Un hacker exploite une faille de l’anticheat Ricochet d’Activision pour bannir des joueurs - Actus du 08/11/2024
Découvrez la méthode 3-2-1 pour sécuriser vos données, comment un hacker a exploité l'anticheat Ricochet d'Activision pour bannir des joueurs, et les dangers du malware AndroxGh0st associé au botnet Mozi ciblant IoT et Cloud. Protégez-vous efficacement!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Maîtriser l'approche de sauvegarde 3-2-1 : ce que c'est et pourquoi cela fonctionne
La méthode de sauvegarde 3-2-1 est une pratique éprouvée en matière de protection des données, alliant simplicité et efficacité. Elle repose sur trois principes fondamentaux : conserver trois copies de ses données, utiliser deux types de supports de stockage différents et garder une copie hors site. Cette approche garantit une redondance essentielle pour protéger des données irremplaçables, réduisant ainsi le risque de perte totale en cas de défaillance d'une méthode de sauvegarde. En diversifiant les supports, comme les disques durs externes et le stockage en cloud, on minimise les risques liés à un incident unique. La méthode 3-2-1 est adaptable à divers scénarios, que ce soit pour un usage personnel ou professionnel, et permet de préserver les actifs numériques selon des besoins spécifiques. Pour maintenir ce système, il est crucial de le considérer comme un processus continu, avec des options de sauvegarde programmées. Des conseils pratiques incluent l'utilisation de la versioning pour conserver plusieurs copies d'un fichier et la surveillance des nouvelles menaces, comme les ransomwares. En somme, la stratégie 3-2-1 est une solution fiable pour sécuriser vos données contre divers aléas.
Sources :
Un hacker exploite une faille de l’anticheat Ricochet d’Activision pour bannir des joueurs
Un hacker, connu sous le nom de Vizor, a récemment révélé avoir exploité une vulnérabilité dans le système anticheat Ricochet d'Activision, permettant de bannir des milliers de joueurs de Call of Duty. Dans une interview avec TechCrunch, il a expliqué avoir découvert une méthode originale pour tirer parti de cette faille, qui aurait pu rester inaperçue pendant des années. Ricochet, lancé en 2021, fonctionne au niveau du noyau pour contrer les logiciels de triche, mais Vizor a trouvé un moyen de retourner ce système contre des joueurs honnêtes. Il a identifié des chaînes de caractères préprogrammées dans le code de Ricochet, incluant des signatures pour détecter les tricheurs, comme « Trigger Bot ». En envoyant ces chaînes codées en message privé à d'autres joueurs, il pouvait provoquer leur bannissement automatique. Cette situation soulève des inquiétudes quant à l'efficacité du système anticheat d'Activision, qui avait déjà été critiqué pour ses mises à jour controversées, comme celle induisant des hallucinations chez les tricheurs. L'incident met en lumière les défis persistants dans la lutte contre la triche dans les jeux en ligne, malgré les efforts des développeurs.
Sources :
Le logiciel malveillant AndroxGh0st intègre le botnet Mozi pour cibler les services IoT et Cloud
Les acteurs de la menace derrière le malware AndroxGh0st exploitent désormais un ensemble élargi de vulnérabilités affectant diverses applications accessibles sur Internet, tout en déployant le malware de botnet Mozi. Selon un rapport de CloudSEK, AndroxGh0st, un outil d'attaque basé sur Python, cible principalement les applications Laravel pour accéder à des données sensibles liées à des services comme AWS, SendGrid et Twilio. Actif depuis 2022, il a utilisé des failles dans des serveurs web et des frameworks pour obtenir un accès initial et maintenir un contrôle persistant sur les systèmes compromis. En mars, des agences de cybersécurité américaines ont signalé que ce malware était utilisé pour créer un botnet afin d'identifier et d'exploiter des victimes. L'analyse récente montre une expansion stratégique des cibles, exploitant des vulnérabilités variées, notamment dans des dispositifs Cisco et des routeurs Dasan GPON. De plus, AndroxGh0st intègre des fonctionnalités de Mozi, permettant une propagation accrue vers des appareils IoT. Cette intégration suggère une alliance opérationnelle entre les deux botnets, facilitant le contrôle d'un plus grand nombre de dispositifs et renforçant l'efficacité de leurs opérations combinées.
Sources :
4 à 6 ans de prison pour les pirates de ReVIL
Le tribunal militaire de Saint-Pétersbourg a condamné quatre membres du groupe de ransomwares REvil à des peines de 4 à 6 ans de prison pour des activités illégales liées à la circulation d'argent et à l'utilisation de logiciels malveillants. Artem Zaets et Alexeï Malozemov ont écopé de 4,5 et 5 ans, tandis que Daniil Puzyrevsky et Ruslan Khansvyarov ont été condamnés à 5,5 et 6 ans respectivement. Ces individus sont liés à des cyberattaques contre des entreprises américaines de haute technologie, telles que Quanta Computer et Colonial Pipeline, révélées après une coopération entre les forces de l'ordre américaines et russes. Bien que 14 personnes aient été arrêtées, seules huit ont été jugées. Une nouvelle affaire a été ouverte contre quatre autres accusés pour accès illégal à des informations informatiques. Les prévenus, arrêtés depuis 2022, n'ont pas reconnu leur culpabilité, et leur défense a contesté le manque de preuves. Des ordinateurs contenant des données de cartes bancaires ont été saisis, mais l'enquête n'a pas établi de lien avec des institutions financières spécifiques. Les arrestations ont eu lieu après un appel du président Biden à Poutine pour stopper les cybercriminels de REvil.
Sources :
DDoS : la police stoppe la plateforme Dstat et arrête deux suspects
Les forces de l’ordre ont récemment arrêté deux suspects et saisi la plateforme Dstat, utilisée pour surveiller les attaques DDoS, dans le cadre de l’opération internationale PowerOFF. Cette opération vise à démanteler des plateformes d’attaque DDoS, également appelées « booters » ou « stressers », qui nuisent aux services en ligne et aux infrastructures critiques. Bien que Dstat n’ait pas directement mené d’attaques, elle a facilité leur organisation et comptait une chaîne Telegram avec 6 600 membres, où des discussions et publicités pour des services DDoS étaient fréquentes. Les suspects, âgés de 19 et 28 ans, sont également liés à un marché illégal de drogues synthétiques, Flight RCS. L’opération a été coordonnée par l’Office central de lutte contre la cybercriminalité de Francfort, en collaboration avec la police de l’État de Hesse et le BKA, avec l’appui de la police française. Selon le BKA, Dstat a permis à des utilisateurs sans compétences techniques de réaliser des attaques, perturbant ainsi les services en ligne. Cette action souligne l'engagement des autorités dans la lutte contre la cybercriminalité et la protection des infrastructures numériques.
Sources :
Netflix, Mario Bros : ces fausses pubs Facebook contiennent un logiciel voleur de mot de passe
Depuis plus d'un mois, Facebook est la cible d'une campagne de « malwaretising » détectée par BitDefender, où des publicités détournées diffusent un logiciel malveillant nommé SYS01stealer. Ce programme, conçu pour voler des données personnelles, exfiltre des cookies, l'historique de navigation et des identifiants de connexion, permettant aux cybercriminels de prendre le contrôle de comptes Facebook. Ces comptes compromis peuvent ensuite être utilisés pour promouvoir d'autres publicités malveillantes, élargissant ainsi la portée de la campagne sans nécessiter de nouveaux comptes. Les publicités trompeuses, souvent liées à des thèmes populaires comme des jeux vidéo ou des services de streaming, redirigent les victimes vers des sites clones où elles sont incitées à télécharger des fichiers malveillants. BitDefender souligne que le malware utilise des techniques sophistiquées pour éviter la détection par les outils de cybersécurité. Pour se protéger, il est conseillé d'activer la double authentification sur les réseaux sociaux et de rester vigilant face aux clics sur des contenus sponsorisés. Cette situation met en lumière l'importance de la cybersécurité et de la sensibilisation des utilisateurs face aux menaces en ligne.
Sources :
Les mystérieux liens « search.app » de Google inquiètent les utilisateurs d'Android
Récemment, Google a déployé une mise à jour de son application Android, introduisant un comportement surprenant : les liens partagés depuis le navigateur intégré de l'application sont désormais précédés du domaine "search.app". Cette modification a suscité des inquiétudes parmi les utilisateurs, qui se sont demandé si cela représentait une nouvelle fonctionnalité ou un problème de sécurité. En effet, les liens partagés sur des réseaux sociaux comme X et Facebook affichent également ce domaine. Selon BleepingComputer, cette redirection pourrait permettre à Google de collecter des données analytiques tout en protégeant les utilisateurs contre des sites malveillants. Cependant, le manque de documentation officielle concernant ce domaine soulève des questions sur sa sécurité et son fonctionnement. De plus, le certificat SSL de "search.app" est associé à de nombreux autres domaines, ce qui complique encore la situation. Bien que les redirections semblent sûres pour l'instant, l'absence d'explications claires pourrait inquiéter davantage les utilisateurs, qui pourraient craindre que leur appareil soit compromis. Cette initiative pourrait être perçue comme une tentative de Google d'imiter des fonctionnalités similaires à celles d'Apple News, qui utilise également des redirections pour ses liens.
Sources :
IcePeony et Transparent Tribe ciblent les entités indiennes avec des outils basés sur le cloud
Des entités de haut niveau en Inde sont ciblées par des campagnes malveillantes orchestrées par le groupe Transparent Tribe, basé au Pakistan, et un groupe d'espionnage cybernétique chinois inconnu nommé IcePeony. Transparent Tribe utilise un malware appelé ElizaRAT, un outil d'accès à distance, et un nouveau payload nommé ApoloStealer, visant des victimes spécifiques. ElizaRAT abuse de services cloud comme Telegram et Google Drive pour les communications de commandement. Actif depuis 2013, ce groupe a intensifié ses attaques contre les secteurs gouvernementaux indiens, notamment en ciblant des machines Linux en raison de l'utilisation d'un fork d'Ubuntu par le gouvernement. Les infections sont souvent initiées par des fichiers CPL distribués via des techniques de spear-phishing. Parallèlement, IcePeony a ciblé des agences gouvernementales et des institutions académiques en Inde, à Maurice et au Vietnam, utilisant des techniques comme l'injection SQL et des web shells. Leur arsenal comprend IceCache, un outil visant les serveurs IIS, et un backdoor passif nommé IceEvent. Les chercheurs notent que ces attaques semblent être menées de manière organisée, avec une activité régulière six jours par semaine.
Sources :
Opération Synergia II : 41 pirates arrêtés, plus de 1000 serveurs saisis
L'opération Synergia II, menée par Interpol entre avril et août 2024, a abouti à l'arrestation de 41 pirates informatiques et à la saisie de 1037 serveurs liés à des activités cybercriminelles dans 95 pays. Cette initiative visait à combattre des menaces telles que les ransomwares, le phishing et le vol de données, en ciblant particulièrement cinq pays : Hong Kong, Mongolie, Macao, Madagascar et Estonie. Des entreprises privées ont joué un rôle clé en fournissant des informations sur plus de 30 000 adresses IP suspectes. L'opération a révélé une augmentation de l'utilisation de l'intelligence artificielle dans les attaques de phishing et une hausse de 70 % des logiciels de vol de données, soulignant la complexité croissante des cybermenaces. Parallèlement, l'opération Delilah, lancée en 2022, avait déjà ciblé le groupe de compromission de messagerie électronique SilverTerrier, dont les activités remontent à 2015. Cette opération avait également mobilisé des agences policières sur quatre continents et conduit à l'arrestation de plusieurs membres, dont le chef du syndicat, en mai 2021. Ces efforts illustrent la nécessité d'une coopération internationale renforcée pour lutter contre la cybercriminalité.
Sources :
Académie vCISO : transformer les MSP et MSSP en puissances de la cybersécurité
La demande croissante de cybersécurité robuste face à l'augmentation des cybermenaces pousse les petites et moyennes entreprises (PME) à rechercher des solutions adaptées, notamment en raison de leur vulnérabilité face aux cyberattaques. Souvent, ces entreprises ne peuvent pas se permettre un directeur de la sécurité des informations à temps plein, ce qui favorise l'émergence du modèle de Chief Information Security Officer virtuel (vCISO). Pour répondre à ce besoin, l'Académie vCISO a été créée, offrant une plateforme d'apprentissage gratuite destinée aux fournisseurs de services. Cette académie vise à doter les prestataires de services gérés (MSP) et de services de sécurité gérés (MSSP) des compétences nécessaires pour développer leurs offres de vCISO, tout en renforçant la résilience en cybersécurité de leurs clients. Les cours, élaborés par des experts du secteur, couvrent des domaines essentiels tels que l'évaluation des risques et la stratégie de cybersécurité. L'apprentissage est flexible et interactif, permettant aux professionnels de progresser à leur rythme. En intégrant des services de vCISO, les MSP et MSSP peuvent non seulement diversifier leurs revenus, mais aussi renforcer leurs relations avec les clients, garantissant ainsi un leadership en cybersécurité pour toutes les entreprises.
Sources :
Des packages NPM malveillants ciblent les utilisateurs de Roblox avec des logiciels malveillants de vol de données
Une nouvelle campagne a ciblé le dépôt de paquets npm avec des bibliothèques JavaScript malveillantes visant à infecter les utilisateurs de Roblox avec des malwares voleurs open-source tels que Skuld et Blank-Grabber. Kirill Boychenko, chercheur en sécurité chez Socket, souligne la facilité avec laquelle les acteurs malveillants peuvent lancer des attaques de chaîne d'approvisionnement en exploitant la confiance et l'erreur humaine dans l'écosystème open-source. Quatre paquets malveillants ont été identifiés : node-dlls, ro.dll, autoadv et rolimons-api, ce dernier tentant de se faire passer pour une API légitime. Ces paquets contiennent du code obfusqué qui télécharge et exécute des malwares capables de collecter diverses informations sur les systèmes infectés, exfiltrées via des webhooks Discord ou Telegram. Les malwares sont récupérés depuis un dépôt GitHub contrôlé par l'attaquant. La popularité croissante de Roblox incite les acteurs malveillants à cibler les développeurs et utilisateurs avec des paquets trompeurs. Les développeurs sont donc conseillés de vérifier les noms de paquets et d'examiner le code source avant de les télécharger, soulignant la nécessité d'une vigilance accrue et de pratiques de sécurité robustes dans un écosystème open-source en expansion.
Sources :
Une vulnérabilité du navigateur Opera pourrait permettre des exploits via des extensions de navigateur
Une vulnérabilité de sécurité sérieuse a été découverte dans le navigateur Opera, permettant à des extensions malveillantes d'accéder à des API privées et d'exécuter des activités nuisibles telles que la capture d'écran silencieuse et le détournement de navigateur. Selon Guardio Labs, cette faille, nommée "CrossBarking", peut être exploitée en créant une extension malveillante, rendant les utilisateurs vulnérables à des attaques via des magasins d'extensions tiers. Les chercheurs ont démontré que l'extension pouvait être développée facilement, soulignant la facilité d'exploitation de la faille. Bien que cette vulnérabilité soit préoccupante, Opera a publié une mise à jour de sécurité le 24 septembre 2024 pour corriger le problème, tout en affirmant qu'aucune menace active n'avait été détectée. Opera a précisé que les extensions provenant de son propre magasin d'add-ons subissent un examen manuel rigoureux, réduisant ainsi les risques. Les utilisateurs sont cependant avertis de ne pas installer d'extensions provenant de sources non fiables. En résumé, bien que la vulnérabilité ait été sérieuse, Opera a pris des mesures pour protéger ses utilisateurs et n'a trouvé aucune preuve d'exploitation active de cette faille.
Sources :
Webinaire : Découvrez comment la narration peut rendre la formation à la cybersécurité amusante et efficace
La formation traditionnelle en cybersécurité est souvent perçue comme ennuyeuse et rapidement oubliée. Huntress Managed Security Awareness Training (SAT) propose une approche innovante en intégrant le storytelling, rendant la formation mémorable et engageante. Les histoires aident à comprendre et à retenir des informations complexes, ce qui est crucial pour la sensibilisation à la cybersécurité. Dans le cadre d'un webinaire intitulé "Storytime with Huntress Managed Security Awareness Training", des experts de l'industrie, Dima Kumets et James O'Leary, expliqueront comment le storytelling peut transformer la formation en cybersécurité. Ils aborderont les raisons pour lesquelles cette méthode fonctionne, les avantages d'une solution gérée et des outils innovants pour améliorer l'engagement, tels que le coaching contre le phishing et la gamification. Ce webinaire vise à montrer comment une formation efficace peut renforcer la culture de sécurité au sein des équipes. En participant, les responsables de la formation découvriront des moyens de rendre l'apprentissage à la fois agréable et pratique. Inscrivez-vous dès maintenant pour découvrir comment Huntress SAT peut transformer la sensibilisation à la sécurité en une expérience inoubliable.
Sources :
Le nouveau malware CRON#TRAP infecte Windows en se cachant dans une machine virtuelle Linux pour échapper aux antivirus
Des chercheurs en cybersécurité ont identifié une nouvelle campagne de malware, nommée CRON#TRAP, qui infecte les systèmes Windows en utilisant une instance virtuelle Linux contenant une porte dérobée permettant un accès à distance. Cette campagne débute par un fichier de raccourci Windows malveillant (LNK), souvent distribué via un e-mail de phishing sous forme d'archive ZIP. Selon les chercheurs de Securonix, l'instance Linux émulée est préconfigurée pour se connecter automatiquement à un serveur de commande et de contrôle (C2) contrôlé par l'attaquant, rendant la détection difficile pour les solutions antivirus traditionnelles. Les messages de phishing se présentent comme une enquête "OneAmerica" et contiennent une archive de 285 Mo qui, une fois ouverte, déclenche le processus d'infection. Le fichier LNK extrait et lance un environnement Linux léger via Quick Emulator (QEMU), exécutant des commandes PowerShell pour masquer l'activité malveillante. Ce développement illustre l'évolution constante des tactiques des acteurs de la menace, qui ciblent des secteurs spécifiques, notamment en Europe, avec des campagnes de spear-phishing pour livrer des malwares tels que GuLoader. Cela souligne l'importance de mesures de sécurité proactives.
Sources :
La CISA alerte sur l'exploitation active d'une vulnérabilité critique de Palo Alto Networks
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajouté une vulnérabilité critique, désormais corrigée, affectant l'outil Palo Alto Networks Expedition à son catalogue des vulnérabilités exploitées (KEV), en raison de preuves d'exploitation active. Cette vulnérabilité, identifiée comme CVE-2024-5910 (score CVSS : 9,3), concerne un manque d'authentification dans l'outil de migration d'Expedition, permettant à un attaquant ayant accès au réseau de prendre le contrôle d'un compte administrateur. Toutes les versions d'Expedition antérieures à la version 1.2.92, publiée en juillet 2024, sont concernées. Bien qu'aucun rapport concret sur l'exploitation de cette vulnérabilité dans des attaques réelles ne soit disponible, Palo Alto Networks a reconnu des rapports de CISA sur une exploitation active. Deux autres vulnérabilités ont également été ajoutées au catalogue, dont une dans le composant Android Framework (CVE-2024-43093) et une autre affectant CyberPanel (CVE-2024-51567), qui permet à un attaquant distant non authentifié d'exécuter des commandes en tant que root. Les agences fédérales sont invitées à remédier à ces vulnérabilités d'ici le 28 novembre 2024 pour protéger leurs réseaux.
Sources :
Des pirates informatiques nord-coréens utilisent un nouveau malware macOS contre des entreprises de crypto-monnaie
Des hackers nord-coréens, connus sous le nom de BlueNoroff, ciblent les entreprises liées aux cryptomonnaies avec un nouveau malware multi-étapes pour macOS, baptisé "Hidden Risk". Cette campagne utilise des emails de phishing contenant de fausses nouvelles sur le secteur des cryptomonnaies, prétendument partagées par des influenceurs pour crédibiliser l'escroquerie. Le malware exploite un mécanisme de persistance inédit sur macOS, échappant à la détection des dernières versions du système. Les attaques commencent par un lien vers un domaine contrôlé par les hackers, qui peut rediriger vers un document PDF inoffensif ou vers une application malveillante. Le premier stade de l'infection utilise un "dropper" signé avec un identifiant de développeur Apple valide, maintenant révoqué. Une fois exécuté, il télécharge un PDF de distraction tout en récupérant le payload suivant. Ce dernier modifie le fichier de configuration ".zshenv" pour assurer sa persistance, contournant les systèmes de détection d'Apple. Le malware établit ensuite une connexion avec un serveur de commande et contrôle, vérifiant les nouvelles instructions toutes les 60 secondes. Cette campagne est active depuis environ un an, montrant l'ingéniosité des hackers dans l'exploitation des failles de sécurité.
Sources :
La CISA met en garde contre un bug critique de Palo Alto Networks exploité dans des attaques
Le 7 novembre 2024, la CISA a averti que des attaquants exploitent une vulnérabilité critique d'authentification manquante dans Palo Alto Networks Expedition, un outil de migration pour les configurations de pare-feu. Cette faille, identifiée comme CVE-2024-5910, permet aux acteurs malveillants de réinitialiser les identifiants d'administrateur sur des serveurs Expedition exposés à Internet. Bien que cette vulnérabilité ait été corrigée en juillet, des chercheurs ont publié un exploit de preuve de concept en octobre, permettant de combiner cette faille avec une autre vulnérabilité (CVE-2024-9464) pour exécuter des commandes arbitraires sans authentification. La CISA a conseillé aux administrateurs de restreindre l'accès réseau à Expedition et de faire tourner tous les identifiants après la mise à jour. Les agences fédérales américaines doivent sécuriser leurs serveurs Expedition vulnérables d'ici le 28 novembre, conformément à une directive opérationnelle. Palo Alto Networks n'a pas encore mis à jour son avis de sécurité concernant les attaques en cours. La CISA a ajouté cette vulnérabilité à son catalogue des vulnérabilités connues exploitées, soulignant les risques significatifs qu'elle représente pour les entreprises fédérales.
Sources :
Nokia affirme que des pirates ont divulgué le code source d'une application tierce
Nokia a récemment confirmé qu'un code source divulgué sur un forum de hackers appartient à un tiers et que les données de l'entreprise ainsi que celles de ses clients n'ont pas été compromises. Cette déclaration fait suite à des allégations de l'acteur malveillant IntelBroker, qui a prétendu avoir volé des données de Nokia après avoir pénétré le serveur d'un fournisseur tiers. Bien que le hacker ait tenté de vendre ces données, comprenant des clés SSH, des identifiants BitBucket et d'autres informations sensibles, il a finalement choisi de les divulguer après que Nokia ait nié toute violation de ses systèmes. Selon Nokia, l'enquête a révélé qu'il s'agissait d'une faille de sécurité chez un fournisseur tiers, liée à une application logicielle personnalisée. La société a précisé qu'aucune preuve n'indique que ses systèmes ou données aient été affectés, et que les clients ne sont pas en danger. Le code source divulgué concerne une application développée par un tiers, conçue pour fonctionner uniquement sur le réseau d'un client de Nokia, sans inclure de code de Nokia. Malgré l'absence de risques, Nokia continue de surveiller la situation de près.
Sources :
Le Canada ordonne la fermeture de TikTok en raison de risques nationaux
Le gouvernement canadien a ordonné la dissolution de TikTok Technology Canada en raison de préoccupations liées à la sécurité nationale, après une revue approfondie qui a révélé des risques potentiels associés aux opérations de ByteDance Ltd. au Canada. Bien que les détails spécifiques des risques n'aient pas été divulgués, la décision a été prise en consultation avec les agences de sécurité et de renseignement du pays. Le ministre de l'Innovation, François-Philippe Champagne, a précisé que cette mesure ne bloquait pas l'accès des Canadiens à l'application TikTok, qui continuera d'être disponible pour les créateurs et les entreprises. TikTok a exprimé son désaccord avec cette décision et a annoncé son intention de contester légalement l'ordre, soulignant que la fermeture de ses bureaux canadiens entraînerait la perte de nombreux emplois bien rémunérés. Parallèlement, le gouvernement a encouragé les utilisateurs à examiner les politiques de confidentialité des applications et à prendre des précautions concernant leurs données personnelles. Malgré cette situation, le Canada reste ouvert à l'investissement étranger, tout en affirmant qu'il agira lorsque la sécurité nationale est en jeu.
