Veille cyber du 04/06/2024
Urgent : Zyxel déploie un correctif RCE pour les NAS en fin de vie. Londres : hôpitaux majeurs perturbés par le ransomware Synnovis. Russie : sociétés d'électricité, d'informatique et agences gouvernementales ciblées par le cheval de Troie Decoy Dog. Restez informé, sécurité maximale.
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Zyxel publie un correctif RCE d'urgence pour les appareils NAS en fin de vie
Zyxel a publié une mise à jour de sécurité d'urgence pour corriger trois vulnérabilités critiques affectant les anciens dispositifs NAS en fin de vie. Les failles permettent l'injection de commandes et l'exécution de code à distance. Deux vulnérabilités n'ont pas été corrigées. Un chercheur en sécurité a découvert les failles et les a signalées à Zyxel. Bien que les modèles NAS aient atteint la fin de leur période de support, Zyxel a publié des correctifs pour les trois vulnérabilités critiques. Il est recommandé aux propriétaires d'appliquer les mises à jour de sécurité dès que possible.
Sources :
Les principaux hôpitaux de Londres perturbés par l'attaque du ransomware Synnovis
Des hôpitaux majeurs de Londres ont été perturbés par une attaque de ransomware de Synnovis le 4 juin 2024. L'attaque a affecté les services de santé de plusieurs hôpitaux du NHS à Londres. Les services de pathologie et de diagnostic ont été impactés, entraînant des annulations de procédures médicales et des redirections vers d'autres prestataires. Les hôpitaux touchés comprennent King's College Hospital, Guy's Hospital, St Thomas' Hospital, Royal Brompton Hospital et Evelina London Children's Hospital. Les soins d'urgence restent disponibles, mais les résultats rapides des tests sanguins ne le sont plus. Synnovis n'a pas encore publié de déclaration publique sur l'attaque. Des équipes travaillent pour comprendre l'impact de l'incident avec le soutien du National Cyber Security Centre du gouvernement.
Sources :
Les sociétés d'électricité, les sociétés informatiques et les agences gouvernementales russes touchées par le cheval de Troie Decoy Dog
Des organisations russes sont la cible d'attaques cybernétiques utilisant un malware nommé Decoy Dog. L'APT HellHounds compromet des entités en Russie depuis au moins 2021, avec une version Windows du malware en développement depuis 2019. Le groupe a ciblé 48 victimes en Russie, dont des entreprises IT, des gouvernements et des fournisseurs de télécommunications. Le malware Decoy Dog, une variante personnalisée du Pupy RAT, utilise le tunneling DNS pour communiquer avec son serveur de commande et contrôle. Les attaques, principalement en Russie et en Europe de l'Est, se concentrent sur les systèmes Linux, bien qu'une version Windows soit envisagée. Les HellHounds ont réussi à maintenir leur présence dans des organisations critiques en Russie en contournant les défenses anti-malware.
Sources :
Une faille du serveur de rapports Telerik pourrait permettre aux attaquants de créer des comptes d'administrateur malveillants
Progress Software a déployé des mises à jour pour corriger une faille de sécurité critique affectant le serveur de rapports Telerik, pouvant être exploitée par un attaquant distant pour contourner l'authentification et créer des utilisateurs administrateurs frauduleux. La vulnérabilité, identifiée sous le code CVE-2024-4358, a un score CVSS de 9,8 sur 10. La société a publié une alerte indiquant que dans la version 2024 Q1 (10.0.24.305) ou antérieure du serveur de rapports Telerik, un attaquant non authentifié peut accéder à des fonctionnalités restreintes via une vulnérabilité contournant l'authentification. Cette lacune a été corrigée dans la version 2024 Q2 (10.1.24.514). Progress Software recommande aux clients de vérifier la liste des utilisateurs de leur serveur de rapports pour détecter d'éventuels nouveaux utilisateurs locaux non ajoutés. En attendant l'application des correctifs, il est conseillé d'implémenter une technique de mitigation URL Rewrite pour réduire la surface d'attaque dans le serveur IIS. Il est crucial de mettre à jour vers la dernière version pour atténuer les menaces potentielles, surtout avec des acteurs malveillants exploitant activement les vulnérabilités des serveurs Telerik par le passé.
Sources :
Microsoft abandonne le protocole d'authentification Windows NTLM
Microsoft a officiellement abandonné le protocole d'authentification NTLM sur Windows et les serveurs Windows, incitant les développeurs à passer à Kerberos ou à l'authentification par négociation pour éviter des problèmes futurs. NTLM, lancé en 1993, est obsolète et sujet à des attaques, malgré les mesures de sécurité supplémentaires introduites par Microsoft. La transition vers 'Négociation' est recommandée, avec un processus de phase-out prévu. Les administrateurs doivent utiliser des outils d'audit pour identifier les instances de NTLM et planifier la transition. La plupart des applications peuvent passer à 'Négociation' avec un simple changement de ligne, bien que des ajustements plus importants puissent être nécessaires dans certains cas. 'Négociation' offre un retour à NTLM pour atténuer les problèmes de compatibilité. Un guide de dépannage de Kerberos est disponible pour les administrateurs rencontrant des problèmes d'authentification.
Sources :
L'agence de recouvrement FBCS porte le nombre de violations de données à 3,2 millions de personnes
Une agence de recouvrement, FBCS, a augmenté le nombre de personnes touchées par une violation de données à 3,2 millions. Les informations compromises incluent des données sensibles telles que le nom complet, le numéro de sécurité sociale, la date de naissance, des informations de compte, le numéro de permis de conduire ou de carte d'identité. Les personnes affectées ont été informées des risques accrus et des mesures à prendre, avec un délai de trois mois. FBCS offre un service gratuit de surveillance de crédit et de restauration d'identité pendant 24 mois via CyEx. Les clients sont avertis des risques de phishing, de fraude et d'attaques d'ingénierie sociale. L'agence assure qu'elle a renforcé ses mesures de sécurité pour éviter de futures violations similaires. Aucun groupe de ransomware ou d'extorsion de données n'a revendiqué l'attaque.
Sources :
Une agence chinoise commande ouvertement du matériel anti-drone à destination de la Russie
La Chine aide la Russie de manière discrète en achetant du matériel technologique via des organismes locaux, malgré les sanctions américaines contre certaines entreprises chinoises. Des équipements tels que des détecteurs de drones sont recherchés, potentiellement pour contrer l'invasion de l'Ukraine. La province du Guangdong, centre technologique chinois, est impliquée dans ces transactions. Malgré les démentis, des preuves semblent indiquer une coopération entre la Chine et la Russie.
Sources :
L’hôtellerie prise pour cible par de nouvelles campagnes de mails frauduleux
Des cybercriminels ciblent le secteur de l'hôtellerie en utilisant des mails frauduleux pour voler des identifiants et infecter des ordinateurs avec des logiciels malveillants. Les arnaqueurs se font passer pour des clients légitimes ou potentiels, incitant le personnel à divulguer des données confidentielles ou à télécharger des logiciels malveillants. Les attaquants exploitent la réputation et l'engagement du personnel hôtelier pour les piéger. Les mails frauduleux imitent des plaintes de clients ou des demandes de renseignements, incitant les victimes à cliquer sur des liens malveillants. Pour se protéger, les entreprises doivent mettre en place des systèmes de filtrage de mails robustes, former leur personnel à reconnaître le phishing et vérifier l'authenticité des demandes urgentes. Le phishing et les logiciels malveillants restent des menaces importantes, nécessitant une vigilance accrue.
Sources :
La nouvelle génération de RBI (isolation du navigateur à distance)
Le paysage de la sécurité des navigateurs a évolué ces dernières années, passant de l'isolation du navigateur à des solutions plus avancées en raison de ses limitations face aux menaces actuelles. Les solutions d'extension de navigateur sécurisées émergent comme une alternative plus efficace et conviviale, offrant une visibilité en temps réel, une analyse des risques continue et une application granulaire des mesures de sécurité. Contrairement à l'isolation du navigateur, ces extensions n'impactent pas les performances et peuvent être facilement déployées sur tous les types d'appareils.
Sources :
Des pirates informatiques utilisent une macro MS Excel pour lancer une attaque de malware en plusieurs étapes en Ukraine
Une nouvelle cyberattaque sophistiquée ciblant des points d'extrémité géolocalisés en Ukraine a été observée, avec pour objectif de déployer Cobalt Strike et de prendre le contrôle des hôtes compromis. L'attaque utilise un fichier Excel avec une macro VBA intégrée pour initier l'infection. Cobalt Strike, un outil légitime de simulation d'adversaire développé par Fortra, est utilisé à des fins malveillantes. L'attaque commence par un document Excel incitant la victime à activer les macros, puis déploie un téléchargeur basé sur une DLL. Ce téléchargeur vérifie les processus en cours pour éviter les antivirus et se connecte à un serveur distant pour récupérer un payload encodé, uniquement si l'appareil est en Ukraine. La procédure d'attaque se termine par le déploiement d'un Cobalt Strike Beacon qui communique avec un serveur C2. Des techniques d'évasion sophistiquées sont utilisées pour masquer l'activité suspecte et éviter la détection.
Sources :
Black Crow 24 : l’exercice militaire qui entraînera du brouillage GPS
L'Agence Aéronautique Européenne mène l'exercice militaire Black Crow 24 pour entraîner les équipages à des missions en cas de brouillage GPS intense. L'exercice se déroule jusqu'au 7 juin avec des périodes de brouillage à différentes altitudes. Les équipages doivent naviguer sans GPS, simulant des conditions de conflit. Des brouilleurs sont positionnés stratégiquement pour couvrir une large zone. Des sessions de brouillage sont planifiées jusqu'au 6 juin, avec des interruptions pour avertir les pilotes. Cette préparation vise à renforcer la résilience des opérations militaires face aux menaces électroniques. Par ailleurs, l'article évoque une panne du système de la FAA en 2023 due à des perturbations GPS, sans preuve de cyberattaque.
Sources :
Fuite de données sensible : la World-Check hackée
Des hackers affirment avoir volé 5,3 millions d'enregistrements de la base de données World-Check, utilisée pour vérifier les clients potentiels des entreprises. Les données volées incluent des informations sensibles telles que des noms, des numéros de passeport et des numéros de comptes bancaires. Cette fuite menace la confidentialité de personnes innocentes et de personnalités politiques. En 2016, une fuite similaire avait déjà eu des conséquences graves. Les hackers menacent de divulguer progressivement les données volées.
Sources :
Snowflake met en garde : une campagne ciblée de vol d'identifiants frappe les clients du cloud
La société de cloud computing et d'analyse Snowflake a déclaré qu'un "nombre limité" de ses clients ont été ciblés dans le cadre d'une campagne ciblée. Aucune preuve n'indique que cette activité soit due à une vulnérabilité, une mauvaise configuration ou une violation de la plateforme de Snowflake. Les acteurs de menace non identifiés exploitent des informations volées pour compromettre les clients de Snowflake utilisant l'authentification à facteur unique. Mandiant recommande l'authentification multi-facteurs et de limiter le trafic réseau aux emplacements de confiance. Les agences de cybersécurité américaine et australienne ont émis des alertes concernant des compromissions réussies d'entreprises utilisant des environnements Snowflake. Une récente activité malveillante a été observée sur la plateforme de données cloud de Snowflake. Une firme de cybersécurité a suggéré que les violations de Ticketmaster et Santander Bank pourraient être liées à des informations volées d'un employé de Snowflake, mais cette théorie a été réfutée. Un groupe criminel adolescent est soupçonné d'être derrière l'incident.
Sources :
Violation massive de données chez Cooler Master ?
Cooler Master, un leader en technologie, aurait été victime d'une cyberattaque par le groupe de pirates "Fantôme", volant plus de 103 Go de données, y compris des informations sensibles de plus de 500 000 membres. Les données exposées incluent des détails de cartes de crédit non chiffrées. Les clients touchés doivent surveiller leurs comptes et mettre en place des alertes de fraude. L'attaque souligne l'importance de la sécurité des données.
Sources :
BreachForums : renaissance d’un forum criminel en ligne fermé par le FBI
Après avoir été fermé par le FBI, le forum criminel en ligne BreachForums est réapparu sous le nom de Violation Forums avant de retrouver son nom d'origine. Malgré les tentatives du FBI pour contrôler les nouveaux domaines, le site a rapidement repris ses activités. ShinyHunters, impliqué dans l'affaire, a récupéré les domaines en contournant les autorités. Des soupçons planent sur la possibilité que le site relancé serve de piège à cybercriminels. Le FBI n'a pas réussi à empêcher cette reprise, contrairement à ShinyHunters qui a su contourner les mesures prises par les autorités.
Sources :
Meilleur Antivirus pour Mac 2024 : Lequel choisir ?
Le Mac est souvent considéré comme immunisé contre les virus, mais la cybercriminalité cible de plus en plus les systèmes Apple. Le logiciel malveillant AtomicStealer peut verrouiller les Macs. Pour se protéger, des antivirus comme VirusBarrier d'Intego, Bitdefender, Norton, Avast, Sophos et McAfee sont recommandés. Chacun a ses avantages et inconvénients, adaptés à différents besoins. Intego est optimisé pour macOS, Norton offre une suite complète mais consomme plus de ressources, Sophos convient aux utilisateurs avancés, et McAfee est complet mais peut ralentir le système. Pour une protection complète avec VPN et surveillance de l'identité, Norton ou McAfee sont recommandés. Pour une solution gratuite, Avast offre une protection de base.
Sources :
Attaques DDoS : l’Europe sous une pression de plus en plus accrue
Le rapport d'Akamai révèle une augmentation rapide des attaques DDoS en Europe, au Moyen-Orient et en Afrique (EMEA), dépassant l'Amérique du Nord. Le Royaume-Uni est la principale cible, suivi par l'Arabie saoudite et l'Allemagne. Les attaques DDoS sont devenues plus complexes et motivées par des enjeux géopolitiques, avec une montée de l'hacktivisme et des attaques commanditées par des États. La zone EMEA est la plus touchée par ces attaques, en particulier dans le secteur financier. Les attaques ciblant le DNS sont courantes et peu coûteuses à exécuter. Richard Meeus d'Akamai souligne l'importance de protéger les actifs numériques face à cette menace croissante, notamment en prévision d'événements majeurs à venir.
Sources :
OpenText Cybersecurity dévoile son rapport 2024 sur les menaces émergentes et la résilience cybernétique
L'année 2024 apporte de nouveaux défis en matière de cybersécurité, avec une augmentation des attaques, notamment par rançongiciels. Le rapport Threat Report 2024 d'OpenText Cybersecurity met en lumière ces menaces et recommande une approche multicouche pour renforcer la résilience cybernétique. Les attaques ciblent particulièrement les secteurs de l'industrie, de l'éducation et de la santé, qui détiennent des données précieuses. Les entreprises doivent donc renforcer leurs défenses et former leur personnel, en mettant en place des mesures telles que l'authentification multi-facteurs et la sensibilisation à la sécurité. Les attaques de phishing deviennent de plus en plus sophistiquées, rendant la distinction entre les e-mails malveillants plus difficile. Il est crucial d'adopter une approche proactive pour prévenir les attaques et assurer la récupération en cas de violation.
Sources :
ISO/IEC 27001: 2022 – Tout savoir sur la sécurité de l’information
La norme ISO 27001 aide les entreprises à protéger leurs informations sensibles et à respecter les lois telles que le RGPD. Les entreprises certifiées peuvent bénéficier d'un avantage concurrentiel. Pour mettre en place un système de gestion de la sécurité de l'information (SGSI) conforme à cette norme, plusieurs étapes clés doivent être suivies : définir le projet, identifier les parties prenantes, évaluer les risques, former le personnel, mettre en place des mesures de sécurité et se préparer à l'audit de certification. Une auto-évaluation interne, la formation du personnel et le choix d'un organisme de certification compétent sont des étapes essentielles. Une fois certifiée, l'entreprise démontre son engagement envers la sécurité de l'information.
Sources :
Le malware DarkGate remplace AutoIt par AutoHotkey dans les dernières cyberattaques
Les attaques cybernétiques impliquant l'opération DarkGate ont évolué vers l'utilisation d'un mécanisme AutoHotkey pour livrer les dernières étapes, démontrant les efforts continus des acteurs de la menace pour rester en avance sur la détection. La version 6 de DarkGate, sortie en mars 2024, présente des mises à jour par son développeur RastaFarEye, vendu sur abonnement à environ 30 clients. DarkGate, un cheval de Troie d'accès à distance complet, est équipé de capacités de commande et contrôle et de rootkit, avec divers modules pour le vol d'identifiants, le keylogging, la capture d'écran et le bureau à distance. La transition vers AutoHotKey a été documentée par McAfee Labs en avril 2024, exploitant des failles de sécurité pour contourner les protections de Microsoft Defender SmartScreen. La dernière version de DarkGate inclut des améliorations substantielles dans sa configuration, ses techniques d'évasion et la liste des commandes supportées, avec de nouvelles fonctionnalités telles que l'enregistrement audio, le contrôle de la souris et la gestion du clavier. Certains anciens commandes ont été supprimées, peut-être pour éviter la détection ou suite à un désintérêt des clients. Par ailleurs, des cybercriminels ont été découverts abusant de Docusign en vendant des modèles de phishing personnalisables sur des forums clandestins, transformant le service en terrain fertile pour les fraudeurs cherchant à voler des identifiants pour des escroqueries par phishing et compromission d'e-mails professionnels.
Sources :
Des Américaines, âgées, fans de Trump, sont le principal relais de la désinformation russe
Une étude de 2024 révèle que 80 % des fausses informations sur Twitter pendant l'élection américaine de 2020 venaient de 0,3 % des utilisateurs. Les "super partageurs" influencent fortement la diffusion de fake news, principalement des femmes âgées républicaines du Texas, de la Floride et de l'Arizona. Les chercheurs préconisent des limites de partage sur les réseaux sociaux pour contrer ce phénomène, soulignant la menace des réseaux sociaux pour la démocratie. Aucune mesure de ce type n'est prévue pour les élections américaines de novembre 2024.
Sources :
Faille d'injection de commande du système d'exploitation du serveur Oracle WebLogic sous attaque active
L'agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté une faille de sécurité affectant le serveur Oracle WebLogic au catalogue des vulnérabilités exploitées connues (KEV), citant des preuves d'exploitation active. La vulnérabilité CVE-2017-3506 concerne une vulnérabilité d'injection de commandes dans le système d'exploitation (OS) pouvant être exploitée pour obtenir un accès non autorisé aux serveurs vulnérables et prendre le contrôle complet. Le groupe de cryptojacking chinois 8220 Gang a été observé en train d'exploiter cette faille pour lancer un mineur de cryptomonnaie sans fichier en mémoire à l'aide d'un script shell ou PowerShell, selon un rapport de Trend Micro. Les agences fédérales sont invitées à appliquer les correctifs les plus récents d'ici le 24 juin 2024 pour protéger leurs réseaux contre les menaces potentielles.
Sources :
Les dirigeants d'une société de données condamnés pour avoir aidé des fraudeurs à cibler les personnes âgées
Deux anciens cadres de la société Epsilon Data Management LLC ont été reconnus coupables de vendre des données de millions d'Américains à des fraudeurs ciblant les personnes âgées. Robert Reger et David Lytle ont été condamnés pour complot et fraudes postales et électroniques. Ils ont utilisé des données transactionnelles pour créer des listes de consommateurs ciblés revendues à des escrocs. Epsilon a résolu sa responsabilité criminelle en 2021 en payant 150 millions de dollars d'amendes, dont 122 millions pour compenser 200 000 victimes de fraude. Trois employés et un ancien vice-président d'Epsilon ont plaidé coupables. Reger et Lytle risquent jusqu'à 20 ans de prison pour chaque chef d'accusation de fraude postale et électronique. Le jugement sera rendu le 30 septembre 2024 par le tribunal de district du Colorado.
Sources :
Le compte X de Microsoft Inde piraté dans le cadre de l'arnaque crypto Roaring Kitty
Le compte Twitter officiel de Microsoft India a été piraté par des escrocs de la cryptomonnaie pour se faire passer pour Roaring Kitty, le pseudo utilisé par le célèbre trader de meme stocks Keith Gill. Les pirates utilisent le compte piraté de Microsoft India pour attirer les victimes potentielles vers un site malveillant prétendant permettre l'achat de GameStop (GME) crypto lors d'une prévente, mais en réalité, ils volent les actifs des utilisateurs qui connectent leurs portefeuilles de cryptomonnaie au site. Cette attaque s'inscrit dans une tendance croissante de piratages de comptes vérifiés sur les réseaux sociaux pour promouvoir des escroqueries liées à la cryptomonnaie.
