Réinitialisation massive de mots de passe : soyez prêt pour le jour J - Actus du 17/12/2024
Découvrez comment plus de 25 000 pare-feu VPN SonicWall sont vulnérables, pourquoi une réinitialisation massive de mots de passe pourrait être imminente, et le récent coup de filet en France contre le blanchiment via distributeurs de cryptomonnaies. Lisez notre article pour tous les détails !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Plus de 25 000 pare-feu VPN SonicWall exposés à des failles critiques
Plus de 25 000 dispositifs SonicWall SSLVPN accessibles publiquement présentent des vulnérabilités critiques, selon une analyse de la société de cybersécurité Bishop Fox. Environ 20 000 de ces appareils fonctionnent avec des versions de firmware SonicOS/OSX non prises en charge. Cette situation découle de plusieurs vulnérabilités importantes révélées cette année, qui ont été exploitées par des groupes de ransomware tels que Fog et Akira, ciblant ces dispositifs pour accéder aux réseaux d'entreprise. Bishop Fox a identifié 430 363 pare-feu SonicWall exposés sur Internet, ce qui représente une surface d'attaque massive. Les chercheurs soulignent que l'interface de gestion d'un pare-feu ne devrait jamais être exposée publiquement, car cela augmente les risques. Parmi les appareils analysés, 6 633 utilisent des versions de firmware obsolètes, tandis que 20 710 fonctionnent avec des firmwares en fin de vie, rendant ces dispositifs vulnérables à de nombreuses exploits. En tout, 25 485 appareils sont vulnérables à des problèmes de gravité critique, et 94 018 à des failles de haute gravité. Bien que le nombre total d'appareils vulnérables ait diminué par rapport à janvier 2024, l'adoption des correctifs reste lente.
Sources :
Vous pourriez avoir besoin d'une réinitialisation massive de votre mot de passe un jour ? Lisez ceci en premier.
Les organisations sont souvent prises au dépourvu lors de violations de données, se retrouvant à gérer des tâches qu'elles auraient pu anticiper. Il est crucial pour elles de se préparer à réagir rapidement aux incidents de sécurité, notamment en mettant en place des capacités de réinitialisation de mots de passe en masse. Les cyberattaquants exploitent divers vecteurs pour accéder aux systèmes, souvent par des comptes utilisateurs compromis, ce qui peut entraîner des perturbations importantes. Des scénarios nécessitant une réinitialisation massive incluent la découverte de mots de passe sur le dark web, des attaques par ransomware, ou des compromissions de comptes privilégiés. Par exemple, le récent incident de TfL a nécessité la réinitialisation manuelle de 30 000 mots de passe, causant des retards dans l'accès aux systèmes. Cela souligne l'importance de solutions de réinitialisation de mots de passe en libre-service, qui permettent aux utilisateurs de gérer leurs propres mots de passe, réduisant ainsi la charge sur les équipes informatiques. Des outils comme Specops uReset simplifient ce processus, permettant aux utilisateurs de réinitialiser leurs mots de passe de manière autonome, ce qui libère du temps pour les équipes de sécurité et d'IT, tant lors des cyberattaques que dans les opérations quotidiennes.
Sources :
Saisie de distributeurs automatiques de cryptomonnaies : un coup de filet contre le blanchiment en France
Le développement des cryptomonnaies suscite des intérêts variés, mais également des activités illégales, comme le blanchiment d'argent. Une enquête coordonnée par la Gendarmerie Nationale et l'OFAC a révélé des opérations de blanchiment aggravé via 13 distributeurs automatiques illégaux, entraînant la saisie de 160 000 euros. Ces dispositifs permettaient des échanges de monnaies fiduciaires contre des cryptomonnaies sans vérification d'identité, facilitant ainsi le blanchiment de fonds illicites. Les distributeurs ne respectaient pas les réglementations imposées aux prestataires de services sur actifs numériques (PSAN), rendant les transactions potentiellement illégales selon le Code pénal. L'enquête, initiée par un signalement de l'AMF, souligne l'importance d'une régulation stricte pour prévenir les abus dans le secteur des actifs numériques, souvent considéré comme une zone grise. L'AMF et l'ACPR jouent un rôle crucial dans la protection des épargnants et la lutte contre les activités illicites, imposant des obligations telles que la vérification d'identité (KYC). Cette opération rappelle que toute déviation des normes régulatrices peut entraîner des sanctions sévères, soulignant la nécessité d'un cadre légal solide à l'heure où les cryptomonnaies se démocratisent.
Sources :
Des pirates informatiques utilisent des fichiers Microsoft MSC pour déployer une porte dérobée obscurcie lors d'attaques au Pakistan
Une nouvelle campagne de phishing ciblant le Pakistan utilise des leurres liés aux impôts pour déployer un logiciel malveillant furtif. La société de cybersécurité Securonix, qui suit cette activité sous le nom de FLUX#CONSOLE, indique que l'attaque commence probablement par un lien ou une pièce jointe dans un email de phishing. Les chercheurs ont noté que les acteurs de la menace exploitent des fichiers MSC (Microsoft Common Console Document) pour déployer un chargeur et un dropper à double usage. Ces fichiers, déguisés en PDF (.pdf.msc), exécutent un code JavaScript intégré via la console de gestion Microsoft (MMC), permettant de charger discrètement un fichier DLL ("DismCore.dll"). Un document utilisé dans cette campagne est intitulé "Tax Reductions, Rebates and Credits 2024", associé à l'Administration fédérale des revenus du Pakistan. En plus de livrer le payload, le fichier .MSC peut exécuter du code supplémentaire en se connectant à un fichier HTML distant. Le principal payload est un backdoor qui communique avec un serveur distant pour exfiltrer des données. Securonix a interrompu l'attaque 24 heures après l'infection initiale, soulignant la complexité de la détection des codes malveillants contemporains.
Sources :
Même les grandes entreprises sont victimes de violations de données – Découvrez pourquoi et comment y mettre un terme
Même les entreprises les plus performantes et équipées d'outils avancés peuvent être victimes de piratages. Malgré des investissements dans des solutions de sécurité et la formation des équipes, des violations de données se produisent encore. Les attaquants trouvent constamment de nouvelles failles, souvent invisibles même dans les organisations bien préparées. Cependant, ces failles peuvent être identifiées et corrigées si l'on sait où chercher.
Le webinaire animé par John Paul Cunningham, CISO chez Silverfort, vise à expliquer pourquoi les violations de sécurité continuent de se produire et comment combler les lacunes. Il proposera des étapes claires et pratiques pour renforcer la protection des entreprises, sans se concentrer sur l'acquisition de nouveaux outils, mais plutôt sur l'identification des risques négligés.
Les participants apprendront à comprendre les origines des attaques modernes, à repérer les vulnérabilités courantes et à obtenir des mesures concrètes pour améliorer la sécurité. Ce webinaire est essentiel pour les professionnels de la cybersécurité et les dirigeants soucieux de protéger leur organisation. Ne laissez pas une violation révéler vos faiblesses ; rejoignez cette session gratuite pour renforcer vos défenses.
Sources :
Bitter APT cible le secteur de la défense turc avec les malwares WmRAT et MiyaRAT
Un groupe de cyberespionnage suspecté, connu sous le nom de Bitter, a ciblé une organisation du secteur de la défense turc en novembre 2024, en déployant deux familles de malwares C++ nommées WmRAT et MiyaRAT. Selon des chercheurs de Proofpoint, l'attaque a utilisé des flux de données alternatifs dans une archive RAR pour livrer un fichier de raccourci (LNK) qui a créé une tâche planifiée sur la machine cible, permettant le téléchargement de charges utiles supplémentaires. Actif depuis au moins 2013, ce groupe, également désigné par les noms TA397, APT-C-08, et Hazy Tiger, a précédemment attaqué des entités en Asie, notamment en Chine, au Pakistan et en Inde. Bitter a été lié à des attaques ayant conduit à la mise en œuvre de malwares Android et a récemment ciblé une agence gouvernementale chinoise avec une attaque de spear-phishing. L'attaque documentée par Proofpoint a utilisé un leurre sur des projets d'infrastructure à Madagascar pour inciter les victimes à ouvrir une archive RAR piégée. Les malwares WmRAT et MiyaRAT permettent la collecte d'informations, le téléchargement de fichiers, et l'exécution de commandes, visant à soutenir les intérêts d'un gouvernement sud-asiatique.
Sources :
5 techniques pratiques pour une chasse efficace aux cybermenaces
Pour prévenir les cybermenaces avant qu'elles ne causent des dommages, il est essentiel d'adopter une approche proactive. Les acteurs malveillants ciblent souvent plusieurs entreprises simultanément. ANY.RUN se distingue comme une solution efficace pour analyser le paysage des menaces, grâce à une vaste base de données publique alimentée par plus de 500 000 professionnels de la sécurité. Cette plateforme permet aux utilisateurs d'accéder à des rapports d'analyse sur les derniers échantillons de logiciels malveillants et de phishing, en utilisant l'outil Threat Intelligence (TI) Lookup. Les utilisateurs peuvent rechercher des menaces en utilisant plus de 40 paramètres, tels que les adresses IP et les clés de registre. Par exemple, pour identifier les menaces de phishing en Allemagne, il est possible d'exclure les URL et de se concentrer sur les fichiers malveillants. En moyenne, les départements de sécurité reçoivent des centaines d'alertes quotidiennes, et l'utilisation d'outils TI pour vérifier les artefacts suspects peut prévenir des pertes financières et réputationnelles. En suivant les techniques, tactiques et procédures (TTP) des attaquants, les entreprises peuvent améliorer leurs capacités de détection et adapter leurs défenses en temps réel, en restant informées des nouvelles variantes de menaces.
Sources :
Cyber espionnage en Turquie – Proofpoint alerte sur de nouvelles activités du groupe sud-asiatique TA397
Les chercheurs de Proofpoint ont publié une enquête sur le groupe étatique sud-asiatique TA397, également connu sous le nom de Bitter, qui mène une campagne de phishing ciblant une organisation turque. Cette campagne utilise un leurre basé sur un projet de financement de la Banque mondiale à Madagascar, un thème récurrent pour ce groupe qui s'attaque principalement à des entités publiques. Les principales conclusions révèlent que TA397 emploie une nouvelle chaîne d'attaque, utilisant des archives RAR pour diffuser un fichier raccourci (LNK) qui crée une tâche planifiée sur la machine cible, permettant ainsi le téléchargement de logiciels malveillants. Les chercheurs ont identifié que les familles de malwares WmRAT et MiyaRAT sont déployées manuellement à des étapes avancées de l'attaque, visant à collecter et exfiltrer des renseignements. Cette approche ciblée souligne l'intention du groupe de recueillir des informations pour un gouvernement sud-asiatique. De plus, l'utilisation d'archives RAR pour la livraison de charges utiles est une tactique bien établie de TA397, qui a également été observée dans des attaques précédentes. Le rapport complet est accessible sur le site de Proofpoint.
Sources :
Des pirates informatiques exploitent Webview2 pour déployer le malware CoinLurker et échapper à la détection de sécurité
Des acteurs malveillants utilisent de fausses mises à jour logicielles pour diffuser un nouveau malware appelé CoinLurker, écrit en Go. Ce malware utilise des techniques d'obfuscation avancées et d'anti-analyse, rendant sa détection difficile. Les attaques se manifestent par des alertes de mise à jour trompeuses via des notifications sur des sites WordPress compromis, des redirections malveillantes, des emails de phishing, et des liens partagés sur les réseaux sociaux. Ces alertes exploitent Microsoft Edge Webview2 pour exécuter le payload, compliquant l'analyse dynamique. CoinLurker utilise une technique nommée EtherHiding pour injecter des scripts sur des sites compromis, récupérant le payload depuis un dépôt Bitbucket sous couvert d'outils légitimes. Les exécutables sont signés avec un certificat valide mais volé, ajoutant une couche de tromperie. Une fois lancé, CoinLurker communique avec un serveur distant et collecte des données liées aux portefeuilles de cryptomonnaies, Telegram, Discord et FileZilla. Ce malware représente une menace significative pour les utilisateurs de cryptomonnaies. Parallèlement, un acteur unique a orchestré plusieurs campagnes de malvertising ciblant des professionnels du design graphique, tandis qu'une nouvelle famille de malware, I2PRAT, exploite le réseau I2P pour des communications cryptées.
Sources :
L'APT Mask refait surface avec un arsenal sophistiqué de malwares multiplateformes
Un acteur de cyberespionnage peu connu, surnommé The Mask, a été lié à des attaques ciblant une organisation non nommée en Amérique latine en 2019 et 2022. Selon des chercheurs de Kaspersky, The Mask, également connu sous le nom de Careto, est actif depuis 2007 et cible généralement des entités de haut niveau comme des gouvernements et des institutions de recherche. L'accès initial aux réseaux est souvent obtenu par des emails de spear-phishing contenant des liens vers des sites malveillants exploitant des vulnérabilités de navigateur. En 2022, The Mask a utilisé un composant de messagerie web MDaemon, WorldClient, pour maintenir une présence persistante dans le réseau de l'organisation. Ils ont développé une extension malveillante permettant des interactions avec le système de fichiers et l'exécution de charges utiles supplémentaires. Lors de cette attaque, un implant nommé FakeHMP a été déployé, exploitant un pilote de HitmanPro Alert pour injecter le malware dans des processus privilégiés. En 2019, l'organisation avait déjà subi une attaque utilisant les frameworks Careto2 et Goreto, qui permettaient la capture d'écran, l'exfiltration de données et l'exécution de commandes à distance. Kaspersky souligne l'ingéniosité des techniques d'infection de Careto.
Sources :
La CISA et le FBI émettent des alertes sur des failles exploitées et sur l'expansion de la campagne HiatusRAT
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajouté deux vulnérabilités à son catalogue des vulnérabilités exploitées, en raison de preuves d'exploitation active. La première, CVE-2024-20767 (score CVSS : 7,4), concerne Adobe ColdFusion et permettrait à un attaquant d'accéder à des fichiers restreints via un panneau d'administration exposé sur Internet. La seconde, CVE-2024-35250 (score CVSS : 7,8), affecte le pilote en mode noyau de Microsoft Windows, permettant à un attaquant local d'escalader ses privilèges. Les agences fédérales doivent appliquer des remédiations d'ici le 6 janvier 2025. Parallèlement, le FBI a averti d'une campagne HiatusRAT ciblant des dispositifs IoT, exploitant des vulnérabilités non corrigées. De plus, des chercheurs ont révélé que des acteurs malveillants ont exploité des failles dans des routeurs DrayTek, touchant plus de 20 000 appareils dans une campagne de ransomware. Cette opération a impliqué plusieurs groupes de menaces, exploitant une vulnérabilité zéro-day pour infiltrer des réseaux et déployer divers ransomwares. Les attaques soulignent un manque d'analyse approfondie des causes racines par le fournisseur.
Sources :
Le FBI détecte des attaques de malware HiatusRAT ciblant les webcams et les DVR
Le FBI a averti que de nouvelles attaques de malware HiatusRAT ciblent les caméras web et les DVR vulnérables exposés en ligne. Dans une notification publiée, il est précisé que les attaquants se concentrent sur des dispositifs de marque chinoise n'ayant pas reçu de mises à jour de sécurité ou arrivés en fin de vie. En mars 2024, HiatusRAT a mené une campagne de scan ciblant des appareils IoT aux États-Unis, en Australie, au Canada, en Nouvelle-Zélande et au Royaume-Uni, exploitant des vulnérabilités connues et des mots de passe faibles. Les dispositifs principalement visés sont ceux de Hikvision et Xiongmai, utilisant des outils open-source pour scanner les vulnérabilités et effectuer des attaques par force brute. Le FBI recommande de limiter l'utilisation de ces dispositifs et de les isoler des autres réseaux pour prévenir les tentatives d'intrusion. Cette campagne fait suite à d'autres attaques, dont une visant un serveur du ministère de la Défense et une précédente où plus de cent entreprises ont été infectées. HiatusRAT est utilisé pour déployer des charges supplémentaires sur les systèmes compromis, les transformant en proxies SOCKS5 pour la communication avec des serveurs de commande et de contrôle.
Sources :
Une violation de données du Texas Tech University System affecte 1,4 million de patients
Le Texas Tech University Health Sciences Center et son homologue d'El Paso ont subi une cyberattaque en septembre 2024, compromettant les données de 1,4 million de patients. Cette institution publique, qui forme des professionnels de la santé et fournit des services de soins, a signalé des perturbations dans ses systèmes informatiques, révélant un vol de données sensibles. Selon un rapport déposé auprès du Département américain de la Santé, les informations exposées incluent des noms, dates de naissance, adresses, numéros de sécurité sociale, informations financières et médicales. Les personnes touchées seront informées et bénéficieront d'un service de surveillance de crédit gratuit. Elles sont également conseillées de rester vigilantes face aux tentatives de phishing et de surveiller leurs relevés de crédit et de facturation d'assurance santé. L'attaque a été revendiquée par le ransomware Interlock, qui a également divulgué 2,1 millions de fichiers sur le dark web. Ce groupe de cybercriminels, qui utilise des techniques sophistiquées, exige des rançons variant de centaines de milliers à plusieurs millions de dollars. L'institution a pris des mesures pour sécuriser son réseau et a lancé une enquête sur l'incident.
Sources :
Kali Linux 2024.4 est publié avec 14 nouveaux outils et certaines fonctionnalités sont obsolètes
Kali Linux 2024.4, publié le 16 décembre 2024, est une distribution destinée aux professionnels de la cybersécurité et aux hackers éthiques. Cette version finale de l'année introduit 14 nouveaux outils, dont des frameworks pour l'escalade de privilèges Active Directory et des outils d'analyse de sécurité pour les serveurs MSSQL et RouterOS. Parmi les ajouts notables, on trouve également des outils pour la recherche de domaines et la détection de vulnérabilités. En revanche, le support des images i386 a été abandonné, suite à la décision de Debian de cesser de construire des versions 32 bits. Bien que les paquets i386 restent disponibles, cette transition marque la fin d'une ère pour Kali Linux. Les utilisateurs peuvent désormais personnaliser les couleurs de leur interface et bénéficier d'améliorations de bureau, y compris un nouveau thème de connexion et une extension de panneau de surveillance système. Pour accéder à cette version, les utilisateurs peuvent mettre à jour leur installation existante ou télécharger des images ISO pour de nouvelles installations. Kali Linux continue d'évoluer pour répondre aux besoins des professionnels de la sécurité tout en intégrant des fonctionnalités modernes.
Sources :
Les installations d'eau doivent sécuriser les IHM exposées – avertit la CISA
La Cybersecurity and Infrastructure Security Agency (CISA) et l'Environmental Protection Agency (EPA) des États-Unis mettent en garde les installations de traitement des eaux et des déchets (WWS) contre des menaces cybernétiques ciblant les interfaces homme-machine (HMI) exposées en ligne. Dans une fiche d'information récente, les agences soulignent que ces systèmes, essentiels pour la gestion des opérations, peuvent être vulnérables aux attaques. Les cybercriminels peuvent scanner le web à la recherche de HMIs non sécurisées pour exploiter leurs failles, ce qui pourrait leur permettre de modifier des contenus sensibles et perturber le fonctionnement des installations. CISA cite un incident récent impliquant des hacktivistes pro-russes pour illustrer la gravité de la menace. Les recommandations incluent la réalisation de scans approfondis des dispositifs connectés à Internet, la déconnexion des HMIs du réseau public, l'implémentation de protections par mot de passe, ainsi que la segmentation du réseau et la mise à jour régulière des systèmes avec les derniers correctifs de sécurité. Les attaques contre les infrastructures critiques ne sont pas nouvelles, et il est crucial que les installations WWS adoptent des pratiques de sécurité robustes et forment leur personnel pour se prémunir contre ces menaces.
Sources :
Microsoft a publié le patch de décembre mardi avec plus de 70 correctifs de bugs
Ce mois-ci, Microsoft a publié ses dernières mises à jour programmées, corrigeant 71 problèmes de sécurité dans divers produits lors du Patch Tuesday de décembre 2024. Parmi ces correctifs, une vulnérabilité zero-day, identifiée comme CVE-2024-49138, a été patchée. Cette faille, qui permet une élévation de privilèges, a été exploitée activement avant sa correction, recevant une note de gravité élevée avec un score CVSS de 7.8. En outre, Microsoft a corrigé 16 vulnérabilités critiques, dont 9 affectant les services de bureau à distance de Windows et d'autres touchant le protocole LDAP et le service de mise en file d'attente de messages. La vulnérabilité la plus sévère, CVE-2024-49112, a un score CVSS de 9.8 et permet à un attaquant non authentifié d'exécuter du code arbitraire sur des clients et serveurs LDAP vulnérables. En plus de ces problèmes critiques, 54 autres failles ont été corrigées, touchant des produits comme Microsoft Office et SharePoint. Bien que Microsoft applique automatiquement les mises à jour, il est conseillé aux utilisateurs de vérifier manuellement leurs systèmes pour s'assurer qu'ils reçoivent toutes les corrections de sécurité nécessaires.
Sources :
- https://latesthackingnews.com/2024/12/16/microsoft-december-patch-tuesday-arrived-with-70-bug-fixes/
Un bug du noyau Windows est désormais exploité dans des attaques visant à obtenir des privilèges SYSTEM
Le 16 décembre 2024, la CISA a averti les agences fédérales américaines de sécuriser leurs systèmes contre des attaques exploitant une vulnérabilité critique du noyau Windows, identifiée comme CVE-2024-35250. Cette faille, due à une faiblesse de déréférencement de pointeur non fiable, permet à des attaquants locaux d'acquérir des privilèges SYSTEM sans interaction utilisateur. Bien que Microsoft n'ait pas fourni de détails supplémentaires dans son avis de sécurité de juin, l'équipe de recherche DEVCORE, qui a découvert la faille, a révélé que le composant vulnérable est le Microsoft Kernel Streaming Service (MSKSSRV.SYS). Lors du concours de hacking Pwn2Own Vancouver 2024, DEVCORE a démontré l'exploitation de cette faille sur un système Windows 11 entièrement patché. Microsoft a corrigé le bug lors du Patch Tuesday de juin 2024, mais un code d'exploitation a été publié sur GitHub quatre mois plus tard. La CISA a également ajouté une vulnérabilité critique d'Adobe ColdFusion (CVE-2024-20767) à son catalogue, soulignant l'importance pour les agences fédérales et les organisations privées de remédier rapidement à ces failles pour prévenir des attaques en cours.
Sources :
Des publicités malveillantes diffusent le voleur d'informations Lumma via de fausses pages CAPTCHA
Une campagne de malvertising à grande échelle a diffusé le malware Lumma Stealer via de fausses pages de vérification CAPTCHA, incitant les utilisateurs à exécuter des commandes PowerShell. Appelée "DeceptionAds" par Guardio Labs et Infoblox, cette opération utilise le réseau publicitaire Monetag pour générer plus d'un million d'impressions publicitaires quotidiennes sur environ 3 000 sites. Les acteurs malveillants, connus sous le nom de "Vane Viper", ont évolué à partir des attaques "ClickFix", où les victimes sont trompées pour exécuter des commandes malveillantes. Dans cette campagne, des publicités pop-up attirent les utilisateurs vers des pages CAPTCHA falsifiées, où un code obfusqué copie silencieusement une commande PowerShell dans le presse-papiers de l'utilisateur. Les victimes sont ensuite guidées pour exécuter cette commande, téléchargeant ainsi Lumma Stealer, capable de voler des informations sensibles telles que des mots de passe et des données de cartes de crédit. Bien que les réseaux publicitaires aient réagi en supprimant des comptes associés, une résurgence des activités a été observée, soulignant la persistance de ces menaces. Les utilisateurs sont avertis de ne jamais exécuter de commandes suggérées par des sites douteux, en particulier ceux liés à des logiciels piratés.
Sources :
La faille de sécurité de ConnectOnCall expose les données de santé de plus de 910 000 patients
Le 16 décembre 2024, il a été révélé que Phreesia, une entreprise de logiciels de santé, a informé plus de 910 000 personnes que leurs données personnelles et de santé avaient été compromises lors d'une violation de sécurité survenue en mai 2024, touchant sa filiale ConnectOnCall. Cette plateforme de télésanté, acquise en octobre 2023, a subi une intrusion entre le 16 février et le 12 mai 2024, permettant à un tiers non identifié d'accéder à des informations sensibles, y compris des communications entre patients et prestataires de soins. Après avoir découvert la violation, Phreesia a alerté les autorités fédérales et engagé des spécialistes en cybersécurité pour évaluer l'impact. La société a également suspendu ConnectOnCall pour renforcer la sécurité de ses systèmes. Les données exposées comprennent des noms, numéros de téléphone, numéros de dossiers médicaux, dates de naissance, ainsi que des informations sur des conditions de santé et traitements. Bien que Phreesia ait assuré que ses autres services n'étaient pas affectés, elle a conseillé aux personnes concernées de surveiller d'éventuels vols d'identité. Aucune preuve de mauvaise utilisation des données n'a été trouvée jusqu'à présent.
Sources :
Rhode Island confirme une violation de données après l'attaque du ransomware Brain Cipher
Rhode Island a confirmé une violation de données suite à une attaque par ransomware du groupe Brain Cipher, affectant son système RIBridges, géré par Deloitte. Ce système intégré gère divers programmes d'assistance publique. L'incident, découvert le 5 décembre 2024, a révélé que des fichiers contenant des informations personnelles identifiables avaient probablement été volés. Le 13 décembre, Deloitte a informé l'État d'une menace de sécurité majeure, entraînant la mise hors ligne du système pour remédier à la situation. Les citoyens ne peuvent donc plus accéder à leurs comptes en ligne ou via l'application mobile. Les programmes touchés incluent Medicaid, SNAP, TANF, et d'autres services d'assistance. Bien que les données exposées soient encore en évaluation, elles pourraient inclure des noms, adresses, dates de naissance, numéros de sécurité sociale et informations bancaires. Les ménages concernés recevront une lettre d'information et peuvent contacter un centre d'appel dédié. Les autorités recommandent de réinitialiser les mots de passe et de mettre en place des alertes de fraude. Deloitte a confirmé que RIBridges est le système client affecté par cette attaque, et une enquête est en cours en collaboration avec les autorités.
Sources :
L’ère des DDoS automatisés : enjeux et défenses
L’équipe ASERT de NETSCOUT met en lumière l'importance croissante de l'automatisation dans les services de DDoS à la demande, qui facilite des attaques plus fréquentes et sophistiquées avec peu d'intervention humaine. Les cybercriminels peuvent désormais planifier des attaques sur mesure en quelques minutes, adaptant leurs stratégies en temps réel pour contourner les défenses des cibles. Les fonctionnalités automatisées incluent la planification d'attaques à des moments stratégiques, l'ajustement dynamique des paramètres d'attaque et la mise en place de campagnes répétitives, ce qui exerce une pression continue sur les systèmes ciblés. Cette automatisation a un impact significatif sur la cybersécurité, entraînant des attaques prolongées qui épuisent les ressources et compliquent la réponse des défenseurs. Des études de cas montrent l'efficacité de ces méthodes, notamment lors d'attaques combinant différentes couches de trafic. Pour contrer ces menaces, il est essentiel d'adopter une approche proactive, en utilisant des outils de surveillance avancés, des solutions d'atténuation adaptatives intégrant le machine learning, et en renforçant les défenses pour assurer la résilience face à des incidents prolongés.
