Veille cyber du 21/06/2024
Découvrez comment un espace de phishing a piégé 235 millions de victimes, comment la cyber police française intensifie ses efforts et l'histoire choquante d'un ex-employé effaçant les données de son ancien patron. Plongez dans le monde fascinant de la cybersécurité!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Découverte d’un espace de phishing aux 235 millions de victimes
Un espace de phishing sur le dark web a été découvert par ZATAZ, contenant plus de 47 000 tentatives de phishing différentes, touchant potentiellement 235 millions de victimes. L'analyse d'une cyberattaque classique a mené à la découverte d'un nid de pirates spécialisés dans le phishing. Des données personnelles telles que adresses IP, identités, adresses électroniques, numéros de téléphone et mots de passe ont été collectées. ZATAZ a alerté les victimes et les a incitées à renforcer leur sécurité en ligne. L'opérateur de ce phishing semble utiliser un kit d'hameçonnage lucratif, stockant des milliers de kits visant divers pays. En tout, plus de 47 000 pages de phishing différentes ont été découvertes, potentiellement affectant des millions de personnes.
Sources :
La cyber police française carbure au super
La cyber police française a récemment démantelé un réseau d'escrocs opérant via des faux sites de vente en ligne, avec 3 individus arrêtés et 4 millions d'euros de fausses ventes saisies. Une collaboration entre l'Office anti-cybercriminalité et l'Office central de répression de la grande délinquance financière a permis ces actions. Par ailleurs, une opération en Roumanie et en Ukraine a conduit à l'arrestation de 5 pirates informatiques impliqués dans des cyberattaques contre des particuliers et des entreprises. En France, une enquête a été ouverte suite à une attaque de rançongiciel, avec 35 victimes identifiées et un préjudice estimé à près d'un million d'euros. Au total, 5 personnes ont été arrêtées, 50 000 € saisis et plus de 1 000 clefs de déchiffrement retrouvées.
Sources :
Un ancien employé garde ses accès et efface les données de son ex patron
Un ancien employé informatique condamné à 2 ans et 8 mois de prison pour avoir effacé 180 serveurs virtuels de National Computer Systems après son licenciement. Nagaraju Kandula, 39 ans, a utilisé ses identifiants non révoqués pour accéder aux systèmes de l'entreprise entre janvier et mars 2023, causant des dommages estimés à 678 000 $. NCS souligne l'importance de bloquer rapidement l'accès des anciens employés pour éviter de telles attaques.
Sources :
Change Healthcare répertorie les données médicales volées lors d'une attaque de ransomware
L'article rapporte que UnitedHealth a confirmé pour la première fois les types de données médicales et de patients volées lors de l'attaque massive de ransomware contre Change Healthcare. Les notifications de violation de données seront envoyées en juillet, exposant une "quantité substantielle de données" pour une "proportion substantielle de personnes en Amérique". Les informations sensibles volées incluent des données d'assurance santé, des informations médicales, des informations de facturation et de paiement, ainsi que d'autres informations personnelles. Bien que les historiques médicaux complets des patients n'aient pas été vus dans les données volées, les individus impactés peuvent s'inscrire à une surveillance de crédit gratuite pendant deux ans. L'attaque a entraîné des pertes de 872 millions de dollars pour United Health, avec des conséquences sur le système de santé américain.
Sources :
Piratage de VPN Fortinet par la Chine : plus de 20 000 systèmes compromis
Des hackers chinois ont exploité une faille critique dans les VPN Fortinet, touchant plus de 20 000 systèmes mondialement. Révélé par les services de renseignement néerlandais, ce piratage met en lumière la sophistication des cyberattaques chinoises. La vulnérabilité CVE-2022-42475 permet aux attaquants d'exécuter du code à distance sur les appareils non patchés. Les agences de sécurité ont réagi en fournissant des recommandations pour détecter et atténuer les infections. Des attaques similaires ont visé une organisation aéronautique en exploitant des vulnérabilités dans Zoho ManageEngine et les produits VPN Fortinet. Ces attaques ont permis aux hackers d'obtenir des accès administratifs et de compromettre des informations sensibles.
Sources :
Cinq hommes condamnés pour avoir exploité le site de streaming illégal Jetflicks
Cinq hommes ont été reconnus coupables d'avoir exploité le site de streaming illégal Jetflicks aux États-Unis. Le service a fonctionné pendant 12 ans, proposant des milliers de films et épisodes TV piratés. Les accusés ont généré des millions de dollars en diffusant du contenu volé à des milliers d'abonnés payants. Les condamnations incluent des accusations de violation du droit d'auteur et de blanchiment d'argent, avec des peines potentielles allant jusqu'à 48 ans de prison pour le principal accusé. Les peines finales seront décidées ultérieurement par un juge fédéral.
Sources :
Démantèlement de fermes de bots dédiés à la propagande Russe
L'Agence de Sécurité d'Ukraine a démantelé deux fermes de bots utilisées par les services de renseignement russes pour propager de fausses informations et pirater les téléphones des soldats ukrainiens. Une femme à Jytomyr créait des numéros de téléphone virtuels pour les vendre aux Russes, tandis qu'à Dnipro, un homme créait des milliers de comptes fictifs vendus sur le Darknet. En parallèle, deux infirmières russes ont été arrêtées pour avoir tagué un monument patriotique russe. La guerre de l'information et la propagande numérique sont en plein essor.
Sources :
Publication de données d’analyses sanguines volées suite à une cyberattaque
Un groupe de cybercriminels a publié des données sensibles volées à une société d'analyses sanguines fournissant le NHS, provoquant des perturbations majeures dans plusieurs hôpitaux londoniens. Cette cyberattaque a entraîné le report de milliers de rendez-vous médicaux et opérations. Les données divulguées comprennent des informations personnelles telles que des noms de patients, des dates de naissance et des numéros de sécurité sociale, ainsi que des détails sur les accords financiers entre les hôpitaux, les médecins et la société piratée. Pour se protéger contre de telles attaques, les entreprises doivent mieux connaître et contrôler leurs données, ainsi que mettre en place des solutions automatisées pour limiter l'accès. Il est également crucial d'établir un "espace sécurisé" pour maintenir les activités en cas de ransomware et assurer une cyber-résilience optimale.
Sources :
Les États-Unis interdisent les produits Kaspersky en invoquant des risques de sécurité : ce que cela signifie pour vous
Le gouvernement américain interdit les produits Kaspersky en raison de risques de sécurité, ce qui signifie que les utilisateurs aux États-Unis doivent trouver des alternatives. Le Département du Commerce a interdit à Kaspersky de vendre ses produits de sécurité principaux aux États-Unis, citant des risques pour la sécurité nationale. Les produits Kaspersky ne seront plus autorisés pour une utilisation commerciale ou individuelle aux États-Unis. Les restrictions entreront en vigueur progressivement à partir de juillet. Kaspersky conteste la décision, affirmant ne pas menacer la sécurité nationale américaine. Les clients actuels devront trouver des solutions alternatives d'ici septembre.
Sources :
Des pirates informatiques chinois déploient SpiceRAT et SugarGh0st dans le cadre d'une campagne mondiale d'espionnage
Un nouvel acteur de la menace, nommé SneakyChef, ciblant principalement les entités gouvernementales en Asie et en EMEA avec le malware SugarGh0st, a été découvert. Les chercheurs de Cisco Talos ont identifié des leurres sous forme de documents scannés d'agences gouvernementales, principalement liés aux ministères des Affaires étrangères ou aux ambassades. L'attaque a été observée en Corée du Sud et en Ouzbékistan, puis aux États-Unis, en Angola, en Inde, en Lettonie, en Arabie saoudite et au Turkménistan. Le malware SugarGh0st est délivré via des fichiers LNK dans des archives RAR et un SFX. Une nouvelle variante de RAT nommée SpiceRAT a également été utilisée, avec des leurres provenant d'un journal russe au Turkménistan. SpiceRAT utilise des techniques de chargement de DLL pour se propager et exécuter des commandes arbitraires, augmentant ainsi la surface d'attaque sur le réseau de la victime.
Sources :
Tor Browser 13.5 apporte des améliorations à Android et une meilleure gestion des ponts
Le Tor Browser 13.5 apporte des améliorations pour Android et la gestion des ponts. Sur desktop, il propose une meilleure gestion des ponts, une amélioration du letterboxing et des messages d'erreur plus cohérents. Sur Android, des améliorations clés ont été introduites, notamment une refonte des écrans de connexion et un déplacement des journaux Tor dans les paramètres de connexion. Les utilisateurs sous Windows 8.1 et macOS 10.14 devront passer à une version plus récente pour continuer à recevoir des mises à jour de sécurité. La version 14.0 est prévue pour fin 2024.
Sources :
S’abonner à YouTube Premium en Turquie pour payer moins cher, c’est fini
En France, un abonnement YouTube Premium coûte 12,99 euros par mois, tandis qu'en Turquie, il est possible de l'obtenir pour 1,50 euro par mois. Des fraudeurs utilisent des VPN ou des comptes turcs pour s'abonner à moindre coût. Google a commencé à suspendre les abonnements suspects, liés à la fraude au VPN. D'autres plateformes pourraient suivre. Certains utilisateurs mécontents menacent de recourir au piratage. Des services comme Netflix et Spotify pourraient également prendre des mesures similaires. Deezer bloque déjà les paiements français depuis l'étranger. Les VPN recommandés sont NordVPN, Cyberghost et Surfshark.
Sources :
La Suède a rejoint l’OTAN, et depuis des perturbations satellites suspectes ont lieu
Depuis l'adhésion de la Suède à l'OTAN en mars 2024, des interférences perturbent les réseaux satellitaires suédois, attribuées à la Russie. Ces perturbations ont affecté le contrôle du trafic aérien et la diffusion de chaînes de télévision pour enfants. Malgré les dénégations de la Russie, des représailles sont envisagées en raison de cette adhésion à l'OTAN. La Finlande a également rejoint l'alliance suite à l'invasion de l'Ukraine par la Russie en 2022. Ces incidents s'inscrivent dans un contexte de tensions entre la Russie et les pays nordiques, qui ont choisi de se protéger collectivement face à la menace perçue de Moscou.
Sources :
Une escroquerie par courrier électronique sur le thème militaire propage des logiciels malveillants pour infecter les utilisateurs pakistanais
Des chercheurs en cybersécurité ont découvert une nouvelle campagne de phishing ciblant des personnes au Pakistan avec un backdoor personnalisé nommé PHANTOM#SPIKE. Les acteurs de menace inconnus ont utilisé des documents de phishing liés à l'armée pour activer la séquence d'infection. La campagne se distingue par sa simplicité et l'utilisation de charges utiles simples pour obtenir un accès distant aux machines cibles. Les emails contiennent une archive ZIP prétendant être des comptes rendus de réunions liées au Forum militaro-technique international Army 2024, organisé par le ministère de la Défense de la Fédération de Russie. L'archive contient un fichier CHM et un exécutable caché ("RuntimeIndexer.exe") agissant comme backdoor pour établir des connexions avec un serveur distant, exécuter des commandes à distance et voler des informations sensibles.
Sources :
Comment utiliser la matrice des capacités d'automatisation SOC de Tines
Le SOC Automation Capability Matrix est un outil personnalisable et indépendant des fournisseurs, recommandé par la communauté de la sécurité depuis son lancement en janvier 2023. Il permet aux équipes d'opérations de sécurité de réagir de manière proactive aux incidents de cybersécurité courants. Ce cadre interactif offre des techniques pour inspirer les mises en œuvre futures, évaluer le succès et rapporter les résultats. Il est adaptable aux besoins des organisations et propose des stratégies pour détecter et répondre aux emails de phishing. En utilisant des outils API, comme VirusTotal et EmailRep, il est possible d'enrichir les informations pour les analystes. L'automatisation des actions critiques, telles que les alertes de phishing, l'analyse de fichiers et de domaines, la notification des utilisateurs et le blocage de domaines, permet d'économiser du temps et d'améliorer l'efficacité des équipes de cybersécurité. Un cas d'étude illustre comment le SOC ACM a été utilisé pour évaluer et améliorer un programme d'automatisation dans une entreprise de Fintech. Pour plus d'informations, l'outil est disponible sur Notion, hébergé par l'équipe de Tines.
Sources :
CDK met en garde : les acteurs de la menace appellent les clients et se font passer pour de l'assistance
CDK Global, a software-as-a-service platform for US car dealerships, faced cyberattacks leading to system shutdowns and customer support channel closures. The outage disrupted dealership operations, prompting CDK to caution customers about threat actors posing as company affiliates to gain system access. CDK set up toll-free lines for status updates and advised against performing certain tasks. The company is working with experts to assess the impact and restore services, with no estimated resolution timeframe. Customers are warned to beware of phishing attempts and unauthorized communications.
Sources :
Diffusion de portes dérobées Oyster via des téléchargements de logiciels populaires sous forme de chevaux de Troie
Une campagne de malvertising exploite des installateurs de logiciels populaires tels que Google Chrome et Microsoft Teams pour distribuer un backdoor nommé Oyster. Les acteurs de la menace dirigent les utilisateurs vers des sites web contrefaits prétendant contenir des logiciels légitimes, mais qui en réalité lancent une chaîne d'infection par des logiciels malveillants. Le backdoor Oyster est capable de collecter des informations sur l'hôte compromis, de communiquer avec une adresse de commande et de contrôle codée en dur, et de supporter l'exécution de code à distance. Cette campagne est liée au groupe ITG23, associé à TrickBot. Parallèlement, un groupe de cybercriminalité nommé Rogue Raticate est impliqué dans une campagne de phishing par e-mail utilisant des leurres PDF pour déployer NetSupport RAT. Une nouvelle plateforme de phishing en tant que service appelée ONNX Store a également émergé, offrant des services d'hébergement et de RDP, et utilisant des mécanismes anti-bot pour éviter la détection.
Sources :
Les détecteurs d’IA peuvent-ils nous sauver de ChatGPT ? J'ai essayé 6 outils en ligne pour le savoir
L'article examine l'utilisation de ChatGPT et d'autres outils de génération de texte pour lutter contre le plagiat généré par l'IA. Ces outils peuvent poser problème aux enseignants et éditeurs car ils produisent des textes difficiles à distinguer de ceux écrits par des humains, facilitant ainsi le plagiat. Les vérificateurs de plagiat comme Turnitin peuvent aider à repérer les similitudes, mais ne sont pas infaillibles. Il est difficile de déterminer avec certitude si un texte a été généré par une IA, et les outils actuels ne sont pas toujours fiables. Malgré des améliorations, il est préférable de se fier à la perception humaine pour détecter les travaux générés par une IA. Certains outils comme GPT-2 Output Detector peuvent aider à repérer les textes générés par une IA, mais leur précision est limitée. Les outils d'écriture IA peuvent être utiles en éducation et journalisme, mais suscitent également des inquiétudes quant à leur utilisation pour produire des contenus trompeurs ou biaisés.
Sources :
Vulnérabilité SolarWinds Serv-U sous attaque active – Corrigez immédiatement
Un récent bug de sécurité de gravité élevée affectant le logiciel de transfert de fichiers SolarWinds Serv-U est activement exploité par des acteurs malveillants. La vulnérabilité, identifiée sous le code CVE-2024-28995 (score CVSS : 8.6), permet à des attaquants de lire des fichiers sensibles sur la machine hôte via une faille de transversalité de répertoire. Toutes les versions antérieures à Serv-U 15.4.2 HF 1 sont concernées, mais le correctif a été publié dans la version Serv-U 15.4.2 HF 2. Découverte par le chercheur en sécurité Hussein Daher, cette faille a été qualifiée de facile à exploiter par Rapid7. Des attaques opportunistes ont déjà été enregistrées, incitant les utilisateurs à appliquer les mises à jour pour se protéger.
Sources :
« Les drones vont tous attaquer » : Thales dévoile une plateforme pour automatiser les combats
Lors du salon Eurosatory, Thales a présenté la plateforme OpenDRobotics pour contrôler des drones et robots létaux. Cette interface permet de commander des engins depuis des écrans. Thales vise à intégrer sa technologie dans les futurs systèmes de combat, comme le véhicule Griffon. Des essaims de drones entraînés par une IA sont programmés pour des scénarios d'attaque. Malgré l'automatisation, un opérateur peut toujours intervenir manuellement. L'armée française envisage une armée robotisée d'ici 2030.
Sources :
Les États-Unis interdisent le logiciel Kaspersky, invoquant des risques pour la sécurité nationale
Le Bureau de l'industrie et de la sécurité du Département du Commerce des États-Unis a annoncé une interdiction sans précédent interdisant à la filiale américaine de Kaspersky Lab d'offrir directement ou indirectement ses logiciels de sécurité dans le pays. Cette mesure vise à contrer les risques pour la sécurité nationale posés par les opérations de l'entreprise en raison de ses liens avec le gouvernement russe. Kaspersky est accusé de fournir un accès au Kremlin à des informations sensibles des clients américains, ce qui pourrait entraîner des risques de vol de données, d'espionnage et de dysfonctionnement des systèmes. La société sera interdite de vendre ses logiciels aux consommateurs et aux entreprises américaines à partir du 20 juillet, mais pourra continuer à fournir des mises à jour aux clients existants jusqu'au 29 septembre. Cette décision s'inscrit dans un contexte de tensions géopolitiques et de préoccupations théoriques, selon Kaspersky, qui estime que cela entravera la lutte contre la cybercriminalité.
Sources :
Biden interdit le logiciel antivirus Kaspersky aux États-Unis pour des raisons de sécurité
Le Bureau of Industry and Security (BIS) du Département du Commerce des États-Unis a annoncé une interdiction finale interdisant à Kaspersky Lab, Inc., filiale américaine d'une entreprise russe de logiciels antivirus et de cybersécurité, de fournir directement ou indirectement des produits ou services antivirus et de cybersécurité aux États-Unis ou aux personnes américaines. Cette décision vise à protéger la sécurité nationale américaine contre les menaces potentielles liées à l'exploitation de données sensibles par des entreprises russes telles que Kaspersky Lab. Cette mesure découle notamment de l'acquisition par Kaspersky de outils de sécurité secrets liés au groupe Equation, supposé être la division des opérations cybernétiques de la NSA. Kaspersky a mis en place des mesures de transparence et de protection, mais cette interdiction entraînera des perturbations pour ses clients.
