Un pirate russe arrêté pour ses liens avec Hive et LockBit - Actus du 30/11/2024
Un pirate russe lié aux ransomwares Hive et LockBit, ainsi que le cybercriminel Wazawaka, ont été arrêtés. Découvrez comment ces arrestations impactent la cybersécurité et le rôle du service de phishing Rockstar 2FA ciblant Microsoft 365. Ne manquez pas notre analyse complète !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Un pirate russe recherché lié aux ransomwares Hive et LockBit a été arrêté
Mikhail Pavlovich Matveev, un cybercriminel russe recherché par les États-Unis pour son implication dans les opérations de ransomware LockBit et Hive, a été arrêté par les autorités russes. Selon RIA Novosti, il est accusé d'avoir développé un programme malveillant destiné à chiffrer des fichiers et à exiger une rançon pour la clé de déchiffrement. Le ministère russe de l'Intérieur a indiqué que des preuves suffisantes avaient été rassemblées et que l'affaire avait été transmise au tribunal de Kaliningrad. Matveev est inculpé en vertu de l'article 273 du Code pénal russe, relatif à la création et à la distribution de programmes informatiques nuisibles. En mai 2023, il avait déjà été inculpé par le gouvernement américain pour avoir mené des attaques de ransomware contre des milliers de victimes. Connu sous plusieurs pseudonymes, il a déclaré que ses activités illégales seraient tolérées tant qu'il resterait loyal envers la Russie. Matveev a également dirigé une équipe de testeurs de pénétration et a été affilié à plusieurs groupes de ransomware, dont Conti et Babuk. Cette arrestation survient peu après la condamnation de membres du groupe REvil pour des charges de piratage et de blanchiment d'argent.
Sources :
Le nouveau service de phishing Rockstar 2FA cible les comptes Microsoft 365
Un nouveau service de phishing, nommé 'Rockstar 2FA', a été lancé, facilitant des attaques de type adversaire-au-milieu (AiTM) visant à voler les identifiants des comptes Microsoft 365. Ce service permet aux attaquants de contourner les protections d'authentification multifactorielle (MFA) en interceptant des cookies de session valides. Les victimes sont dirigées vers une fausse page de connexion imitant Microsoft 365, où elles saisissent leurs identifiants. Le serveur AiTM agit comme un proxy, transmettant les informations à Microsoft tout en capturant le cookie de session, permettant ainsi aux cybercriminels d'accéder directement au compte de la victime, même si celui-ci est protégé par MFA.
Rockstar 2FA, une version améliorée des kits de phishing DadSec et Phoenix, a gagné en popularité depuis août 2024, se vendant pour 200 $ pour deux semaines. Le service, promu sur Telegram, offre de nombreuses fonctionnalités, y compris l'intégration de Captcha Cloudflare et un panneau d'administration convivial. Depuis mai 2024, plus de 5 000 domaines de phishing ont été créés. Les campagnes de phishing exploitent des plateformes de marketing par e-mail légitimes et utilisent divers leurres pour cibler les victimes, soulignant la persistance des opérateurs de phishing malgré les efforts des forces de l'ordre.
Sources :
La Russie arrête le cybercriminel Wazawaka pour ses liens avec des gangs de ransomware
Les autorités russes ont arrêté Mikhail Pavlovich Matveev, connu sous plusieurs pseudonymes dont Wazawaka, pour son implication dans des groupes de ransomware. Bien que son identité n'ait pas été officiellement confirmée, des sources anonymes l'ont identifié. Le ministère de l'Intérieur russe a déclaré que des preuves suffisantes avaient été rassemblées et que l'affaire avait été transmise au tribunal de Kaliningrad. Matveev est accusé d'avoir développé des logiciels malveillants destinés à chiffrer les données d'organisations commerciales en vue d'exiger une rançon. En mai 2023, le département de la Justice américain avait également porté des accusations contre lui pour son rôle dans les opérations de ransomware Hive et LockBit, qui ont ciblé des victimes aux États-Unis. Matveev est également lié à la création du forum de hacking Ramp et à l'opération Babuk. Il a été sanctionné par le département du Trésor américain pour des cyberattaques contre des entités américaines. Le département d'État offre une récompense de 10 millions de dollars pour des informations menant à son arrestation. Matveev a souvent défié les autorités américaines sur les réseaux sociaux, se vantant de ses activités criminelles.
Sources :
Le FC Bologne confirme une violation de données après l'attaque du ransomware RansomHub
Le Bologna FC 1909 a confirmé avoir été victime d'une attaque par ransomware, revendiquée par le groupe RansomHub, qui a récemment divulgué des données volées en ligne. Dans un communiqué, le club a averti que la possession ou la diffusion de ces données constitue une infraction pénale grave. L'attaque, survenue le 19 novembre 2024, a été motivée par le refus de la direction du club de protéger les données confidentielles des joueurs et des sponsors. Les cybercriminels avaient menacé de publier des informations sensibles dans un délai de deux jours si la rançon n'était pas payée. Finalement, l'ensemble des données volées a été mis en ligne sur le dark web. Les informations compromises incluent des contrats de sponsoring, des données financières, des informations personnelles sur les joueurs, des stratégies de transfert, ainsi que des dossiers médicaux. Bien que les attaques par ransomware contre des équipes sportives soient rares, elles peuvent avoir des conséquences financières importantes, comme l'ont montré des cas précédents impliquant d'autres clubs. Le Bologna FC appelle à la prudence et à ne pas interagir avec les données divulguées.
Sources :
La nouvelle faille zero-day de Windows Server 2012 bénéficie de correctifs gratuits et non officiels
Des correctifs de sécurité non officiels et gratuits ont été publiés sur la plateforme 0patch pour remédier à une vulnérabilité zero-day affectant le mécanisme de sécurité Mark of the Web (MotW) de Windows Server 2012. Cette faille, découverte par 0patch, permet à des attaquants de contourner les vérifications de sécurité imposées par MotW sur certains types de fichiers téléchargés, exposant ainsi les utilisateurs à des risques de malware. Bien que cette vulnérabilité soit présente depuis plus de deux ans, elle est restée non détectée, même sur des serveurs à jour avec des mises à jour de sécurité étendues. Les correctifs sont disponibles pour les versions Windows Server 2012 et 2012 R2, qu'elles soient mises à jour jusqu'en octobre 2023 ou non. Pour installer ces micropatches, les utilisateurs doivent créer un compte 0patch et installer l'agent correspondant, qui déploiera automatiquement les correctifs sans nécessiter de redémarrage. ACROS Security, la société derrière 0patch, a choisi de ne pas divulguer plus d'informations sur cette vulnérabilité tant que Microsoft n'aura pas publié de correctifs officiels. Les utilisateurs de Windows non pris en charge peuvent ainsi bénéficier d'une protection supplémentaire contre les exploits potentiels.
