ZATAZ découvre plus de 30 000 accès à Educonnect Titre re-rédigé : Zataz révèle une fuite massive de 30 000 accès Educonnect - Actus du 02/09/2024
RansomHub frappe 210 victimes dans des secteurs critiques, ZATAZ révèle 30 000 accès à Educonnect, et ESET Research découvre des failles zéro days dans WPS Office de Kingsoft. Découvrez les dernières menaces sur la cybersécurité et comment vous protéger.
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Le groupe de ransomware RansomHub cible 210 victimes dans des secteurs critiques
Le groupe de ransomware RansomHub, actif depuis février 2024, a ciblé au moins 210 victimes, selon le gouvernement américain. Ce modèle de ransomware-as-a-service (RaaS), descendant des variantes Cyclops et Knight, a attiré des affiliés de groupes notables comme LockBit et ALPHV. Environ 34 % des attaques de RansomHub ont visé des organisations en Europe. Les cybercriminels exploitent des vulnérabilités connues dans des systèmes comme Apache ActiveMQ et Citrix ADC pour accéder aux réseaux des victimes. Une fois à l'intérieur, ils utilisent des outils comme Mimikatz pour collecter des identifiants et escalader leurs privilèges. Les attaques incluent également des méthodes de chiffrement intermittent pour accélérer le processus d'exfiltration des données, utilisant des outils tels que PuTTY et WinSCP. Parallèlement, le groupe ShinyHunters, renommé Bling Libra, a évolué vers des stratégies d'extorsion plus complexes, incluant des menaces de DDoS et d'atteinte à la réputation des victimes. Cette évolution des attaques de ransomware, qui intègrent des schémas d'extorsion multiples, a été alimentée par la rentabilité des modèles RaaS, incitant même des acteurs étatiques à collaborer avec des groupes criminels.
Sources :
ZATAZ découvre plus de 30 000 accès à Educonnect
ZATAZ a révélé qu'un pirate informatique a divulgué plus de 30 000 comptes d'accès à Educonnect, la plateforme du ministère de l'Éducation nationale française. Educonnect centralise l'accès aux services numériques éducatifs pour les élèves, parents et enseignants, permettant de consulter les notes, emplois du temps et d'autres informations scolaires. Le pirate, identifié comme étant russe, a mis en ligne 34 743 identifiants, comprenant URL, login et mot de passe, sur le dark web. Bien que sa méthode de collecte reste floue, il est probable qu'il ait utilisé l'hameçonnage via un faux site ou un logiciel espion pour obtenir ces données. L'ANSSI, l'agence nationale de la sécurité des systèmes d'information, a été alertée et a pris en charge la situation. ZATAZ recommande aux utilisateurs de changer leurs mots de passe et de surveiller leurs données personnelles, surtout avec la rentrée scolaire 2024 approchant. Cette situation soulève des inquiétudes quant à la sécurité des informations personnelles sur les plateformes éducatives, et souligne l'importance de la vigilance face aux menaces numériques.
Sources :
ESET Research dévoile des failles zéro days dans la Suite bureautique WPS Office pour Windows de l’éditeur de logiciel chinois Kingsoft
Les chercheurs d’ESET ont découvert une faille de sécurité critique (CVE-2024-7262) dans WPS Office pour Windows, développée par Kingsoft. Cette vulnérabilité a été exploitée par le groupe APT-C-60, lié à la Corée du Sud, pour cibler des utilisateurs en Asie de l'Est. L'attaque a été identifiée grâce à un tableur malveillant, qui, bien que semblant ordinaire, contenait un lien hypertexte caché permettant l'exécution d'une bibliothèque malveillante. Ce document, au format MHTML, téléchargeait automatiquement un fichier lors de son ouverture. ESET a également découvert une seconde vulnérabilité (CVE-2024-7263) dans le même logiciel. Après un processus de divulgation coordonné, Kingsoft a corrigé ces failles, mais une analyse ultérieure a révélé que le correctif n'était pas complet, entraînant la création de nouvelles entrées CVE. Cette situation souligne l'importance d'une vérification rigoureuse des correctifs pour éviter que des vulnérabilités ne deviennent des points d'entrée pour des attaques. Avec plus de 500 millions d'utilisateurs, WPS Office reste une cible de choix pour les cybercriminels, rendant la sécurité de ses logiciels essentielle.
Sources :
Kaspersky dénonce des campagnes frauduleuses exploitant la période de rentrée scolaire
À l'approche de la rentrée scolaire, Kaspersky a observé une augmentation des fraudes en ligne, les cybercriminels exploitant cette période pour lancer des campagnes d'hameçonnage ciblées. Ces attaques visent principalement les étudiants, éducateurs et administrateurs du secteur éducatif, cherchant à dérober des données personnelles. Les chercheurs de Kaspersky ont identifié des arnaques utilisant des formulaires de collecte de données sur des plateformes comme SurveyHeart.com, où les victimes reçoivent des notifications les incitant à remplir des questionnaires sous prétexte de protéger leurs comptes Office 365. Ces arnaques peuvent entraîner des conséquences graves, telles que le doxing ou l'usurpation d'identité. Une autre méthode frauduleuse consiste à organiser de faux jeux-concours promettant des gadgets haut de gamme, où les participants doivent fournir des informations personnelles et partager un lien avec leurs contacts. Les prétendus gagnants se voient ensuite demander de payer des frais de livraison, un indicateur clair d'escroquerie. Olga Svistunova, experte en sécurité chez Kaspersky, souligne l'importance de la vigilance face à ces notifications suspectes, car les conséquences d'une telle fraude peuvent être lourdes à long terme.
Sources :
Des pirates informatiques implantent une porte dérobée via un faux leurre Palo Alto GlobalProtect
Des chercheurs de Trend Micro ont averti les entreprises du Moyen-Orient d'une nouvelle campagne de malware ciblant spécifiquement leurs systèmes. Cette campagne utilise de faux installateurs de Palo Alto GlobalProtect pour implanter un malware de type backdoor sur les machines victimes. Les attaquants incitent les utilisateurs à télécharger ces installateurs malveillants, probablement via des emails de phishing. Une fois téléchargé, le faux installateur affiche une fenêtre trompeuse pour simuler une installation légitime, tout en injectant le malware. Écrit en C#, ce malware permet l'exécution de commandes PowerShell à distance, l'exfiltration de fichiers système et l'exécution de charges utiles supplémentaires, menaçant ainsi les opérations des organisations ciblées. Après son installation, il vérifie l'environnement pour éviter d'être détecté, puis commence à exfiltrer des informations vers un serveur de commande et de contrôle (C&C) en utilisant un chiffrement AES. Le C&C utilise une URL récemment enregistrée, faisant référence à "Sharjah", ce qui indique une intention ciblée sur le Moyen-Orient. Pour se protéger, les entreprises doivent renforcer la sensibilisation des employés, appliquer le principe du moindre privilège, et mettre en place des solutions de sécurité adaptées ainsi qu'un plan de réponse aux incidents.
Sources :
Le propriétaire d'une application Telegram arrêté en France est accusé d'activités criminelles
En France, Pavel Durov, le propriétaire de Telegram, a été arrêté à son arrivée le 28 août 2024, en vertu d'un mandat d'arrêt émis par la Police judiciaire nationale française. Cette arrestation fait suite à une enquête sur le refus de Telegram de coopérer concernant des affaires d'abus d'enfants. Durov a été accusé de soutenir des activités criminelles sur la plateforme, notamment des transactions illégales, du trafic de drogue et de la fraude. Après son arrestation, il a obtenu une libération sous caution de 5 millions d'euros, avec l'obligation de se présenter aux autorités deux fois par semaine et de ne pas quitter le pays. Cette arrestation a suscité une indignation mondiale, notamment parmi les défenseurs de la vie privée, qui y voient une atteinte à la liberté d'expression. Les autorités russes ont également condamné cette action, affirmant qu'elle viole les normes internationales de protection de la liberté d'expression. Le président français Emmanuel Macron a précisé que cette affaire relève du judiciaire et non de la politique. L'impact de cette arrestation sur le fonctionnement de Telegram reste incertain, et des détails supplémentaires pourraient émerger au fur et à mesure de l'évolution de l'affaire.
Sources :
Attention aux arnaques iCloud : quand les pirates visent vos photos de vacances
Une nouvelle arnaque numérique, rapportée par ZATAZ, cible les utilisateurs d'Apple avec un faux courriel prétendant offrir une augmentation de stockage iCloud pour 2€. Ce message, conçu pour imiter les communications officielles d'Apple, informe les utilisateurs que leur espace de stockage est saturé et les dirige vers un site frauduleux, tel que « mesmerizedzany.shop », où ils sont invités à entrer les détails de leur carte bancaire. Cette escroquerie exploite la confiance des utilisateurs envers la marque, leur faisant croire à une offre légitime. Une fois les informations saisies, les victimes sont non seulement facturées pour un service inexistant, mais leurs données peuvent également être revendues sur le dark web, augmentant le risque de fraudes supplémentaires. Les conséquences incluent des pertes financières, l'annulation de cartes bancaires et des démarches administratives pour prouver la fraude. Pour se protéger, il est conseillé de vérifier l'authenticité des courriels, de se rendre directement sur le site officiel d'Apple et d'utiliser des outils de sécurité comme l'authentification à deux facteurs. La vigilance est essentielle pour éviter de tomber dans le piège de ces arnaques en ligne.
Sources :
- https://www.zataz.com/attention-aux-arnaques-icloud-quand-les-pirates-visent-vos-photos-de-vacances/
Webinaire : Apprenez à renforcer la cybersécurité grâce à la gestion des vulnérabilités basée sur l'IA
Le domaine de la cybersécurité évolue rapidement, avec l'émergence quotidienne de nouvelles vulnérabilités et des attaquants de plus en plus sophistiqués. Dans ce contexte, l'intelligence artificielle (IA) se présente comme un atout majeur pour la gestion des vulnérabilités. Elle permet aux équipes de sécurité d'identifier les risques à grande échelle en analysant d'énormes volumes de données, de prioriser les menaces critiques pour une utilisation efficace des ressources, et d'accélérer la remédiation grâce à l'automatisation de nombreuses tâches. Ce webinaire se concentrera sur la manière dont les leaders en sécurité peuvent tirer parti de l'IA pour renforcer leurs équipes et instaurer une culture de la sécurité. Les participants apprendront à transformer les développeurs en défenseurs de la sécurité et à adopter une posture proactive au sein de leur organisation. Parmi les points clés abordés, on trouve les innovations de l'IA dans la gestion des vulnérabilités, l'analyse d'experts sur son impact réel, les tendances futures, ainsi que des solutions pour optimiser les processus et améliorer l'efficacité des efforts de sécurité. Ne manquez pas cette occasion d'apprendre des meilleurs et de transformer votre approche de la gestion des vulnérabilités. L'ère de l'IA est là. Êtes-vous prêt ?
Sources :
Moscou espionne la Mongolie avant une visite polémique de Vladimir Poutine
Un rapport de Google, publié le 29 août 2024, révèle une campagne d'espionnage orchestrée par le groupe russe Cozy Bear contre le gouvernement mongol. Les hackers ont infecté les sites du Cabinet présidentiel et du ministère des Affaires étrangères en utilisant des techniques similaires à celles des entreprises de cyberespionnage comme NSO Group, créateur du logiciel Pegasus. Ils ont exploité des vulnérabilités dans iOS et Chrome pour capturer les cookies des visiteurs, permettant ainsi de prendre le contrôle de leurs appareils. Le rapport souligne que les méthodes utilisées par les attaquants semblent provenir des failles découvertes par ces sociétés d'espionnage. Cette cyberattaque survient à l'approche de la visite de Vladimir Poutine en Mongolie, prévue pour le 3 septembre, marquant sa première visite dans un pays signataire du Statut de Rome depuis qu'un mandat d'arrêt a été émis contre lui par la Cour pénale internationale en mars 2023. La Mongolie, en tant que membre de la CPI, est tenue d'arrêter toute personne sous mandat d'arrêt international, ce qui inclut Poutine, accusé de déportation illégale d'enfants ukrainiens. Les motivations des hackers pourraient être liées à la conformité de la Mongolie avec ce traité.
Sources :
Attaques de nouvelle génération, mêmes cibles – Comment protéger l'identité de vos utilisateurs
L'article met en lumière l'importance cruciale de trois actions pour atténuer les menaces de ransomware : installer les mises à jour dès leur sortie, exiger une authentification multifactorielle (MFA) résistante au phishing, et former les utilisateurs. L'émergence de l'IA générative a transformé le paysage des cyberattaques, rendant les utilisateurs ordinaires des cibles privilégiées pour les cybercriminels, malgré les efforts de formation. Les attaques de phishing, qui visent principalement les employés des grandes organisations, exploitent la confiance des utilisateurs envers des voix et visages familiers, rendant ces attaques particulièrement dangereuses. Le rapport "CISO Perspectives on Multifactor Authentication" souligne l'urgence d'adopter des solutions MFA de nouvelle génération, résistantes au phishing, face à l'augmentation des attaques alimentées par l'IA. Les attaques de ransomware-as-a-service (RaaS) et les outils d'IA disponibles sur le dark web facilitent l'exécution d'attaques sophistiquées par des individus peu expérimentés. Les responsables de la cybersécurité doivent prioriser le déploiement de ces solutions MFA pour les utilisateurs à haut risque, afin de protéger les identités et d'empêcher l'accès non autorisé aux données sensibles. En adoptant une stratégie de défense multicouche, les organisations peuvent réduire significativement le risque de cyberattaques.
Sources :
Des packages npm malveillants imitant « noblox.js » compromettent les systèmes des développeurs Roblox
Les développeurs de Roblox sont la cible d'une campagne persistante visant à compromettre leurs systèmes via de faux packages npm, exploitant la confiance dans l'écosystème open-source pour diffuser des malwares. Selon Yehuda Gelb de Checkmarx, des attaquants ont imité la bibliothèque populaire "noblox.js" en publiant des dizaines de packages destinés à voler des données sensibles. Cette activité a été documentée pour la première fois par ReversingLabs en août 2023, révélant un stealer nommé Luna Token Grabber, similaire à une attaque de 2021. D'autres packages malveillants, tels que noblox.js-proxy-server et noblox-ts, ont également été identifiés. Les techniques utilisées incluent le brandjacking et le starjacking, créant une illusion de légitimité pour ces packages. Les noms des faux packages, comme noblox.js-async et noblox.js-api, trompent les développeurs. Le code malveillant sert de porte d'entrée pour des charges supplémentaires, volant des tokens Discord et contournant la détection antivirus. L'objectif final est le déploiement de Quasar RAT, permettant un contrôle à distance du système infecté. Malgré les efforts de suppression, de nouveaux packages continuent d'apparaître, soulignant la nécessité pour les développeurs de rester vigilants face à cette menace persistante.
