Veille cyber du 05/06/2024
Découvrez comment le gang de ransomware Qilin a paralysé les hôpitaux de Londres, explorez les nouveautés de Kali Linux 2024.2 avec 18 nouveaux outils, et lisez l'histoire troublante d'un malfaiteur russe espionnant sa femme avec des AirTags. Ne manquez pas notre article complet!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Le gang de ransomware Qilin lié à l'attaque des hôpitaux de Londres
Un groupe de ransomware Qilin est lié à une attaque contre des hôpitaux de Londres, entraînant des perturbations majeures dans les services de santé. L'opération Qilin, probablement d'origine russe, vise à extorquer de l'argent en cryptant les données des entreprises. Depuis décembre 2023, le groupe a développé un encrypteur Linux avancé pour cibler les machines virtuelles VMware ESXi. Les attaquants volent des données sensibles, chiffrent les fichiers et exigent des rançons allant de milliers à des millions de dollars. L'impact sur les hôpitaux londoniens a entraîné le report ou l'annulation de rendez-vous médicaux, mais les services d'urgence restent ouverts. Une équipe de réponse aux incidents cybernétiques de l'NHS évalue actuellement l'ampleur de l'attaque.
Sources :
Kali Linux 2024.2 publié avec 18 nouveaux outils, modifications Y2038
Kali Linux a publié la version 2024.2 avec 18 nouveaux outils et des correctifs pour le bug Y2038. Cette distribution est destinée aux professionnels de la cybersécurité et hackers éthiques. La mise à jour inclut de nouveaux éléments visuels et des outils tels que autorecon, dploot, snort, etc. Le bug Y2038 est résolu en passant à des entiers 64 bits pour les timestamps. Les utilisateurs doivent effectuer une mise à jour complète pour bénéficier des nouvelles fonctionnalités. Les changements incluent l'introduction de Gnome 46 et des améliorations de stabilité pour Xfce. Pour obtenir Kali Linux 2024.2, les utilisateurs peuvent mettre à jour leur installation existante ou télécharger les images ISO. Les utilisateurs de WSL doivent passer à WSL2 pour une meilleure expérience.
Sources :
Un malfaiteur russe a suivi et espionné sa femme avec des AirTags pendant des mois
Un membre présumé d'un réseau de trafic d'êtres humains a utilisé des AirTags pour traquer sa femme, l'abusant physiquement et émotionnellement. Le FBI l'a surveillé alors qu'il espionnait sa femme avec les AirTags, le menant à être inculpé pour harcèlement. Les AirTags sont de plus en plus détournés à des fins malveillantes, avec plus de 150 affaires recensées.
Sources :
Fuites et ventes de données des utilisateurs de Santander et Ticketmaster
L'article met en lumière les récentes fuites de données impliquant Santander et Ticketmaster, soulignant l'importance pour les individus de se protéger contre ces incidents. Il est recommandé de changer immédiatement les mots de passe compromis, d'activer l'authentification à deux facteurs et de contacter l'assistance technique en cas d'accès non autorisé. En cas de divulgation d'informations sensibles telles que les données de passeport, il est conseillé de rester vigilant contre les attaques d'ingénierie sociale. Les organisations doivent mettre en place des solutions de sécurité robustes pour contrer les menaces internes. En cas de fuite de données bancaires, surveillez les notifications de la banque, rééditez la carte, changez les mots de passe et soyez vigilant contre le phishing.
Sources :
Les hackers ont mis aux enchères les données de la plus grande boîte d’enchères
La société Christie's, leader mondial des ventes d'art, a été victime d'une cyberattaque en mai dernier par le groupe de hackers RansomHub, qui a volé des informations personnelles de 500 000 clients. Malgré des négociations infructueuses, les pirates ont mis aux enchères les données dérobées. Christie's a confirmé le vol de noms de clients et d'autres informations d'identification, sans preuve de vol financier. La mise aux enchères des données est une pratique rare pour les ransomwares, visant à nuire à la réputation de l'entreprise. Le prix de vente des données n'a pas été divulgué.
Sources :
Un gang d'extorsion RansomHub lié au ransomware Knight, aujourd'hui disparu
Des chercheurs en sécurité ont découvert que le ransomware RansomHub est lié au projet Knight désormais disparu. RansomHub opère en tant que groupe d'extorsion et de vol de données, vendant les fichiers volés au plus offrant. Des similitudes entre les deux familles de ransomwares suggèrent une origine commune, bien que les créateurs de Knight ne soient probablement pas derrière RansomHub. Ce dernier a émergé en février 2024 et est devenu l'une des opérations RaaS les plus prolifiques, attirant d'anciens affiliés de l'opération ALPHV.
Sources :
Le cyberespionnage soutenu par l’État chinois cible le gouvernement d’Asie du Sud-Est
Un organisme gouvernemental de haut niveau en Asie du Sud-Est a été la cible d'une opération de cyberespionnage parrainée par l'État chinois nommée Crimson Palace. L'objectif global de la campagne était de maintenir l'accès au réseau cible pour le cyberespionnage au profit des intérêts de l'État chinois. L'attaque, menée par des acteurs sophistiqués, a utilisé des malwares non documentés et des techniques d'évasion novatrices pour rester indétectable. L'opération a été divisée en trois clusters d'intrusion, suggérant la coordination d'une seule organisation. Les chercheurs ont identifié des similitudes avec des groupes de hackers chinois connus et ont souligné l'utilisation de malwares tels que PocoProxy et EAGERBEE. Par ailleurs, d'autres attaques attribuées à l'acteur APT41 ont été signalées en Italie, utilisant le malware KEYPLUG. En parallèle, le Centre canadien de la cybersécurité a mis en garde contre les attaques croissantes de hackers soutenus par l'État chinois visant les gouvernements, les infrastructures critiques et les secteurs de la recherche et du développement.
Sources :
Déballage des prévisions de menaces SaaS pour 2024
L'article met en lumière l'augmentation des violations de données dans le paysage dynamique des logiciels en tant que service (SaaS), incitant les organisations à exiger des alertes de menaces rapides comme une capacité vitale. Les préoccupations majeures en matière de sécurité des données sont soulevées, notamment en raison de l'exposition potentielle et de l'abus des informations sensibles des organisations. Les failles dans les comptes de service peuvent exposer des informations sensibles telles que des e-mails, des noms d'utilisateur, des numéros de téléphone, des mots de passe hachés, ainsi que des données essentielles pour l'intégration de tiers. Les équipes de sécurité doivent surveiller les mots de passe divulgués sur le dark web pour identifier et répondre rapidement aux informations compromises. La mise en place d'une authentification multi-facteurs (MFA) résistante au phishing renforce la sécurité. Les attaques sophistiquées soulignent l'importance des outils de gestion de la sécurité des fournisseurs de services (SSPM) pour détecter et répondre efficacement aux menaces.
Sources :
TikTok a été la cible d’une attaque cyber redoutable
Une attaque redoutable de type "zero click" a visé TikTok, après l'affaire Pegasus. Des personnalités comme Paris Hilton ont été touchées. L'attaque se propage par les messages privés sans nécessiter d'action de la cible. TikTok a réagi en collaborant avec les victimes pour rétablir l'accès. Bien que le nombre de comptes touchés soit limité, la complexité de l'attaque soulève des questions sur l'identité de l'attaquant. Cette attaque survient dans un contexte où TikTok risque un bannissement aux États-Unis. La NSA recommande de redémarrer régulièrement les smartphones pour contrer ce type d'attaques.
Sources :
Knight Ransomware rebaptisé ciblant les soins de santé et les entreprises du monde entier
Le ransomware Knight, également connu sous le nom de Cyclops 2.0, a été repéré en mai 2023, utilisant des tactiques de double extorsion pour voler et chiffrer les données des victimes à des fins lucratives. Opérationnel sur plusieurs plateformes, il a été vendu sur le forum cybercriminel RAMP avant de fermer en février 2024. Son code source a été mis en vente, laissant penser qu'il a été repris par un nouvel acteur sous le nom de RansomHub. Ce dernier a été lié à plusieurs attaques récentes, dont celles de Change Healthcare, Christie's et Frontier Communications. Les attaques de RansomHub ont été observées exploitant des failles de sécurité connues pour obtenir un accès initial et déployer des logiciels de bureau à distance avant le chiffrement des données. En avril 2024, RansomHub a été associé à 26 attaques confirmées, le plaçant derrière d'autres ransomwares tels que Play, Hunters International, Black Basta et LockBit. Son développement rapide suggère la présence d'opérateurs expérimentés dans le cyber underground.
Sources :
Cybermenaces : se protéger pendant la période de déclaration et d’avis d’impôts
Les Français doivent rester vigilants face aux cybercriminels pendant la période de déclaration d'impôts, propice aux attaques en raison de l'augmentation du trafic en ligne et de la sensibilité des informations échangées. Le phishing est une méthode courante utilisée par les cybercriminels pour obtenir des informations personnelles. L'utilisation de l'authentification multi-facteur, notamment avec des clés de sécurité physique, est recommandée pour renforcer la sécurité des comptes et protéger les données financières sensibles. Cette mesure ajoute une couche de protection supplémentaire contre les cybermenaces sophistiquées, réduisant ainsi le risque de compromission des données.
Sources :
Zyxel publie des correctifs pour les vulnérabilités du micrologiciel dans les modèles NAS EoL
Zyxel a publié des mises à jour de sécurité pour corriger des failles critiques affectant deux de ses dispositifs de stockage en réseau (NAS) ayant atteint le statut de fin de vie. Trois des cinq vulnérabilités pourraient permettre à un attaquant non authentifié d'exécuter des commandes système et du code arbitraire. Les modèles impactés sont le NAS326 et le NAS542. Les vulnérabilités ont été corrigées dans les versions V5.21(AAZF.17)C0 et V5.21(ABAG.14)C0. Les failles incluent des injections de commandes et des problèmes de gestion des privilèges. Le chercheur en sécurité Timothy Hjort a découvert ces failles. Deux des failles d'escalade de privilèges nécessitant une authentification restent non corrigées. Il est recommandé aux utilisateurs de mettre à jour vers la dernière version pour une protection optimale, bien qu'il n'y ait pas de preuve d'exploitation des failles à ce jour.
Sources :
Comptes TikTok de célébrités compromis à l'aide d'une attaque sans clic via des DM
La plateforme de partage de vidéos TikTok a reconnu un problème de sécurité exploité par des acteurs malveillants pour prendre le contrôle de comptes de haut niveau. Des campagnes de piratage de compte sans clic ont été détaillées, permettant à des logiciels malveillants de compromettre des comptes de marques et de célébrités sans interaction. TikTok a pris des mesures préventives pour arrêter l'attaque et travaille avec les utilisateurs affectés. Des failles de sécurité antérieures ont été signalées, notamment une vulnérabilité permettant la constitution d'une base de données d'utilisateurs et une faille Android. Des comptes TikTok en Turquie ont été compromis par des SMS détournés. Des acteurs malveillants ont profité du défi Invisible Challenge pour propager des logiciels malveillants. Les racines chinoises de TikTok suscitent des inquiétudes sur la collecte de données sensibles et la propagande, entraînant des interdictions dans plusieurs pays. TikTok a contesté une loi américaine interdisant l'application, invoquant une intrusion sur la liberté d'expression. Plusieurs pays ont déjà interdit TikTok, tandis que d'autres restreignent son utilisation sur les appareils gouvernementaux.
Sources :
Une société minière australienne révèle une violation après la fuite de données par BianLian
Une entreprise minière australienne, Northern Minerals, a révélé avoir été victime d'une violation de données, avec des informations publiées sur le dark web. L'entreprise se concentre sur l'exploration des terres rares lourdes, essentielles pour l'électronique et l'aéronautique. L'attaque a eu lieu en mars 2024, avec des données opérationnelles, financières, et personnelles compromises. BianLian, un groupe de ransomware, revendique l'attaque et a publié diverses informations volées. Northern Minerals a informé les autorités et les individus concernés, affirmant que ses opérations ne sont pas affectées. La divulgation complète des données volées indique le refus de payer une rançon. BianLian est actif en 2024, ciblant divers secteurs.
