteurs malveillants ont prouvé leur capacité à contourner les processus de vérification de Google. Les utilisateurs sont conseillés de ne pas installer d'applications non fiables et de vérifier les autorisations accordées.
Sources :
Nouveau-jour Zero-Day exploité par 11 groupes de piratage d'État depuis 2017
Au moins 11 groupes de hackers soutenus par des États, provenant de Corée du Nord, d'Iran, de Russie et de Chine, exploitent une nouvelle vulnérabilité de Windows, identifiée comme ZDI-CAN-25373, depuis 2017. Cette faille, qui permet l'exécution de code arbitraire sur des systèmes Windows, a été signalée par Trend Micro, mais Microsoft a décidé de ne pas publier de correctif, la jugeant "non prioritaire". Les chercheurs ont constaté que près de 70 % des attaques liées à cette vulnérabilité étaient motivées par l'espionnage et le vol d'informations, tandis que 20 % visaient un gain financier. Les groupes de menaces impliqués incluent Evil Corp et APT43, utilisant divers malwares tels qu'Ursnif et Trickbot. La vulnérabilité résulte d'une mauvaise représentation de l'interface utilisateur, permettant aux attaquants de dissimuler des arguments de ligne de commande malveillants dans des fichiers de raccourci (.LNK). Bien que Microsoft ait reconnu le problème, il n'a pas encore attribué d'identifiant CVE à cette faille. Un porte-parole a indiqué que des mesures de détection étaient en place et que la société envisageait de traiter cette vulnérabilité dans une future mise à jour.
