Veille cyber du 10/06/2024
Cylance subit une violation de données via une plateforme tierce, tandis que More_eggs, un malware déguisé en CV, cible les recruteurs. Les hôpitaux de Londres luttent contre une pénurie de sang après l'attaque du ransomware Synnovis. Découvrez les détails dans notre dernier article.
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Cylance confirme une violation de données liée à une plateforme « tierce »
La société de cybersécurité Cylance a confirmé une violation de données liée à une "plateforme tierce", avec des données anciennes vendues par un acteur de menace nommé Sp1d3r. Les données volées incluent des millions d'adresses e-mail et d'informations personnelles de clients, partenaires et employés de Cylance. Cependant, il semble que les échantillons divulgués soient des données marketing anciennes. Cylance affirme que les données proviennent d'une plateforme tierce non liée à BlackBerry et datent de 2015-2018. Par ailleurs, des attaques liées à Snowflake ont également touché d'autres entreprises telles que Santander, Ticketmaster et QuoteWizard/Lendingtree. Mandiant a identifié l'acteur de menace UNC5537 comme étant derrière ces attaques, ciblant des centaines d'organisations dans le monde pour des gains financiers.
Sources :
More_eggs Un logiciel malveillant déguisé en CV cible les recruteurs dans une attaque de phishing
Des chercheurs en cybersécurité ont repéré une attaque de phishing distribuant le malware Moreeggs en se faisant passer pour un CV, une technique détectée il y a plus de deux ans. L'attaque, ciblant une entreprise non nommée du secteur des services industriels en mai 2024, a échoué. Le malware Moreeggs, attribué au groupe Golden Chickens (alias Venom Spider), est une porte dérobée modulaire capable de collecter des informations sensibles. L'attaque récente implique des acteurs malveillants répondant à des offres d'emploi sur LinkedIn avec un lien vers un faux site de téléchargement de CV, aboutissant au téléchargement d'un fichier LNK malveillant. eSentire a également révélé une campagne de téléchargement drive-by utilisant des sites web factices pour distribuer le Vidar Stealer. Une nouvelle trousse de phishing appelée V3B cible les clients bancaires de l'Union européenne pour voler leurs identifiants et mots de passe à usage unique.
Sources :
Les hôpitaux de Londres font face à une pénurie de sang après l'attaque du ransomware Synnovis
Les hôpitaux de Londres font face à une pénurie de sang après une attaque de ransomware contre Synnovis, impactant les transfusions sanguines et annulant des procédures non urgentes. L'agence NHSBT appelle de toute urgence les donneurs de sang de type O positif et O négatif à faire des dons. Les hôpitaux touchés ne peuvent pas assortir rapidement les types sanguins des donneurs et des receveurs, augmentant le risque de complications graves. Pour pallier ce risque, les hôpitaux utilisent principalement les types O négatif et O positif, entraînant une baisse des réserves de ces types sanguins. Synnovis n'a pas encore rétabli ses systèmes depuis l'attaque du 4 juin.
Sources :
Vous voulez un accès gratuit et anonyme aux chatbots IA ? Le nouvel outil de DuckDuckGo est fait pour vous
DuckDuckGo a lancé un nouvel outil permettant un accès gratuit et anonyme à plusieurs chatbots AI. Quatre modèles sont disponibles, dont GPT-3.5 Turbo, Claude 3 Haiku, Meta Llama 3 et Mistral's Mixtral 8x7B. Les conversations sont anonymes et non sauvegardées, protégeant ainsi la vie privée des utilisateurs. DuckDuckGo envisage une option payante avec des limites plus élevées et des modèles AI avancés. Les chats sont temporaires et les métadonnées sont supprimées pour garantir l'anonymat. Les utilisateurs peuvent tester l'outil sur Duck.ai ou DuckDuckGo Chat. Les chatbots AI peuvent parfois donner des informations erronées, soulignant l'importance de comparer les réponses pour évaluer leur fiabilité.
Sources :
Exploit pour le contournement d'authentification Veeam critique disponible, patch maintenant
Un exploit pour une faille critique de contournement de l'authentification Veeam est disponible, incitant les administrateurs à appliquer les dernières mises à jour de sécurité. La vulnérabilité CVE-2024-29849 permet à des attaquants distants non authentifiés de se connecter à l'interface web de Veeam Backup Enterprise Manager en tant qu'utilisateur quelconque. Veeam recommande la mise à jour vers la version 12.1.2.172 pour corriger le problème. L'exploit implique l'envoi d'un jeton SSO VMware spécialement conçu au service vulnérable, permettant à l'attaquant d'obtenir un accès administrateur. Bien qu'aucune exploitation en cours de la CVE-2024-29849 n'ait été signalée, la disponibilité publique de l'exploit augmente le risque. Il est crucial de mettre à jour rapidement ou de suivre les recommandations de sécurité fournies pour limiter les risques.
Sources :
Une violation de données 23andMe fait l'objet d'une enquête au Royaume-Uni et au Canada
Les autorités de protection de la vie privée du Canada et du Royaume-Uni enquêtent sur la violation de données de 23andMe survenue l'année dernière. L'attaque a exposé des informations sensibles de clients, dont des rapports de santé et des données génétiques. Les régulateurs examinent si l'entreprise avait mis en place des mesures de sécurité adéquates. En janvier, 23andMe a confirmé que des attaquants avaient volé des données de clients lors d'une attaque de remplissage de formulaire d'identification. En réponse, l'entreprise a renforcé ses mesures de sécurité, notamment en exigeant des réinitialisations de mots de passe et en activant l'authentification à deux facteurs. Des poursuites ont été engagées contre 23andMe, poussant l'entreprise à modifier ses conditions d'utilisation pour limiter les recours collectifs.
Sources :
CPE de cybersécurité : comprendre le quoi, le pourquoi et le comment
Les crédits de formation continue (CPE) sont essentiels pour les professionnels de la cybersécurité afin de maintenir leurs certifications et rester à jour sur les dernières tendances et menaces. Ils sont nécessaires pour les certifications délivrées par des organismes tels que (ISC)², ISACA et CompTIA. Les CPE peuvent être obtenus en participant à des ateliers, des cours en ligne ou des conférences. Ils aident à renforcer les compétences et les connaissances des professionnels, ouvrant ainsi des opportunités de promotion et d'augmentation de salaire. Il est important de vérifier l'éligibilité des crédits CPE auprès de l'organisme de certification spécifique. Les CPE sont généralement requis sur une base annuelle ou pluriannuelle, avec des valeurs différentes selon les activités. Des ressources telles que des formations formelles peuvent aider à accumuler des CPE. En fin de compte, les CPE sont un moyen efficace de rester motivé et conscient des évolutions constantes dans le domaine de la cybersécurité.
Sources :
Vulnérabilité Azure Service Tags : Microsoft met en garde contre un abus potentiel de la part de pirates
Microsoft met en garde contre l'abus potentiel des Azure Service Tags par des acteurs malveillants pour contourner les règles de pare-feu et accéder de manière non autorisée aux ressources cloud. Le Centre de réponse à la sécurité de Microsoft souligne que les service tags ne doivent pas être considérés comme une frontière de sécurité et recommande de les utiliser en conjonction avec des contrôles de validation. Tenable a découvert que certaines services Azure permettent le contournement des règles de pare-feu basées sur les Azure Service Tags. Aucune preuve d'exploitation de cette faille n'a été trouvée. Il est recommandé aux clients de revoir leur utilisation des service tags et d'adopter des mesures de sécurité adéquates pour authentifier uniquement le trafic réseau de confiance.
Sources :
Google supprime des campagnes d'influence liées à la Chine, à l'Indonésie et à la Russie
Google a révélé avoir supprimé 1 320 chaînes YouTube et 1 177 blogs Blogger dans le cadre d'une opération d'influence coordonnée liée à la République populaire de Chine. D'autres opérations ont été démantelées, notamment liées à l'Indonésie et à la Russie. Par ailleurs, OpenAI et Meta ont perturbé une opération d'influence pro-Israël menée par une entreprise de marketing politique basée à Tel Aviv. En outre, Microsoft a mis en garde contre les campagnes de désinformation russes visant les Jeux olympiques de 2024 à Paris. Des acteurs tels que Storm-1679 et Doppelganger ont été identifiés comme diffusant de la propagande anti-JO. L'analyse des menaces de Microsoft souligne un risque élevé d'activités cybernétiques malveillantes lors des Jeux, y compris des opérations de désinformation.
Sources :
Quelqu'un peut-il savoir si je bloque son numéro ?
ZDNET recommande des produits après des heures de tests, de recherches et de comparaisons. Ils utilisent des données provenant de diverses sources fiables et indépendantes, ainsi que des avis de clients pour offrir des conseils d'achat éclairés. Les affiliations peuvent générer des commissions, mais l'intégrité éditoriale est préservée. Les éditeurs vérifient minutieusement chaque article pour garantir la qualité. L'article aborde également comment bloquer des contacts sur WhatsApp et iMessage, avec des indications sur les signes de blocage et les vérifications de lecture. Il est possible de bloquer un contact sur WhatsApp en accédant à ses informations et en le bloquant. Les deux coches bleues indiquent que le message a été lu. En cas de blocage, l'appelant ne reçoit pas de notification, mais peut rencontrer des signaux occupés ou des messages d'indisponibilité.
Sources :
Sticky Werewolf étend ses cibles de cyberattaques en Russie et en Biélorussie
Des chercheurs en cybersécurité ont révélé les activités d'un groupe de menace nommé Sticky Werewolf, lié à des attaques informatiques visant des entités en Russie et au Bélarus. Les attaques de phishing ont ciblé une entreprise pharmaceutique, un institut de recherche russe en microbiologie et développement de vaccins, ainsi que le secteur de l'aviation. Ce groupe, actif depuis au moins avril 2023, utilise des archives contenant des fichiers LNK pour déployer des charges malveillantes via des serveurs WebDAV. Les attaques précédentes ont utilisé des e-mails de phishing pour déployer le cheval de Troie d'accès à distance NetWire. L'objectif final est de distribuer des RATs et des logiciels malveillants voleurs d'informations. Bien que l'origine nationale du groupe reste incertaine, des liens possibles avec un groupe de cyberespionnage pro-ukrainien sont suggérés. D'autres activités de cyberattaques ont été attribuées à des clusters comme Sapphire Werewolf, Fluffy Wolf et Mysterious Werewolf, utilisant divers outils malveillants pour cibler différents secteurs en Russie.
