Un malware Android utilise .net Maui pour échapper à la détection - Actus du 25/03/2025
Découvrez comment un malware Android utilise .NET MAUI pour passer sous les radars, l'analyse de 200 domaines C2 liés à Raspberry Robin, et les dangers d'un faux mail de hacker visant les abonnés Disney+. Protégez-vous avec nos conseils experts !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Le nouveau malware Android utilise .net Maui de Microsoft pour échapper à la détection
De nouvelles campagnes de malware sur Android exploitent le framework multiplateforme .NET MAUI de Microsoft pour se camoufler en services légitimes et échapper à la détection. Cette tactique, observée par l'équipe de recherche mobile de McAfee, cible principalement des utilisateurs en Chine et en Inde, mais pourrait s'étendre à d'autres régions. .NET MAUI, lancé en 2022, permet de développer des applications Android en C# avec une logique stockée dans des fichiers binaires, rendant difficile la détection par les outils de sécurité qui se concentrent sur les fichiers DEX. Les cybercriminels utilisent également des techniques d'évasion avancées, telles que le chiffrement multi-couches et l'exécution par étapes, rendant l'analyse et la détection encore plus complexes. McAfee a identifié plusieurs APK malveillants, y compris des applications bancaires et de réseaux sociaux, qui volent des données sensibles. Ces applications sont souvent distribuées via des sites tiers, surtout dans les régions où Google Play est inaccessible. Pour se protéger, il est conseillé d'éviter de télécharger des APK de sources non fiables et de s'assurer que Google Play Protect est activé sur les appareils. La découverte de variantes utilisant ces techniques suggère une augmentation de ce type de malware.
Sources :
Les chercheurs découvrent ~ 200 domaines C2 uniques liés à Raspberry Robin Access Broker
Une nouvelle enquête a révélé près de 200 domaines de commande et de contrôle (C2) associés à un malware nommé Raspberry Robin, également connu sous les noms de Roshtyak ou Storm-0856. Ce malware, apparu en 2019, agit comme un courtier d'accès initial (IAB) pour divers groupes criminels, souvent liés à la Russie. Raspberry Robin a servi de vecteur pour plusieurs malwares tels que SocGholish, Dridex et LockBit, et est également désigné comme un ver QNAP en raison de l'utilisation de dispositifs QNAP compromis pour récupérer ses charges utiles. Les chaînes d'attaque de Raspberry Robin ont évolué, intégrant des méthodes de distribution via des fichiers d'archives et des scripts Windows envoyés par Discord. Des preuves suggèrent que ce malware est proposé comme un botnet pay-per-install (PPI). De plus, il utilise un mécanisme de propagation par USB, activé par un fichier de raccourci Windows déguisé. Le gouvernement américain a indiqué que le groupe de menaces d'État russe Cadet Blizzard pourrait avoir utilisé Raspberry Robin pour faciliter l'accès initial. L'analyse de Silent Push et Team Cymru a identifié un IP servant de relais de données, menant à la découverte de plus de 180 domaines C2, souvent enregistrés auprès de registraires de niche.
Sources :
Abonnées de Disney+ : attention à ce faux mail de hacker imitant le service de streaming
Une nouvelle campagne de phishing vise les abonnés de Disney+, alertant les utilisateurs d'un prétendu abonnement expiré. Les cybercriminels, se faisant passer pour Disney, incitent les victimes à fournir leurs informations de paiement via un e-mail reçu le 24 mars. Ce message contient un lien frauduleux menant à un site imitant l'interface de Disney+, où les utilisateurs sont invités à entrer leurs identifiants et données bancaires. Ces informations sont ensuite récupérées par les escrocs pour des achats frauduleux ou pour être revendues sur des forums clandestins. Pour éviter de tomber dans le piège, il est conseillé de vérifier l'adresse de l'expéditeur, d'examiner attentivement les liens avant de cliquer, et d'observer le comportement du site. Les utilisateurs doivent se méfier des adresses personnelles suspectes et des sites récents, comme celui utilisé dans cette arnaque, créé en février. En cas de doute, il est recommandé de se connecter directement à son compte via le site officiel plutôt que de suivre des liens douteux. Cette méthode de phishing n'est pas unique à Disney+, touchant également d'autres services comme Amazon Prime et Netflix.
Sources :
Faille Telegram : jusqu’à 4 millions de dollars offerts pour une faille zero-day
ZATAZ a révélé qu'Operation Zero propose jusqu'à 4 millions de dollars pour des exploits permettant de compromettre à la fois un compte Telegram et le système d'exploitation d'un appareil. La société offre également jusqu'à 500 000 dollars pour un exploit one-click, permettant une exécution de code à distance après une simple interaction de l'utilisateur. Cette stratégie place Telegram parmi les cibles prioritaires des courtiers en vulnérabilités en Russie, surtout pour les exploits zero-click, qui contournent les systèmes de sécurité sans alerter l'utilisateur. Selon TechCrunch, cette demande émanerait des autorités russes, cherchant à exploiter Telegram, une plateforme très populaire en Russie et en Ukraine. En réponse, Telegram a affirmé que ces offres témoignent de l'absence de vulnérabilités découvertes jusqu'à présent. Toutefois, des experts en cybersécurité soulignent que même les plateformes réputées pour leur sécurité peuvent être vulnérables aux attaques sophistiquées. Un expert anonyme a noté que les prix proposés pourraient être sous-évalués, suggérant qu'Operation Zero pourrait revendre ces exploits à un prix plus élevé. Dans un contexte géopolitique tendu, le contrôle des communications sur Telegram est un objectif stratégique pour le Kremlin.
Sources :
- https://www.zataz.com/faille-telegram-jusqua-4-millions-de-dollars-offerts-pour-une-faille-zero-day/
Sécurité Cloud-native : quelles solutions techniques pour répondre aux défis opérationnels et réglementaires ?
Les environnements Cloud-natifs, bien qu'offrant une agilité remarquable, sont particulièrement vulnérables aux cyberattaques. Dans cet article, Sergej Epp, CISO de Sysdig, présente des solutions techniques pour renforcer la sécurité de ces environnements. L'automatisation de la sécurité, via des approches « as code », est essentielle pour gérer les risques liés aux erreurs humaines. Les méthodes telles que Policy as Code (PaC) et Compliance as Code (CaC) permettent d'intégrer des règles de sécurité et des exigences réglementaires directement dans les pipelines CI/CD, facilitant ainsi la conformité et la traçabilité. Des outils comme Trivy et Clair sont utilisés pour scanner les images et identifier les vulnérabilités. La génération de Software Bill of Materials (SBOM) est également cruciale pour repérer les dépendances vulnérables, permettant une gestion proactive des risques. De plus, la détection « as code » permet d'automatiser la réponse aux menaces, essentielle pour respecter les délais de notification réglementaires. Enfin, la sécurité des modèles d'IA doit être intégrée dès leur conception pour prévenir les abus. En somme, une approche proactive de la sécurité cloud-native est indispensable pour assurer la résilience organisationnelle face aux menaces croissantes.
Sources :
Comment bien sécuriser votre smartphone ?
La sécurité de votre smartphone est essentielle, car ces appareils contiennent des données personnelles précieuses. Pour protéger vos informations, commencez par utiliser des mots de passe complexes, évitant les combinaisons faciles à deviner. Pensez à la double authentification pour renforcer la sécurité. Évitez de prêter votre téléphone et signalez immédiatement toute perte à votre opérateur et aux autorités. Les réseaux Wi-Fi publics sont risqués ; privilégiez les connexions privées ou utilisez un VPN pour naviguer en toute sécurité. Assurez-vous également de mettre à jour régulièrement votre système d'exploitation, car ces mises à jour corrigent des failles de sécurité. Soyez vigilant face aux tentatives de phishing, où des pirates se font passer pour des entités fiables pour obtenir vos informations. En cas de doute, contactez directement l'organisme concerné. Enfin, sauvegardez vos données sur le cloud ou Google Drive pour éviter toute perte en cas de dommage irréparable de votre appareil. En suivant ces conseils, vous minimiserez les risques de piratage et protégerez vos données personnelles efficacement.
Sources :
Les pirates chinois abritent les télécommunications asiatiques, restent non détectées pendant plus de 4 ans
Un rapport de la société de cybersécurité Sygnia révèle qu'une grande entreprise de télécommunications en Asie a été infiltrée par des hackers soutenus par l'État chinois, qui ont maintenu leur présence dans les systèmes pendant plus de quatre ans. Ce groupe, surnommé Weaver Ant, est décrit comme furtif et persistant, utilisant des web shells et des tunnels pour faciliter l'espionnage cybernétique. L'attaque a commencé par l'exploitation d'une application accessible au public, permettant l'installation de deux web shells, dont une variante cryptée de China Chopper et un nouvel outil malveillant nommé INMemory. Ce dernier exécute du code C# en mémoire, sans laisser de traces. Les web shells ont servi de tremplin pour livrer des charges utiles supplémentaires, notamment un outil de tunnel HTTP pour le mouvement latéral. Weaver Ant a également contourné les détections en patchant des systèmes de traçage et en exécutant des commandes PowerShell de manière discrète. Les méthodes et objectifs de ce groupe correspondent à ceux des groupes d'espionnage cybernétique liés à la Chine. Parallèlement, le ministère chinois de la Sécurité d'État a accusé quatre hackers taïwanais d'attaques cybernétiques contre la Chine, soulignant une escalade des tensions dans le cyberespace.
Sources :
Sécurité SaaS alimentée par AI: suivre le rythme d'une surface d'attaque en expansion
Une étude de 2024 révèle que 49 % des 644 utilisateurs fréquents de Microsoft 365 estiment avoir moins de 10 applications connectées, alors que les données montrent plus de 1 000 connexions SaaS en moyenne par déploiement. Les applications critiques, telles que les outils de CRM et de finance, contiennent des données sensibles, les rendant vulnérables aux attaques. L'IT fantôme et les intégrations tierces ajoutent des failles souvent invisibles, tandis que les fournisseurs SaaS modifient constamment leurs services. Les approches de sécurité traditionnelles ne peuvent pas suivre, laissant les organisations exposées. Des solutions comme AskOmni transforment les questions complexes de sécurité SaaS en réponses claires et exploitables, avec un support multilingue pour faciliter l'interaction des équipes de sécurité. Grâce à l'IA, AskOmni peut détecter des problèmes de configuration, comme un contournement des restrictions IP, et guider les administrateurs dans le processus de remédiation. Cependant, la qualité des données reste un défi majeur, car des informations précises et contextualisées sont souvent difficiles à obtenir. Avec plus de 101 millions d'utilisateurs protégés et 2 milliards d'événements de sécurité traités quotidiennement, AppOmni offre une visibilité approfondie et des insights exploitables pour renforcer la sécurité des environnements SaaS.
Sources :
Snowflake : un Canadien extradé vers les États-Unis pour une série de cyberattaques
Connor Moucka, un Canadien de 26 ans, a été extradé vers les États-Unis après avoir été inculpé de 20 chefs d'accusation liés à une série de cyberattaques contre 165 clients de Snowflake, une entreprise de cloud. Arrêté le 30 octobre 2024 à Kitchener, Ontario, il a accepté son extradition pour faire face à des accusations de fraude informatique, accès illégal à des systèmes protégés, et extorsion, entre autres. Les attaques, qui ont compromis des millions de données sensibles, ont ciblé des entreprises majeures comme AT&T et Ticketmaster, entraînant des pertes de 2,5 millions de dollars en cryptomonnaie. Moucka, connu sous divers pseudonymes, a collaboré avec d'autres cybercriminels, dont John Binns et Cameron Wagenius, pour orchestrer ces attaques. Les procureurs américains soulignent que ce groupe criminel a utilisé des méthodes sophistiquées, combinant piratage, extorsion et revente de données. Bien que Snowflake n'ait pas été directement visé, ses clients ont subi des violations graves de leurs données. L'affaire met en lumière l'ampleur croissante des cybermenaces et la nécessité de renforcer la sécurité des données dans le cloud.
Sources :
Un piratage génétique embarrassant pour le Kremlin
Un piratage informatique a révélé des informations génétiques embarrassantes sur Mikhaïl Poutine, cousin de Vladimir Poutine, suscitant des interrogations sur les origines familiales du président russe. L'analyse génétique a identifié l'haplogroupe E-V13 de Mikhaïl, commun dans les Balkans, notamment au Kosovo, ce qui pourrait indiquer que Vladimir partage également cet héritage. Cette découverte remet en question la narration officielle du Kremlin sur les racines russes de Poutine, d'autant plus qu'un parallèle historique a été établi avec Adolf Hitler, qui aurait également appartenu à cet haplogroupe. En outre, des données médicales sensibles ont été divulguées, révélant une prédisposition au cancer de la prostate, suggérant une vulnérabilité héréditaire pour le président. Ce piratage soulève des préoccupations quant à la sécurité informatique au sein du Kremlin, laissant craindre que d'autres informations sensibles puissent être compromises. La Russie, qui cherche à renforcer son influence dans les Balkans, pourrait faire face à des répercussions politiques si l'ascendance de Poutine avec la population kosovare était confirmée. Face à ces révélations, le Kremlin a choisi de garder le silence, une stratégie habituelle pour contrôler l'image du président.
Sources :
Un ex-entraîneur de football américain accusé de piratage massif de données universitaires
Matthew Weiss, ancien entraîneur adjoint de football à l'université du Michigan, a été inculpé pour avoir piraté les bases de données d'athlètes de plus de 100 universités américaines, accédant aux informations médicales d'environ 150 000 personnes. Entre 2015 et janvier 2023, il aurait illégalement téléchargé des données personnelles et médicales, ciblant principalement des sportives universitaires pour obtenir des photos et vidéos privées. Weiss, 42 ans, a utilisé des techniques de piratage pour compromettre les mots de passe de 150 comptes administrateurs sur la plateforme Keffer Development Services, exploitant des failles dans les processus d'authentification. Il a également accédé aux comptes de médias sociaux et de messagerie de plus de 2 000 athlètes, dont 1 300 étaient des étudiants ou anciens élèves. L'acte d'accusation mentionne 14 chefs d'accusation pour accès non autorisé à des ordinateurs et 10 pour usurpation d'identité aggravée, avec des peines maximales de cinq ans et deux ans respectivement. L'université du Michigan, qui a licencié Weiss en janvier 2023, n'a pas commenté l'inculpation, mais avait précédemment signalé des activités frauduleuses liées à des accès non autorisés à des comptes universitaires.
Sources :
Les pirates utilisent .net Maui pour cibler les utilisateurs indiens et chinois avec de fausses banques, des applications sociales
Des chercheurs en cybersécurité mettent en lumière une campagne de malware Android exploitant le framework .NET Multi-platform App UI (.NET MAUI) de Microsoft pour créer de fausses applications bancaires et de médias sociaux ciblant des utilisateurs indiens et sinophones. Ces menaces se déguisent en applications légitimes pour voler des informations sensibles, selon Dexter Shin de McAfee Labs. .NET MAUI, qui remplace Xamarin, permet de créer des applications multiplateformes avec un code source spécifique à chaque plateforme. Bien que des malwares utilisant Xamarin aient été détectés auparavant, cette nouvelle évolution montre que les acteurs malveillants s'adaptent en développant des malwares avec .NET MAUI. Les applications, regroupées sous le nom de code FakeApp, contiennent des fonctionnalités écrites en C# et stockées sous forme de binaires blob, ce qui complique leur détection. Ces applications ne semblent pas être distribuées via Google Play, mais plutôt via des liens trompeurs envoyés par des applications de messagerie. Elles collectent des données sensibles, comme des informations personnelles et des identifiants gouvernementaux, et utilisent des techniques avancées pour rester indétectées, notamment le chargement dynamique multi-étapes et des permissions inutiles dans le fichier AndroidManifest.xml.
Sources :
Une faille 0-Click dans WhatsApp exploitée pour installer le logiciel espion Graphite
Une faille critique 0-Click dans WhatsApp, récemment corrigée par Meta, a permis l'installation du logiciel espion Graphite sans interaction de la victime. Les attaquants ajoutaient leurs cibles à un groupe WhatsApp et envoyaient un fichier PDF malveillant, exploitant la vulnérabilité pour déclencher automatiquement le téléchargement du malware. Graphite pouvait contourner les protections d'Android, accédant à des applications, y compris des messageries chiffrées. Les chercheurs ont identifié un artefact nommé BIGPRETZEL sur les appareils compromis, bien que son absence ne garantisse pas l'absence d'infection, en raison de la fiabilité limitée du système de journalisation d'Android. Cette faille, non enregistrée sous un identifiant CVE, soulève des questions sur des pressions politiques ou économiques, notamment en raison de l'implication présumée de clients gouvernementaux de plusieurs pays. La méthode d'infection via WhatsApp, une plateforme largement utilisée, augmente le potentiel de collecte d'informations sensibles. L'affaire met en lumière la cyberguerre internationale et l'évolution des capacités d'espionnage, plaçant WhatsApp dans une position éthique et juridique délicate. Les experts soulignent l'importance d'une attribution publique des failles pour améliorer la réponse aux menaces similaires.
Sources :
La Russie renforce la pression sur Google : 47 applications VPN menacées de suppression
La Russie intensifie sa pression sur Google en demandant la suppression de 47 applications VPN du Google Play Store, dont le client 1.1.1.1 + WARP de Cloudflare. Roskomnadzor, l'agence de régulation des communications, justifie ces demandes par la présence de contenus jugés « interdits », notamment des informations sur le contournement des restrictions d'accès en ligne. Depuis le début du conflit en Ukraine, le Kremlin a renforcé les mesures de contrôle de l'information, et l'usage des VPN a explosé en Russie. Les cinq applications VPN les plus populaires sont parmi celles ciblées. La technologie TLS ECH, introduite par Cloudflare, complique le travail des censeurs en masquant les adresses IP et les noms de sites, rendant le filtrage par Deep Packet Inspection (DPI) moins efficace. Roskomnadzor a recommandé aux plateformes russes d'abandonner Cloudflare, soulignant une volonté de « souveraineté numérique » pour isoler l'infrastructure internet russe. Google doit maintenant décider s'il se plie aux exigences russes, une suppression des applications VPN risquant d'aggraver la fracture numérique entre la Russie et le reste du monde, alors que certains services VPN développent des technologies pour contourner la censure.
Sources :
Oracle Cloud visé par une attaque revendiquée : un pirate affirme avoir volé 6 millions d’enregistrements
Un hacker, connu sous le pseudonyme rose87168, a revendiqué avoir volé 6 millions d'enregistrements à Oracle Cloud, incluant des mots de passe chiffrés et des fichiers JKS. Il a publié des fichiers prétendument volés sur une plateforme criminelle, affirmant avoir compromis les serveurs SSO d'Oracle. Malgré ces allégations, Oracle conteste l'impact de l'attaque, déclarant qu'aucun client n'a été affecté. Le pirate a menacé de vendre les données volées, exigeant une rançon de 100 000 XMR (environ 14 millions d'euros) pour des informations sur la faille exploitée. Il a mentionné que les données concernent des entreprises à l'échelle mondiale et a listé 3 302 sites compromis. Bien qu'il ait affirmé avoir contacté Oracle pour négocier, la société insiste sur le fait qu'aucun système de production n'a été touché. Un expert en cybersécurité a averti que si la vulnérabilité est exploitée, cela pourrait compromettre toutes les instances de connexion SSO d'Oracle Cloud, ce qui serait particulièrement préoccupant en raison de l'accès direct à plusieurs services. Oracle a réaffirmé que les informations publiées ne sont pas liées à ses clients.
Sources :
Des convertisseurs en ligne piégés volent des données personnelles
Des faux convertisseurs de fichiers en ligne sont utilisés par des cybercriminels pour voler des données personnelles et installer des logiciels malveillants. Le FBI a récemment averti que ces services, souvent gratuits et imitant des plateformes légitimes, attirent les utilisateurs en quête de solutions simples. Lorsqu'un fichier est téléchargé, un malware s'installe discrètement sur l'appareil, permettant aux hackers d'accéder à des informations sensibles telles que mots de passe et coordonnées bancaires. Des exemples récents montrent comment des entreprises et des particuliers ont été ciblés, entraînant des pertes financières significatives. Les cybercriminels analysent également les fichiers envoyés pour extraire des données personnelles, qui sont ensuite revendues sur le dark web. Le FBI recommande aux utilisateurs de vérifier la fiabilité des sites avant de télécharger des fichiers, en se méfiant des incohérences dans les noms de domaine et en privilégiant les services reconnus, même payants. La mise à jour régulière des logiciels de sécurité et l'utilisation de gestionnaires de mots de passe sont également conseillées pour limiter les risques. La vigilance est essentielle face à cette menace sophistiquée qui continue d'évoluer.
Sources :
Interpol arrêt 306 suspects, saisit 1 842 appareils en buste de cybercriminalité transfrontalière
Entre novembre 2024 et février 2025, les autorités judiciaires de sept pays africains ont arrêté 306 suspects et saisi 1 842 appareils dans le cadre de l'opération internationale "Red Card", visant à démanteler des réseaux criminels transfrontaliers. INTERPOL a précisé que cette opération ciblait principalement les arnaques liées aux applications de mobile banking, d'investissement et de messagerie. Les pays participants incluent le Bénin, la Côte d'Ivoire, le Nigeria, le Rwanda, l'Afrique du Sud, le Togo et la Zambie. Au Nigeria, 130 personnes, dont 113 étrangers, ont été arrêtées pour fraude en ligne. Certains suspects étaient des victimes de traite des êtres humains. En Afrique du Sud, 40 personnes ont été interpellées, avec la saisie de plus de 1 000 cartes SIM utilisées pour des attaques de phishing par SMS. Au Rwanda, 45 membres d'un réseau criminel ont été arrêtés pour des escroqueries par ingénierie sociale, ayant fraudé plus de 305 000 dollars. INTERPOL a récemment annoncé un partenariat avec le Groupe de la Banque africaine de développement pour lutter contre la corruption et la fraude financière dans la région. Des attaques informatiques ont également été signalées, ciblant des serveurs Windows pour accéder à des données sensibles.
Sources :
« La prudence est la meilleure des protections en ligne » : mythe ou réalité ? [Sponso]
Les hackers utilisent des techniques de plus en plus sophistiquées pour voler des données personnelles. Pour protéger votre vie privée, il est essentiel d'adopter de bonnes pratiques et d'utiliser des outils de cybersécurité adaptés. Avant de fournir des informations en ligne, vérifiez toujours l'URL et soyez vigilant face aux appels et messages suspects. La sécurité de vos comptes en ligne est cruciale ; l'authentification à double facteur est recommandée, bien que peu de personnes l'utilisent. Une étude de 2024 indique qu'un code de sécurité peut prendre jusqu'à sept ans à être déchiffré avec les technologies actuelles. Bitdefender Ultimate Security est une solution efficace, protégeant jusqu'à cinq appareils contre divers menaces. Cette protection est particulièrement importante lors de voyages à l'étranger, où les réseaux Wi-Fi publics peuvent être vulnérables aux attaques de type « man in the middle ». Pour sécuriser votre connexion, un VPN est une option recommandée. Bitdefender Ultimate Security propose un VPN illimité dans son offre, à un tarif réduit. En somme, la vigilance et des outils adéquats sont essentiels pour préserver vos données personnelles face aux cybermenaces croissantes.
Sources :
23andMe dossiers pour la faillite, les clients ont conseillé de supprimer les données ADN
La société californienne 23andMe, spécialisée dans les tests ADN, a déposé le bilan sous le chapitre 11 et prévoit de vendre ses actifs après des années de difficultés financières. Depuis son lancement en 2007, elle a vendu plus de 15 millions de kits de test ADN. Malgré la faillite, 23andMe assure qu'elle continuera à protéger les données de ses clients. Cependant, des experts en confidentialité s'inquiètent que les données génétiques accumulées puissent tomber entre de mauvaises mains lors de la vente. En réponse, le bureau du procureur général de Californie a émis une alerte, conseillant aux clients de demander la suppression de leurs données et de détruire leurs échantillons. Les clients peuvent suivre des étapes précises pour effectuer ces demandes. De plus, le Bureau du Commissaire à l'information du Royaume-Uni a rappelé que les données génétiques sont parmi les plus sensibles et que 23andMe doit respecter les normes de sécurité strictes du RGPD. En 2024, l'entreprise a déjà été condamnée à payer 30 millions de dollars suite à une violation de données ayant exposé les informations de 6,4 millions de clients. Les utilisateurs sont donc encouragés à télécharger leurs données avant de les supprimer.
Sources :
New VanHelsing Ransomware cible les systèmes Windows, ARM, ESXi
Un nouveau ransomware, nommé VanHelsing, a été récemment lancé, ciblant divers systèmes, notamment Windows, Linux, BSD, ARM et ESXi. Promu sur des plateformes de cybercriminalité depuis le 7 mars 2025, il permet aux affiliés expérimentés de rejoindre sans frais, tandis que les novices doivent verser un dépôt de 5 000 $. Selon Check Point Research, VanHelsing est un projet russe qui interdit de cibler les pays de la CEI. Les affiliés conservent 80 % des rançons, les opérateurs prenant 20 %, avec des paiements sécurisés via un système d'entiercement automatisé. Actuellement, trois victimes sont répertoriées sur le portail d'extorsion, dont deux aux États-Unis et une en France, avec une rançon demandée de 500 000 $. Écrit en C++, VanHelsing utilise l'algorithme ChaCha20 pour le chiffrement des fichiers, avec des fonctionnalités de personnalisation avancées pour adapter les attaques. Il propose un mode furtif qui réduit les alertes de sécurité en mimant le comportement normal du système. Malgré quelques défauts révélant une immaturité du code, VanHelsing représente une menace croissante dans le paysage de la cybercriminalité.
Sources :
La vulnérabilité critique du contrôleur nginx nginx permet un RCE sans authentification
Cinq vulnérabilités critiques ont été révélées dans le contrôleur Ingress NGINX pour Kubernetes, exposant plus de 6 500 clusters à un risque immédiat d'exécution de code à distance non authentifiée. Ces failles, nommées IngressNightmare par la société de sécurité cloud Wiz, portent les identifiants CVE-2025-24513, CVE-2025-24514, CVE-2025-1097, CVE-2025-1098 et CVE-2025-1974, avec un score CVSS de 9.8. Elles permettent aux attaquants d'accéder à tous les secrets stockés dans les namespaces du cluster, pouvant mener à une prise de contrôle totale. Les vulnérabilités touchent le composant admission controller du contrôleur Ingress NGINX, qui est accessible sans authentification. En exploitant ces failles, un attaquant peut injecter une configuration NGINX malveillante, entraînant l'exécution de code arbitraire. Environ 43 % des environnements cloud sont vulnérables. Les versions 1.12.1, 1.11.5 et 1.10.7 du contrôleur Ingress NGINX corrigent ces problèmes. Les utilisateurs sont fortement conseillés de mettre à jour vers les dernières versions et de restreindre l'accès au contrôleur d'admission. Des mesures d'atténuation incluent la limitation de l'accès au serveur API Kubernetes et la désactivation temporaire du contrôleur d'admission si non nécessaire.
Sources :
La cyberattaque élimine les services en ligne de l'Ukrainian State Railway
Le 24 mars 2025, Ukrzaliznytsia, l'opérateur ferroviaire national ukrainien, a subi une cyberattaque majeure qui a perturbé ses services en ligne de vente de billets, forçant les passagers à se rendre aux guichets physiques. Cette situation a entraîné des files d'attente longues, des retards et une frustration généralisée, alors que les trains demeurent le moyen de transport le plus fiable en Ukraine. L'incident a été confirmé par l'organisation, qui a présenté ses excuses et a renforcé le personnel aux points de vente pour gérer l'afflux de clients. Les militaires ont pu acheter des billets à bord, tandis que les civils ayant déjà acheté des billets en ligne ont été conseillés d'utiliser les copies PDF envoyées par email ou de se présenter à la gare 20 minutes avant le départ. Malgré les difficultés rencontrées sur la plateforme de vente, Ukrzaliznytsia a assuré que les opérations ferroviaires n'étaient pas affectées et que le trafic restait stable. L'organisation a qualifié l'attaque de "systématique et multi-couches" et collabore avec des experts pour résoudre les problèmes de sécurité, sans toutefois fournir de délais pour le rétablissement des services en ligne.
Sources :
Les routeurs de Draytek dans le monde entier entrent dans les boucles de redémarrage pendant le week-end
Le week-end du 24 mars 2025, de nombreux fournisseurs d'accès Internet (FAI) à travers le monde ont signalé des problèmes de connectivité liés aux routeurs DrayTek, qui entraient dans des boucles de redémarrage. Les utilisateurs affectés, notamment au Royaume-Uni et en Australie, ont constaté des pertes de connexion intermittentes, attribuées à des attaques ciblant des vulnérabilités non spécifiées ou à une mise à jour logicielle défectueuse. Les FAI, tels que Zen Internet et ICUK, ont conseillé aux clients de mettre à jour le firmware de leurs appareils, de désactiver l'accès à distance et, si nécessaire, de changer de routeur. DrayTek a publié un document de support, recommandant de déconnecter le WAN avant de procéder à la mise à jour du firmware et de désactiver les fonctionnalités VPN. Bien que la société n'ait pas encore commenté, elle a confirmé que des versions de firmware vulnérables étaient en cause. En octobre, DrayTek avait déjà corrigé des failles de sécurité critiques touchant 24 modèles de routeurs. Les utilisateurs sont encouragés à suivre les recommandations pour rétablir la connectivité et sécuriser leurs appareils.
Sources :
Les pirates de fourmis tisserand chinois ont espionné un réseau de télécommunications pendant 4 ans
Un groupe de menaces avancées lié à la Chine, nommé Weaver Ant, a infiltré pendant plus de quatre ans le réseau d'un fournisseur de services de télécommunications en Asie, utilisant des routeurs Zyxel compromis pour dissimuler son trafic. Les chercheurs de Sygnia ont découvert plusieurs variantes du backdoor China Chopper et un web shell personnalisé, INMemory, permettant l'exécution de charges utiles en mémoire. Weaver Ant a établi un réseau de relais opérationnels pour masquer son infrastructure, contournant les restrictions des pare-feu grâce à un shell web chiffré. Au fil du temps, le groupe a perfectionné ses techniques, notamment en utilisant le « tunneling de web shells », qui relie plusieurs shells pour créer un réseau de commande et de contrôle caché. Ils ont collecté des données sensibles, y compris des fichiers de configuration et des journaux d'accès, tout en désactivant les mécanismes de journalisation pour rester indétectés. Les chercheurs attribuent ces activités à un acteur soutenu par l'État, axé sur l'intelligence réseau et la collecte de données d'identification, plutôt que sur le vol de données personnelles. Pour se défendre, il est conseillé d'appliquer des contrôles de trafic internes et de renforcer la journalisation.
Sources :
Cyber Guardians: INE Security Champions Training Cybersecurity pendant la Semaine nationale des médecins 2025
Cary, NC, le 24 mars 2025 – INE Security, fournisseur mondial de formation et de certification en cybersécurité, met en lumière l'augmentation des cybermenaces ciblant les établissements de santé, à l'occasion de la Semaine nationale des médecins 2025. De nouvelles données révèlent une hausse significative des cyberattaques sur les hôpitaux et cliniques, entraînant des pertes financières considérables et mettant en péril la sécurité des patients. Pour contrer ces menaces, une formation adéquate du personnel est essentielle, car l'erreur humaine demeure une cause majeure des violations de données. Dara Warn, PDG d'INE Security, souligne que chaque membre de l'équipe de santé a un rôle à jouer en matière de cybersécurité. La certification et la formation continue des équipes de cybersécurité renforcent la confiance des patients. INE Security propose des cours en ligne, des laboratoires interactifs et des formations dirigées, couvrant divers domaines de la sécurité, et permettant aux professionnels de la santé d'acquérir des certifications reconnues. En améliorant les compétences de leur personnel, les établissements de santé peuvent réduire les risques de violations et protéger les données des patients, garantissant ainsi la confiance dans un système de santé de plus en plus numérique.
Sources :
Trop confiants pour être prudents ? 71 % des Millenials ne vérifient pas toujours l’identité de leurs relations en ligne
La Génération Y, première à avoir grandi avec les réseaux sociaux, affiche une confiance dans ses compétences technologiques, mais 71 % d'entre eux admettent ne pas toujours connaître l'identité des personnes avec qui ils interagissent en ligne. Malgré 40 % ayant vécu des expériences négatives dues à un manque de discernement, 44 % continuent de faire confiance aux informations de leurs communautés en ligne. L'étude révèle que 17 % des Millenials ont utilisé de faux noms ou profils, indiquant que ce comportement est répandu. Ces pratiques entraînent des conséquences, car 40 % des répondants signalent des expériences négatives liées à une confiance mal placée. Marc Rivero, chercheur chez Kaspersky, souligne l'importance pour les Millenials de ne pas être trop confiants dans leur utilisation des outils numériques, car leurs habitudes influencent les générations futures. Pour limiter les risques en ligne, Kaspersky recommande de vérifier les identités, de gérer les informations personnelles, de respecter la vie privée d'autrui, de rester informé sur les arnaques et de maintenir les logiciels à jour. Ces conseils visent à renforcer la sécurité des échanges en ligne et à promouvoir une culture de vigilance.
Sources :
Microsoft ajoute la protection des données en ligne à Edge pour les entreprises pour bloquer les fuites de données Genai
Microsoft a annoncé une nouvelle fonctionnalité appelée protection des données en ligne pour son navigateur Edge for Business, destinée à empêcher le partage de données sensibles par les employés vers des applications d'intelligence artificielle générative (GenAI) comme ChatGPT et Google Gemini. Cette fonctionnalité vise à prévenir les fuites de données lors de l'interaction avec des applications web. En parallèle, Microsoft a lancé des contrôles de prévention des pertes de données (DLP) pour renforcer la sécurité de Microsoft Teams, face à des attaques de phishing croissantes. Les nouvelles fonctionnalités permettent aux équipes de sécurité de gérer les communications entre utilisateurs, d'améliorer la protection contre les liens malveillants et de signaler les messages suspects. De plus, des fichiers et URL suspects sont exécutés dans un environnement sécurisé pour détecter tout comportement malveillant. Microsoft a également élargi son Security Copilot avec 11 nouvelles solutions pour analyser les violations de données et prioriser les alertes critiques. Ces agents d'IA visent à alléger la charge des équipes de sécurité face à la complexité croissante des cyberattaques, permettant ainsi aux défenseurs humains de se concentrer sur des menaces plus complexes.
Sources :
La police arrête 300 suspects liés aux anneaux de cybercriminalité africains
Les autorités africaines ont arrêté 306 suspects dans le cadre de l'opération "Red Card", une initiative internationale dirigée par INTERPOL visant à lutter contre les réseaux de cybercriminalité transfrontaliers. Entre novembre 2024 et février 2025, 1 842 appareils utilisés dans des escroqueries liées à la banque mobile, aux investissements et aux applications de messagerie ont été saisis, touchant plus de 5 000 victimes. Les pays participants, dont le Bénin, la Côte d'Ivoire, le Nigeria, le Rwanda, l'Afrique du Sud, le Togo et la Zambie, ont échangé des renseignements criminels avant l'opération, enrichis par des données d'entreprises privées comme Group-IB et Kaspersky. Au Nigeria, 130 personnes, dont 113 étrangers, ont été arrêtées pour fraude à l'investissement et escroqueries en ligne, tandis qu'en Zambie, 14 suspects ont été appréhendés pour avoir piraté des téléphones via des liens malveillants. En Afrique du Sud, 40 individus ont été arrêtés pour des fraudes par SIM box. L'opération souligne l'importance de la coopération internationale dans la lutte contre la cybercriminalité, qui a des conséquences dévastatrices sur les individus et les communautés.
