Avez-vous déjà entendu parler d’une arnaque au « dépeçage de porc » ? Ou une attaque DDoS si importante qu’elle pourrait faire fondre votre cerveau ? Le récapitulatif de la cybersécurité de cette semaine contient de tout : des confrontations gouvernementales, des logiciels malveillants sournois et même un soupçon de manigances sur l’App Store.
Obtenez le scoop avant qu’il ne soit trop tard !
⚡ Menace de la semaine
Double problème : Evil Corp et LockBit chute : Un consortium d’organismes internationaux chargés de l’application des lois a pris des mesures pour arrêter quatre personnes et démanteler neuf serveurs liés à l’opération de rançongiciel LockBit (alias Bitwise Spider). Parallèlement, les autorités ont dénoncé un ressortissant russe nommé Aleksandr Ryzhenkov, qui était l’un des membres de haut rang du groupe de cybercriminalité Evil Corp et également affilié à LockBit. Au total, 16 personnes faisant partie d’Evil Corp ont été sanctionnées par le Royaume-Uni.
🔔 Meilleures nouvelles
- Le DoJ et Microsoft s’emparent de plus de 100 domaines de hackers russes : Le ministère américain de la Justice (DoJ) et Microsoft ont annoncé la saisie de 107 domaines Internet utilisés par un acteur menaçant parrainé par l’État russe, COLDRIVER, pour orchestrer des campagnes de collecte d’informations d’identification ciblant les ONG et les groupes de réflexion qui soutiennent les employés du gouvernement et les responsables militaires et du renseignement.
- Attaque DDoS record de 3,8 Tbit/s : Cloudflare a révélé avoir déjoué une attaque par déni de service distribué (DDoS) record qui a culminé à 3,8 térabits par seconde (Tbps) et a duré 65 secondes. L’attaque fait partie d’une vague plus large de plus d’une centaine d’attaques DDoS hyper-volumétriques L3/4 qui se poursuivent depuis début septembre 2024, ciblant les secteurs des services financiers, d’Internet et des télécommunications. L’activité n’a été attribuée à aucun acteur menaçant spécifique.
- Des pirates nord-coréens déploient le nouveau cheval de Troie VeilShell : Un acteur malveillant lié à la Corée du Nord, appelé APT37, a été attribué à une campagne furtive ciblant le Cambodge et probablement d’autres pays d’Asie du Sud-Est, qui propose un cheval de Troie de porte dérobée et d’accès à distance (RAT) jusqu’alors non documenté appelé VeilShell. Le logiciel malveillant est soupçonné d’être distribué via des e-mails de spear phishing.
- Fausses applications de trading sur les magasins Apple et Google : Une campagne de fraude à grande échelle a exploité de fausses applications commerciales publiées sur l’App Store d’Apple et le Google Play Store, ainsi que des sites de phishing, pour escroquer les victimes dans le cadre de ce qu’on appelle une escroquerie de boucherie de porcs. Les applications ne sont plus disponibles au téléchargement. Il a été constaté que la campagne cible les utilisateurs de la région Asie-Pacifique, Europe, Moyen-Orient et Afrique. Dans un développement connexe, Gizmodo signalé que les utilisateurs de Truth Social ont perdu des centaines de milliers de dollars à cause des escroqueries liées à la boucherie de porcs.
- Plus de 700 000 routeurs DrayTek vulnérables aux attaques à distance : Pas moins de 14 failles de sécurité, baptisées DRAY:BREAK, ont été découvertes dans les routeurs résidentiels et d’entreprise fabriqués par DrayTek et pourraient être exploitées pour prendre le contrôle des appareils sensibles. Les vulnérabilités ont été corrigées suite à une divulgation responsable.
📰 Autour du cybermonde
- Le typhon Salt a violé les réseaux AT&T, Verizon et Lumen : Un acteur étatique chinois connu sous le nom de Salt Typhoon a pénétré les réseaux de fournisseurs de haut débit américains, notamment AT&T, Verizon et Lumen, et a probablement accédé à « des informations provenant de systèmes que le gouvernement fédéral utilise pour les demandes d’écoutes téléphoniques autorisées par les tribunaux », selon le Wall Street Journal. signalé. « Les pirates semblent s’être livrés à une vaste collecte de trafic Internet provenant de fournisseurs de services Internet qui comptent parmi leurs clients des entreprises, grandes et petites, ainsi que des millions d’Américains. »
- Le Royaume-Uni et les États-Unis mettent en garde contre les activités de spear-phishing iraniennes : Les cyberacteurs travaillant pour le compte du Corps des Gardiens de la révolution islamique (CGRI) du gouvernement iranien ont ciblé les individus ayant un lien avec les affaires iraniennes et du Moyen-Orient pour obtenir un accès non autorisé à leurs comptes personnels et professionnels en utilisant des techniques d’ingénierie sociale, soit par courrier électronique, soit par messagerie. « Les acteurs tentent souvent d’établir des relations avant de solliciter les victimes pour qu’elles accèdent à un document via un lien hypertexte, qui redirige les victimes vers une fausse page de connexion à un compte de messagerie dans le but de capturer leurs informations d’identification », expliquent les agences. dit dans un avis. « Les victimes peuvent être invitées à saisir des codes d’authentification à deux facteurs, à les fournir via une application de messagerie ou à interagir avec des notifications téléphoniques pour permettre l’accès aux cyber-acteurs. »
- Crise de l’arriéré des NVD au NIST – Plus de 18 000 CVE non analysés : Une nouvelle analyse a révélé que le National Institute of Standards and Technology (NIST), l’organisme de normalisation du gouvernement américain, a encore un long chemin à parcourir en termes d’analyse des CVE récemment publiés. Au 21 septembre 2024, 72,4 % des CVE (18 358 CVE) du NVD n’ont pas encore été analysés, VulnCheck ditajoutant que « 46,7 % des vulnérabilités exploitées connues (KEV) restent non analysées par le NVD (contre 50,8 % au 19 mai 2024). » Il convient de noter qu’un total de 25 357 nouvelles vulnérabilités ont été ajoutées à NVD depuis le 12 février 2024, lorsque le NIST a réduit son traitement et son enrichissement des nouvelles vulnérabilités.
- Failles majeures du RPKI découvertes dans la défense cryptographique de BGP : Un groupe de chercheurs allemands a trouvé que les mises en œuvre actuelles de l’infrastructure à clé publique de ressources (RPKI), qui ont été introduits comme un moyen d’introduire une couche cryptographique dans le Border Gateway Protocol (BGP), « manquent de résilience de niveau production et sont en proie à des vulnérabilités logicielles, des spécifications incohérentes et des défis opérationnels ». Ces vulnérabilités vont du déni de service et du contournement de l’authentification à l’empoisonnement du cache et à l’exécution de code à distance.
- Le changement de politique de données de Telegram pousse les cybercriminels vers des applications alternatives : La récente décision de Telegram de communiquer les adresses IP et les numéros de téléphone des utilisateurs aux autorités en réponse à des demandes légales valables incite les groupes de cybercriminalité à chercher d’autres alternatives à l’application de messagerie, notamment Jabber, Tox, Matrix, Signal et Session. Le gang du ransomware Bl00dy a déclaré qu’il « quittait Telegram », tandis que des groupes hacktivistes comme Al Ahad, Marocain Cyber Aliens et RipperSec ont exprimé leur intention de passer à Signal et Discord. Cela dit, ni Signal ni Session ne prennent en charge les fonctionnalités de bot ou les API comme Telegram et ne disposent pas non plus de capacités étendues de messagerie de groupe. Jabber et Tox, en revanche, ont déjà été utilisés par des adversaires opérant sur des forums clandestins. « La vaste base d’utilisateurs mondiale de Telegram offre toujours une portée étendue, ce qui est crucial pour les activités cybercriminelles telles que la diffusion d’informations, le recrutement d’associés ou la vente de biens et services illicites », Intel 471 dit. Le PDG de Telegram, Pavel Durov, a cependant minimisé les changements, déclarant que « peu de choses ont changé » et qu’il partage des données avec les forces de l’ordre depuis 2018 en réponse à des demandes légales valides. « Par exemple, au Brésil, nous avons divulgué les données de 75 demandes légales au premier trimestre (janvier-mars) 2024, 63 au deuxième trimestre et 65 au troisième trimestre. En Inde, notre plus grand marché, nous avons satisfait 2 461 demandes juridiques au premier trimestre et 2 151 au deuxième trimestre. et 2380 au troisième trimestre », a ajouté Durov.
🔥 Ressources et informations sur la cybersécurité
- Webinaires EN DIRECT
- Demandez à l’expert
- Q : Comment les organisations peuvent-elles réduire les coûts de conformité tout en renforçant leurs mesures de sécurité ?
- UN: Vous pouvez réduire les coûts de conformité tout en renforçant la sécurité en intégrant intelligemment des technologies et des frameworks modernes. Commencez par adopter des modèles de sécurité unifiés comme NIST CSF ou ISO 27001 pour couvrir plusieurs besoins de conformité, facilitant ainsi les audits. Concentrez-vous sur les zones à haut risque en utilisant des méthodes telles que FAIR afin que vos efforts s’attaquent aux menaces les plus critiques. Automatisez les contrôles de conformité avec des outils tels que Splunk ou IBM QRadar et utilisez l’IA pour une détection plus rapide des menaces. Consolidez vos outils de sécurité sur des plateformes telles que Microsoft 365 Defender pour économiser sur les licences et simplifier la gestion. L’utilisation de services cloud avec conformité intégrée de fournisseurs comme AWS ou Azure peut également réduire les coûts d’infrastructure. Renforcez la sensibilisation à la sécurité de votre équipe avec des plateformes de formation interactives pour créer une culture qui évite les erreurs. Automatisez les rapports de conformité à l’aide de ServiceNow GRC pour faciliter la documentation. Mettez en œuvre des stratégies Zero Trust telles que la micro-segmentation et la vérification continue de l’identité pour renforcer les défenses. Gardez un œil sur vos systèmes avec des outils comme Tenable.io pour détecter et corriger rapidement les vulnérabilités. En suivant ces étapes, vous pouvez économiser sur les dépenses de conformité tout en préservant votre sécurité.
- Outils de cybersécurité
- capa Explorateur Web est basé sur un navigateur outil qui vous permet d’explorer de manière interactive les capacités du programme identifiées par capa. Il fournit un moyen simple d’analyser et de visualiser les résultats de capa dans votre navigateur Web. capa est un outil gratuit et open source de l’équipe FLARE qui extrait les fonctionnalités des fichiers exécutables, vous aidant à trier les fichiers inconnus, à guider l’ingénierie inverse et à rechercher les logiciels malveillants.
- Matrice des outils contre les ransomwares est à jour liste d’outils utilisé par les ransomwares et les gangs d’extorsion. Étant donné que ces cybercriminels réutilisent souvent des outils, nous pouvons utiliser ces informations pour rechercher des menaces, améliorer les réponses aux incidents, repérer des modèles de comportement et simuler leurs tactiques lors d’exercices de sécurité.
🔒 Conseil de la semaine
Conservez une « liste d’ingrédients » pour votre logiciel : Votre logiciel est comme une recette composée de divers ingrédients : composants tiers et bibliothèques open source. En créant un Nomenclature logicielle (SBOM)une liste détaillée de ces composants, vous pouvez rapidement trouver et résoudre les problèmes de sécurité lorsqu’ils surviennent. Mettez régulièrement à jour cette liste, intégrez-la dans votre processus de développement, surveillez les nouvelles vulnérabilités et informez votre équipe sur ces éléments. Cela réduit les risques cachés, accélère la résolution des problèmes, respecte les réglementations et renforce la confiance grâce à la transparence.
Conclusion
Wow, cette semaine nous a vraiment montré que les cybermenaces peuvent surgir là où on s’y attend le moins, même dans les applications et les réseaux en qui nous avons confiance. La grande leçon ? Restez vigilant et remettez toujours en question ce qui est devant vous. Continuez à apprendre, restez curieux et déjouons ensemble les méchants. En attendant la prochaine fois, restez en sécurité !
Vous avez trouvé cet article intéressant ? Suivez-nous sur Gazouillement et LinkedIn pour lire plus de contenu exclusif que nous publions.