Veille cyber du 14/06/2024
Découvrez les dernières actualités sur les attaques de ransomware et les conséquences graves de la suppression de serveurs virtuels. Restez informé sur les menaces informatiques actuelles. #Cybersécurité #Ransomware #ServeursVirtuels
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
CISA met en garde contre un bug de Windows exploité dans des attaques de ransomware
L'agence américaine de cybersécurité CISA a alerté sur une faille Windows exploitée dans des attaques de ransomware. La vulnérabilité CVE-2024-26169 permet à des attaquants locaux d'obtenir des permissions SYSTEM sans interaction utilisateur. Bien que Microsoft ait corrigé la faille en mars 2024, elle n'a pas encore été reconnue comme exploitée. Des chercheurs ont lié cette faille au groupe de ransomware Black Basta, qui aurait eu un exploit opérationnel jusqu'à 85 jours avant le correctif de Microsoft. Les agences fédérales américaines ont trois semaines pour sécuriser leurs systèmes contre cette menace. Black Basta a déjà touché plus de 500 organisations et récolté plus de 100 millions de dollars de rançons.
Sources :
Un ancien employé informatique condamné à 2,5 ans de prison pour avoir effacé 180 serveurs virtuels
Un ancien employé en informatique a été condamné à 2 ans et 8 mois de prison pour avoir effacé 180 serveurs virtuels après avoir été licencié de National Computer Systems (NCS). Nagaraju Kandula, 39 ans, a plaidé coupable d'avoir supprimé les serveurs virtuels pour saboter les systèmes de l'entreprise, causant des dommages estimés à 678 000 $. Il a utilisé ses identifiants non invalidés pour accéder aux systèmes de NCS et a développé un script pour effacer les serveurs virtuels. L'incident a été signalé à la police, qui a retracé l'action à Kandula. Les entreprises doivent bloquer l'accès des anciens employés aux systèmes critiques et réinitialiser les mots de passe pour éviter de telles attaques coûteuses et perturbatrices.
Sources :
Un ancien personnel informatique écope de 2,5 ans pour avoir effacé 180 serveurs virtuels
Un ancien employé en informatique a été condamné à 2 ans et 8 mois de prison pour avoir effacé 180 serveurs virtuels après avoir été licencié de National Computer Systems (NCS). Nagaraju Kandula, 39 ans, a plaidé coupable d'avoir supprimé les serveurs virtuels pour saboter les systèmes de l'entreprise, causant des dommages estimés à 678 000 $. Il avait été licencié pour mauvaise performance mais avait encore accès aux systèmes de l'entreprise. Il a utilisé ses identifiants non invalidés pour accéder aux systèmes de NCS et a développé un script pour effacer les serveurs virtuels. L'attaque a été découverte en mars 2023, et la police a remonté l'action à Kandula. Les entreprises doivent bloquer l'accès des anciens employés aux systèmes critiques et réinitialiser les mots de passe pour éviter de telles attaques coûteuses et dommageables.
Sources :
Microsoft supprime l’application Copilot ajoutée « incorrectement » sur les PC Windows
Microsoft a retiré l'application Copilot qui avait été "incorrectement" ajoutée aux systèmes Windows 10 et 11 en avril en raison de mises à jour défectueuses de Microsoft Edge. L'assistant numérique Copilot, alimenté par l'IA, avait également été ajouté à certaines versions de prévisualisation de Windows Server 2025 plus tôt cette année, mais a été retiré après des réactions négatives des administrateurs de Windows. Après une mise à jour du navigateur Edge en avril, de nombreux utilisateurs ont été surpris de voir une nouvelle application Microsoft Copilot de 8 Ko ajoutée à la liste des programmes installés sur les systèmes Windows Server 2022 en production. Microsoft a publié une mise à jour d'Edge le 18 avril pour empêcher l'installation de l'application sur d'autres systèmes Windows. L'entreprise a résolu le problème pour les appareils Windows Server 2022 le 26 avril avec des mises à jour du navigateur Edge. Microsoft a également retiré l'application Copilot de tous les appareils Windows 10/11 cette semaine. L'entreprise a précisé que l'application n'était pas conçue pour collecter des données utilisateur, mais pour préparer certains appareils à l'activation future de Windows Copilot.
Sources :
Les pirates de Scattered Spider se tournent vers les applications cloud pour le vol de données
La bande de hackers Scattered Spider a changé de cible pour se concentrer sur le vol de données à partir d'applications cloud, en utilisant des techniques d'ingénierie sociale pour accéder aux comptes privilégiés. Ils créent de nouvelles machines virtuelles pour établir leur présence et utilisent des outils de piratage pour se déplacer latéralement dans les réseaux. Mandiant recommande de renforcer la surveillance des applications SaaS, de centraliser les journaux d'activité et de mettre en place des politiques d'accès plus strictes pour limiter les intrusions.
Sources :
leHACK 2024 – RÉVOLUTION !
La 20ème édition de leHACK se tiendra les 5 et 6 juillet 2024 à la Cité des Sciences et de l’Industrie à Paris. L'événement proposera des conférences, des ateliers et des challenges comme le wargame. Organisé par l'association HZV, leHACK met en avant des sujets variés tels que la cybersécurité, l'IA et l'OSINT. Le store est ouvert pour l'achat des billets. Des activités comme le car hacking, un bug bounty, des workshops et le wargame seront également au programme. Les sponsors sont essentiels pour la réalisation de l'événement. Pour devenir sponsor, contactez sponsors@hzv.fr.
Sources :
Le bac à sable de confidentialité de Google accusé de suivi des utilisateurs par une organisation à but non lucratif autrichienne
Google prévoit de supprimer les cookies de suivi tiers dans son navigateur Chrome avec Privacy Sandbox, mais l'ONG autrichienne noyb affirme que cette fonctionnalité peut toujours être utilisée pour suivre les utilisateurs. Selon noyb, Google utilise des pratiques trompeuses en faisant passer le suivi des utilisateurs pour une fonctionnalité de confidentialité. Bien que Privacy Sandbox vise à bloquer le suivi caché, Google est accusé d'utiliser des stratagèmes pour augmenter les taux de consentement. Noyb soutient que même si Privacy Sandbox est moins intrusif que les cookies tiers, Google ne doit pas enfreindre les lois sur la protection des données. Google affirme que Privacy Sandbox offre une amélioration significative de la confidentialité et cherche un équilibre pour répondre aux besoins de toutes les parties prenantes. Noyb a déposé des plaintes contre d'autres grandes entreprises technologiques pour des violations présumées de la vie privée.
Sources :
Selon la NSA, le groupe de hackers chinois Volt Typhoon est en train de se prépositionner dans des infrastructures critiques
Le général Timothy Haugh, chef de la cybersécurité de l'armée américaine, met en garde contre les tentatives de piratage chinois visant les infrastructures critiques. Les attaquants se prépositionnent dans les réseaux en attente d'ordres politiques pour agir. Les entreprises françaises, notamment celles considérées comme stratégiques ou liées à des événements comme les JO, sont particulièrement vulnérables. Les attaques potentielles, telles que celles observées lors du conflit en Ukraine, impliquent des groupes de cybercriminels soutenus par des États qui se prépositionnent dans les infrastructures cibles avant de déclencher des attaques en fonction du contexte.
Sources :
Le géant de l'assurance Globe Life enquête sur une violation d'un portail Web
L'assureur géant Globe Life enquête sur une violation de son portail web, potentiellement exposant des données de consommateurs et de titulaires de polices. La société a pris des mesures immédiates en retirant l'accès externe au portail affecté et en activant son plan de réponse aux incidents. Globe Life affirme que l'incident n'a pas eu d'impact significatif sur ses opérations pour le moment. L'enquête est en cours pour déterminer la portée et l'impact complet de l'incident. Globe Life, une société basée au Texas, a récemment été confrontée à des allégations de fraude en assurance qui ont entraîné une chute de 53,14% de son cours en bourse.
Sources :
Apprenez à sécuriser des données à l'échelle du pétaoctet lors d'un webinaire avec des titans de l'industrie
L'article met en avant la croissance exponentielle des données, passant des pétaoctets réservés aux géants de la tech à une réalité pour toutes les entreprises. Ces données en constante évolution nécessitent une sécurité adaptée, d'où l'importance du webinar "Data Security at the Petabyte Scale" réunissant des experts de renom. Les intervenants, tels que d'anciens responsables de la sécurité chez McDonald's, la CIA, l'unité de cyber renseignement israélienne et Oracle, partageront des stratégies pour sécuriser les environnements à grande échelle, gérer les accès, réduire les risques liés aux données tierces et anticiper les défis futurs. Ce webinar s'adresse aux professionnels de la sécurité des données et aux dirigeants soucieux de protéger les données de leur entreprise dans un contexte de croissance exponentielle des données.
Sources :
Pourquoi les industries réglementées se tournent vers des cyberdéfenses de qualité militaire
Les industries réglementées adoptent des défenses cybernétiques de qualité militaire pour se protéger des menaces croissantes. En utilisant l'analyse de données en temps réel, l'apprentissage automatique et la modélisation prédictive, elles préviennent les violations potentielles avant qu'elles ne se produisent. Les partenariats avec des agences gouvernementales et des experts en cybersécurité renforcent leurs défenses. Les programmes de gestion des risques internes sont essentiels pour compléter les stratégies de cybersécurité. En adoptant des stratégies et des technologies militaires, les organisations renforcent leur résilience, réduisent les risques et respectent la conformité réglementaire.
Sources :
Le système biométrique ZKTeco s'avère vulnérable à 24 failles de sécurité critiques
Une analyse d'un système d'accès biométrique hybride du fabricant chinois ZKTeco a révélé deux douzaines de failles de sécurité pouvant être exploitées par des attaquants pour contourner l'authentification, voler des données biométriques et déployer des portes dérobées malveillantes. Les 24 failles comprennent six injections SQL, sept débordements de tampon basés sur la pile, cinq injections de commandes, quatre écritures de fichiers arbitraires et deux lectures de fichiers arbitraires. Ces vulnérabilités permettent notamment l'authentification en tant qu'utilisateur, l'exécution de commandes OS arbitraires, l'accès à des fichiers sensibles, l'ajout d'utilisateurs frauduleux et l'exécution de code arbitraire. Les conséquences de ces failles sont diverses et graves, allant de la vente de données biométriques volées à l'infiltration de réseaux critiques pour des attaques de cyberespionnage. Il est recommandé de déplacer les lecteurs biométriques dans un segment réseau séparé, d'utiliser des mots de passe d'administrateur robustes, de renforcer les paramètres de sécurité des appareils, de limiter l'utilisation des codes QR et de maintenir les systèmes à jour pour atténuer les risques.
Sources :
L’arnaque « Appelez l’assistance Windows » fait son retour sur les ordinateurs
Une campagne d'arnaque au faux support technique est de retour depuis mai 2024, avec des escrocs redirigeant vers un site clone de Windows signalant un problème sur l'ordinateur. Les victimes sont incitées à contacter un faux numéro de support moyennant une centaine d'euros. La société de cybersécurité Vade confirme une hausse de ces arnaques, identifiant une adresse IP hébergeant plusieurs escroqueries similaires. Les autorités américaines ont saisi 1,4 million d'euros en crypto-monnaie liés à une équipe de malfaiteurs spécialisés dans ces arnaques. Les personnes âgées sont les principales cibles. Il est recommandé d'en parler à ses proches.
Sources :
Si vous avez un Google Pixel, vous devez vite installer cette mise à jour de sécurité
Les propriétaires de smartphones Google Pixel doivent surveiller les mises à jour en raison d'une faille de sécurité grave révélée par Google. Cette vulnérabilité permettrait de prendre le contrôle du smartphone et a déjà été exploitée par des pirates. Google propose des mises à jour régulières pour sa gamme Pixel afin de prévenir de telles attaques. Pour vérifier les mises à jour de sécurité, les utilisateurs doivent se rendre dans les paramètres du téléphone. Il est recommandé de suivre les étapes pour sécuriser le téléphone. Les mises à jour sont essentielles pour éviter la récupération de données personnelles par des acteurs malveillants.
Sources :
Des pirates nord-coréens ciblent la Fintech brésilienne avec des tactiques de phishing sophistiquées
Des acteurs liés à la Corée du Nord ont représenté un tiers de toutes les activités de phishing ciblant le Brésil depuis 2020. Les groupes d'espionnage cybernétique ont ciblé le gouvernement brésilien, ainsi que les secteurs aérospatial, technologique et des services financiers. Les attaques se concentrent sur les entreprises de cryptomonnaie et de technologie financière. Les tactiques incluent l'envoi de documents PDF inoffensifs pour inciter les cibles à télécharger des applications Python piégées. D'autres campagnes de phishing ont visé des entreprises brésiliennes en se faisant passer pour des recruteurs ou des employés d'entreprises renommées. Google a bloqué des tentatives de ciblage de diplomates par un autre groupe nord-coréen, PRONTO. Microsoft a révélé l'existence d'un nouvel acteur de la menace, Moonstone Sleet, qui mène des attaques de ransomware et d'espionnage. Ces attaques exploitent la confiance des utilisateurs dans les dépôts open-source pour toucher un large public.
Sources :
Microsoft retarde la fonctionnalité de rappel basée sur l'IA pour les PC Copilot+ en raison de problèmes de sécurité
Microsoft a annoncé jeudi le report du déploiement de la fonctionnalité controversée Recall, alimentée par l'intelligence artificielle, pour les PC Copilot+. La société prévoit désormais de passer d'une disponibilité générale à une version de prévisualisation d'abord dans le programme Windows Insider. Cette décision vise à garantir la qualité et la sécurité de l'expérience en recueillant les retours de la communauté Windows Insider. Initialement prévue pour le 18 juin 2024, Recall a suscité des inquiétudes en raison de risques pour la vie privée et la sécurité. Microsoft a réagi en rendant Recall facultatif et en renforçant la sécurité, notamment en exigeant une authentification via Windows Hello pour visualiser le contenu. Ce report intervient après le témoignage du président de Microsoft, Brad Smith, devant le Congrès sur les lacunes de sécurité de l'entreprise. Cette situation souligne la prudence croissante entourant le déploiement des capacités d'IA, alors qu'Apple a récemment dévoilé une nouvelle méthodologie, le Private Cloud Compute, pour traiter les tâches d'IA de manière respectueuse de la vie privée.
Sources :
Microsoft retarde le rappel de Windows en raison de problèmes de confidentialité et de sécurité
Microsoft retarde le lancement de sa fonctionnalité Windows Recall en raison de préoccupations en matière de confidentialité et de sécurité. Initialement prévue pour une prévisualisation publique le 18 juin, elle sera d'abord disponible pour les Windows Insiders. Cette décision fait suite à des inquiétudes exprimées par des experts en cybersécurité sur le potentiel abus de cette fonctionnalité. Microsoft a annoncé des mesures supplémentaires de sécurité, notamment le chiffrement de la base de données jusqu'à ce que l'utilisateur s'authentifie avec Windows Hello. Malgré ces ajustements, la confiance des utilisateurs reste à reconquérir.
Sources :
Truist Bank confirme la violation après que des données volées soient apparues sur un forum de piratage
Truist Bank, une banque commerciale américaine de premier plan, a confirmé cette semaine que ses systèmes ont été compromis lors d'une cyberattaque en octobre 2023, après qu'un acteur de menace ait mis en vente certaines données de l'entreprise sur un forum de piratage. La banque, née de la fusion de SunTrust Banks et de BB&T en décembre 2019, offre une gamme étendue de services. Un acteur de menace nommé Sp1d3r vend des données prétendument volées, dont des informations appartenant à 65 000 employés, pour 1 million de dollars. Bien que BleepingComputer n'ait pas pu vérifier ces affirmations de manière indépendante, les données contiennent également des transactions bancaires avec des noms, des numéros de compte, des soldes et du code source pour le système téléphonique automatisé de transfert de fonds d'Interactive Voice Response (IVR) de Truist Bank. La banque a déclaré avoir pris des mesures pour sécuriser ses systèmes et a informé un petit nombre de clients. L'incident n'est pas lié aux attaques Snowflake, et aucune preuve de fraude n'a été trouvée jusqu'à présent.
