Veille cyber du 12/06/2024
Découvrez comment Life360 a déjoué une tentative d'extorsion après la violation de données de Tile, les tendances du rapport SolarWinds 2024 sur l'IA et l'informatique, et pourquoi Microsoft abandonne Windows DirectAccess au profit d'Always On VPN. Ne manquez pas les dernières actualités...
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Life360 affirme qu'un pirate informatique a tenté de les extorquer après la violation de données de Tile
Life360 a été la cible d'une tentative d'extorsion après une violation de données chez Tile. Un attaquant a accédé à des informations sensibles de la plateforme de support client de Tile, incluant noms, adresses, emails et numéros de téléphone. Aucune information sensible comme les numéros de carte de crédit n'a été compromise. Life360 a signalé l'attaque aux autorités et pris des mesures de sécurité. L'attaque aurait été réalisée en utilisant les identifiants volés d'un ancien employé de Tile. Il est incertain si les données volées seront publiées, mais elles pourraient être vendues sur le dark web.
Sources :
Rapport SolarWinds 2024 : Les professionnels de l’informatique et l’IA
Le rapport SolarWinds 2024 interroge les professionnels de l'informatique sur leur perception de l'IA, révélant un désir d'adoption malgré des préoccupations sur l'intégration, la qualité des données et la sécurité. L'AIOps est cité comme ayant un impact majeur, mais la confiance envers les données utilisées pour l'IA reste faible. Les préoccupations principales incluent la confidentialité et la sécurité. SolarWinds a introduit le cadre "AI by Design" pour un développement éthique et sécurisé de l'IA, mettant l'accent sur la confidentialité, la sécurité, la responsabilité et l'équité. Les investissements récents de l'entreprise visent à soutenir les équipes informatiques dans l'adoption de technologies avancées. En France, l'intégration de l'IA dans les opérations informatiques est jugée faible, mais une majorité voit l'IA comme un conseiller améliorant la prise de décision.
Sources :
Microsoft abandonne Windows DirectAccess et recommande Always On VPN
Microsoft a annoncé la dépréciation de DirectAccess, une solution d'accès à distance, et recommande aux entreprises de migrer vers Always On VPN pour une sécurité renforcée et un support continu. DirectAccess, introduit avec Windows 7, offre une connexion "always on" aux réseaux d'entreprise sans VPN. Always On VPN, successeur de DirectAccess, supporte des protocoles VPN modernes et l'authentification multi-facteurs, offrant une flexibilité accrue. Les utilisateurs sont encouragés à migrer rapidement vers Always On VPN pour éviter les interruptions. Microsoft propose un guide de migration pour faciliter le processus, incluant des étapes progressives et des conseils de gestion. Après la migration, les administrateurs doivent supprimer le rôle du serveur DirectAccess, mettre à jour les enregistrements DNS et retirer le serveur des services d'annuaire Active Directory.
Sources :
Les échecs de sécurité du cloud des entreprises sont « préoccupants » alors que les menaces de l'IA s'accélèrent
Une étude menée auprès de plus de 1 200 professionnels de l'informatique et de la sécurité, dont des responsables de la sécurité des systèmes d'information, révèle que seulement 42,1% des entreprises travaillent avec des experts tiers en cybersécurité. Il est préoccupant de constater que seuls 45% des entreprises effectuent régulièrement des audits de leurs environnements cloud. Les entreprises ont tendance à trop compter sur la capacité des fournisseurs de cloud à protéger les services ou données hébergés, alors que la responsabilité de la sécurité cloud incombe principalement au client. En ce qui concerne les menaces liées à l'IA générative, une majorité de répondants se montrent confiants dans la capacité de leurs collègues à détecter des attaques potentielles, bien que la détection de contenus générés par l'IA, tels que les deepfakes, reste un défi. Les entreprises doivent adopter une stratégie de cybersécurité multicouche, renforcer la formation de leurs employés et mettre en place des processus pour se prémunir contre les attaques ciblées.
Sources :
Une campagne de cryptojacking cible les clusters Kubernetes mal configurés
Des chercheurs en cybersécurité ont alerté sur une campagne de cryptojacking ciblant des clusters Kubernetes mal configurés pour miner la cryptomonnaie Dero. L'opération, découverte par la firme de sécurité Cloud Wiz, est une variante mise à jour d'une opération documentée par CrowdStrike en mars 2023. Les chercheurs de Wiz ont identifié l'utilisation d'images de conteneurs malveillantes hébergées sur Docker Hub pour déployer un mineur DERO nommé 'pause'. L'accès initial se fait en ciblant les serveurs API Kubernetes accessibles depuis l'extérieur avec une authentification anonyme. Contrairement à la version de 2023, la nouvelle version utilise des DaemonSets apparemment inoffensifs pour exécuter le mineur sur tous les nœuds du cluster. Le mineur de cryptomonnaie est un binaire open-source écrit en Go, modifié pour inclure l'adresse du portefeuille et des URL personnalisées de pool de minage Dero. Les chercheurs ont également identifié d'autres outils développés par l'attaquant, démontrant une adaptation constante pour échapper aux défenseurs.
Sources :
La police arrête le spécialiste du cryptage des ransomwares Conti et LockBit
La police ukrainienne a arrêté un homme russe de 28 ans à Kyiv pour sa collaboration avec les opérations de ransomware Conti et LockBit, rendant leurs malwares indétectables par les antivirus et menant au moins une attaque lui-même. L'enquête a été soutenue par la police néerlandaise suite à une attaque de ransomware sur une multinationale néerlandaise. L'homme a été arrêté le 18 avril 2024 dans le cadre de l'opération policière 'Endgame' qui a démantelé divers botnets et leurs opérateurs principaux. Spécialiste dans le développement de crypters personnalisés pour emballer les charges utiles des ransomwares, il vendait ses services aux syndicats cybercriminels Conti et LockBit. Des perquisitions ont été menées à Kyiv et dans la région de Kharkiv, et du matériel informatique a été saisi. L'enquête sur ses activités et son implication précise dans les attaques de Conti et LockBit est en cours. Il est inculpé en vertu de l'article 361 du Code pénal ukrainien et risque jusqu'à 15 ans de prison.
Sources :
Leçons de la violation Ticketmaster-Snowflake
La semaine dernière, le groupe de hackers notoire, ShinyHunters, a provoqué un séisme mondial en pillant présumément 1,3 téraoctet de données de 560 millions d'utilisateurs de Ticketmaster. Cette violation colossale, d'une valeur de 500 000 $, pourrait exposer les informations personnelles d'une grande partie de la clientèle de l'entreprise d'événements en direct, suscitant une vague de préoccupations et d'indignation. Live Nation a lancé une enquête et coopère avec les autorités. Les données volées contiennent des informations confidentielles appartenant à des millions de collaborateurs et clients de Santander. Snowflake a publié un avertissement avec CISA, signalant une "augmentation récente de l'activité de cybermenaces ciblant les comptes clients sur sa plateforme de données cloud". Les incidents Snowflake font partie d'une campagne où un acteur de menace utilise des identifiants clients volés pour cibler des organisations utilisant des bases de données Snowflake. La perte de données critique par au moins deux grandes organisations souligne les défis actuels de la cybersécurité mondiale. En mettant en place des contrôles simples comme SSO, MFA et la rotation des mots de passe, le coût des attaques à grande échelle devient prohibitif.
Sources :
Black Basta Ransomware a peut-être exploité une faille Zero-Day de MS Windows
Des acteurs de menace liés au ransomware Black Basta auraient exploité une faille de privilège récemment divulguée dans le service de rapport d'erreurs de Windows de Microsoft en tant que zero-day, selon Symantec. La vulnérabilité CVE-2024-26169 a été corrigée par Microsoft en mars 2024. Le groupe Cardinal, également connu sous les noms Storm-1811 et UNC4393, est suivi par Symantec et est associé au ransomware Black Basta. Ce groupe a été observé utilisant des produits Microsoft légitimes comme vecteurs d'attaque. Symantec a observé un outil d'exploitation utilisé dans une tentative infructueuse d'attaque par ransomware. L'outil exploite une vulnérabilité dans le fichier werkernel.sys de Windows pour obtenir des privilèges administratifs. Une nouvelle famille de ransomware appelée DORRA, une variante de Makop, émerge alors que les attaques de ransomware connaissent une recrudescence. Mandiant rapporte une augmentation de 75% des publications sur les sites de fuite de données en 2023, avec plus de 1,1 milliard de dollars versés aux attaquants, illustrant une reprise de l'activité d'extorsion après une baisse en 2022.
Sources :
Le gang de ransomware Black Basta lié aux attaques zero-day de Windows
Le groupe de ransomware Black Basta est lié à des attaques zero-day sur Windows, exploitant une vulnérabilité de privilège (CVE-2024-26169) avant sa correction par Microsoft le 12 mars 2024. Symantec a identifié des attaques actives par le groupe Cardinal, opérateur de Black Basta, utilisant un outil d'exploitation pour élever les privilèges système. L'outil exploite une faille dans le service Windows Error Reporting pour lancer un shell avec des privilèges SYSTEM. Black Basta a eu accès à cet outil entre 14 et 85 jours avant la correction de Microsoft. CISA et le FBI ont souligné l'activité intense de Black Basta, responsable de 500 violations depuis avril 2022, avec des paiements de rançon dépassant les 100 millions de dollars. Pour se protéger, il est crucial d'appliquer les dernières mises à jour de sécurité de Windows et de suivre les recommandations de CISA.
Sources :
Une nouvelle campagne de phishing déploie une porte dérobée WARMCOOKIE ciblant les demandeurs d'emploi
Des chercheurs en cybersécurité ont révélé une campagne de phishing en cours utilisant des leurres liés au recrutement pour propager un backdoor Windows nommé WARMCOOKIE. Ce backdoor permet de collecter des informations, prendre des captures d'écran et déployer d'autres programmes malveillants. L'attaque utilise des e-mails se faisant passer pour des cabinets de recrutement pour inciter les victimes à cliquer sur des liens piégés. Une fois le lien cliqué, un script JavaScript est téléchargé pour charger WARMCOOKIE via PowerShell. Ce backdoor permet d'établir une persistance et d'exécuter diverses commandes. Il est utilisé dans des campagnes mondiales et est associé à une campagne antérieure nommée Resident. Une autre campagne de phishing sophistiquée a été détaillée, exploitant la fonctionnalité de recherche Windows pour déployer des malwares. Cette attaque nécessite l'interaction des utilisateurs pour déclencher des opérations malveillantes supplémentaires.
Sources :
Des pirates informatiques soutenus par la Chine exploitent une faille Fortinet et infectent 20 000 systèmes dans le monde
Des acteurs menaçants soutenus par l'État chinois ont exploité une faille de sécurité critique pour accéder à 20 000 systèmes Fortinet FortiGate dans le monde entre 2022 et 2023, touchant des gouvernements occidentaux, des organisations internationales et des entreprises de l'industrie de la défense. L'acteur étatique était au courant de la vulnérabilité avant sa divulgation officielle, infectant 14 000 appareils pendant la période de "zero-day". L'attaque a permis l'installation d'une porte dérobée nommée COATHANGER pour un accès distant persistant. Les appareils périphériques sont des cibles populaires pour les attaques en raison de leurs défis de sécurité et de leur connexion directe à Internet, souvent sans solutions de détection et de réponse aux points de terminaison (EDR).
Sources :
Microsoft publie des correctifs pour 51 failles, y compris une vulnérabilité critique MSMQ
Microsoft a publié des mises à jour de sécurité pour corriger 51 failles dans le cadre de ses mises à jour Patch Tuesday de juin 2024. Une vulnérabilité est classée critique et 50 sont jugées importantes. Aucune des failles de sécurité n'a été exploitée dans la nature, mais l'une d'entre elles est répertoriée comme étant publiquement connue. Il s'agit d'un problème de déni de service affectant le processus de validation DNSSEC. D'autres correctifs ont été apportés à des bugs RCE affectant Microsoft Outlook, le pilote Wi-Fi Windows, et plusieurs failles d'escalade de privilèges dans le sous-système noyau Win32 de Windows, entre autres. D'autres fournisseurs ont également publié des mises à jour de sécurité pour corriger plusieurs vulnérabilités au cours des dernières semaines.
