As-tu entendu parler de l’arrestation de Pompompurin ? Il est le propriétaire présumé du forum de cybercriminalité divulgation BreachForums. Apparemment, il a été arrêté pour complot visant à inciter des gens à vendre des éléments d’accès non autorisés. C’est grave !
Quand la police l’a arrêté, il a avoué être en fait Connor Brian Fitzpatrick, alias Pompompurin, la personne qui gère BreachForums. Il a été libéré contre une caution de 300 000 dollars et devra comparaître devant le tribunal le 24 mars prochain. En attendant, il ne peut se déplacer que dans certains districts et il doit éviter tout contact avec des témoins et des coaccusés.
Le truc c’est que BreachForums est le plus grand forum de cybercriminalité au monde, donc c’est un peu chaud que le gars qui le dirige se fasse prendre comme ça. Mais bon, un admin du forum a déclaré qu’il continuerait de fonctionner normalement, donc ça ne va pas arrêter les hackers et autres gangs de ransomware qui l’utilisent pour vendre des données volées.
Pompompurin est un acteur majeur de la scène underground de la cybercriminalité. Avant de créer BreachForums, il était très actif sur RaidForums, un autre forum de hacking. Depuis la saisie de RaidForums par le FBI en 2022, il a créé BreachForums pour continuer ses activités. Il a notamment été impliqué dans plusieurs grosses violations de données, comme l’envoi de faux e-mails de cyberattaque à partir du portail LEEP du FBI, le vol de données de clients de Robinhood et l’utilisation d’un bug pour confirmer les adresses e-mail de 5,4 millions d’utilisateurs de Twitter.
La semaine dernière, BreachForums a été utilisé pour essayer de vendre des données personnelles d’hommes politiques américains qui avaient été volées lors d’une intrusion chez D.C. Health Link, un fournisseur de soins de santé pour les membres de la Chambre des représentants des États-Unis, leur personnel et leurs familles. C’est certainement une des raison qui ont fait que Pompompurin a eu droit à une attention toute particulière de la part du FBI.
Dans le classement des mots de passe les plus courants de 2022, on observe que les utilisateurs continuent d’utiliser les classiques « password » et « 123456 ».
NordPass a publié un rapport qui répertorie les mots de passe les plus utilisés par les utilisateurs tout au long de l’année. En collaboration avec des chercheurs indépendants, des millions d’identifiants provenant d’incidents de cybersécurité ont été évalués pour produire un classement des mots de passe les plus utilisés et les moins sûrs. Au total, plus de 3 To de données provenant de plus de 30 pays ont été analysés, principalement des continents européen et américain.
Les deux premières places sont occupées par les classiques « password » et « 123456 », utilisés respectivement par près de 5 millions et plus de 1,5 million d’utilisateurs. Ces deux mots de passe sont extrêmement faibles et ne sont pas du tout recommandés, à tel point que le temps estimé pour les deviner est inférieur à une seconde au moyen d’une attaque par dictionnaire.
Dans les 25 premiers du classement mondial, on trouve principalement des codes numériques (jusqu’à 76 % des cas), des mots simples du dictionnaire comme « invité » et des combinaisons de touches qui suivent l’ordre déterminé par leur emplacement sur le clavier comme « qwerty ». Le temps nécessaire pour obtenir tous ces mots de passe n’est que de quelques secondes. Un seul d’entre eux prendrait plus de temps car il est composé de majuscules, de minuscules et de chiffres : « D1lakiss » ; cependant, comme il ne comporte que 8 caractères, le temps nécessaire pour le casser par une attaque par force brute est d’environ 3 heures.
En remontant dans le classement, on trouve aussi des noms propres, des noms de séries et de marques comme « daniel », « Gizli » ou « samsung », et même des mots de passe de seulement 3 caractères comme « 123 », « vip » ou « usr ». La liste des 50 mots de passe les plus mauvais et les plus utilisés en 2022 est la suivante :
Top 50 mondial des mots de passe les plus courants en 2022.
Il est recommandé d’éviter d’utiliser ce type de mots de passe et de suivre une série de directives lors de l’établissement d’informations d’identification sécurisées pour les services en ligne utilisés. Certaines de ces recommandations sont :
Combinez des caractères de différents types : majuscules, minuscules, chiffres et symboles.
Utilisez une longueur appropriée pour éviter les attaques par force brute (au moins 12 caractères).
Évitez les mots du dictionnaire (de n’importe quelle langue), les noms propres, les noms d’animaux domestiques, les dates, les lieux ou les données personnelles, etc. et leurs combinaisons, telles que nom + date de naissance.
Évitez les motifs de caractères successifs sur le clavier, tels que « qwertyuiop » ou « 1qaz2wsx ».
Il existe d’autres techniques pour générer des mots de passe forts, comme la combinaison de plusieurs mots sans rapport entre eux et l’utilisation d’une règle mnémotechnique pour se souvenir de la chaîne résultante. Par exemple, les mots « hibou », « manteau », « violet », « prairie » et « nuit » génèrent le mot de passe « hiboumanteauvioletprairienuit », dont la longueur permet d’éviter les attaques par force brute et qui est aussi facile à mémoriser que d’imaginer un hibou en manteau violet dans une prairie la nuit.
Bien entendu, il faut aussi éviter de réutiliser le même mot de passe sur différents services et, surtout, ne pas les écrire sur des notes ou des post-it et les coller sur le bureau ou sous le clavier. Cela rend un mot de passe, aussi sûr soit-il, inutile.
Il est également recommandé d’utiliser des gestionnaires de mots de passe avec lesquels vous pouvez facilement générer des mots de passe sécurisés et les stocker localement sur un dispositif distinct (par exemple, une clé USB).
Microsoft a signalé que les informations confidentielles de certains de ses clients ont été exposées par une mauvaise configuration accessible via Internet.
La mauvaise configuration du serveur a été découverte par la société de renseignement sur les menaces de sécurité SOCRadar, qui a averti la société américaine le 24 septembre 2022, laquelle a sécurisé le serveur concerné dès la notification.
« Cette mauvaise configuration a entraîné un accès potentiel non authentifié à certaines données de transactions commerciales se rapportant à des interactions entre Microsoft et des clients potentiels, telles que la planification ou la mise en œuvre et la fourniture potentielles de services Microsoft. »
Ils ont également ajouté que leur enquête interne n’a trouvé aucune indication que les comptes ou les systèmes des clients avaient été compromis et que les clients concernés avaient été informés directement.
Selon l’entreprise américaine, les informations exposées comprennent des noms, des adresses électroniques, le contenu des courriels, le nom de l’entreprise et des numéros de téléphone, ainsi que des fichiers liés aux affaires entre les clients concernés et Microsoft ou un partenaire Microsoft autorisé.
Redmond a ajouté que la fuite était due à une « mauvaise configuration involontaire sur un terminal qui n’est pas utilisé dans l’ensemble de l’écosystème Microsoft » et non à une faille de sécurité.
65 000 entités touchées dans le monde
De son côté, SOCRadar nuance encore et ajoute que, d’après son analyse, les données divulguées :
« Il s’agit notamment de documents de preuve d’exécution (PoE) et de déclaration de travaux (SoW), d’informations sur les utilisateurs, de commandes/de devis de produits, de détails de projets, de données PII (informations personnellement identifiables) et de documents susceptibles de révéler une propriété intellectuelle. »
SOCRadar
Outil en ligne pour rechercher des données ayant fait l’objet d’une fuite. Source: SOCradar
Les chercheurs ont baptisé cette fuite « BlueBleed », en référence aux informations sensibles divulguées par les magasins de données mal configurés dans leur ensemble, et ont créé un site web portant le même nom.
Vérifiez si vous êtes concerné par la fuite de Microsoft
Le portail de recherche de fuites de données de SOCRadar s’appelle BlueBleed et permet aux entreprises de savoir si leurs informations confidentielles ont également été exposées avec les données ayant fait l’objet de la fuite.
En plus de ce qui a été trouvé à l’intérieur du serveur mal configuré de Microsoft, BlueBleed permet également de rechercher des données collectées dans cinq autres buckets de stockage public.
Sur le seul serveur de Microsoft, SOCRadar affirme avoir trouvé 2,4 To de données contenant des informations sensibles de plus de 65 000 entreprises de 111 pays, plus de adresses emails, 133 000 projets et 548 000 utilisateurs exposés découverts en analysant les fichiers ayant fait l’objet de la fuite jusqu’à présent.
« Les acteurs de la menace qui ont pu accéder au référentiel peuvent utiliser ces informations de différentes manières pour extorquer, faire du chantage, créer des tactiques d’ingénierie sociale à l’aide des informations exposées ou simplement vendre les informations au plus offrant sur le dark web et les canaux Telegram », avertit SOCRadar.
Il est bien connu que les services de protocole de bureau à distance (RDP) sont largement utilisés par les cybercriminels comme une passerelle pour leurs attaques, à la fois en raison des vulnérabilités existantes dans les systèmes Windows et en raison du manque de robustesse des informations d’identification utilisées par de nombreux utilisateurs et des défenses insuffisantes utilisées dans de nombreuses infrastructures, les laissant exposées à toute attaque par force brute. Malgré cela, des centaines de milliers d’ordinateurs sont toujours exposés à des services RDP non protégés sur Internet.
Fichiers chiffrés par le Venus Ransomware. Source : BleepingComputer
Il est alarmant de constater la quantité de nouvelles associées aux ransomwares que nous recevons ces derniers mois, la plupart d’entre elles ayant réussi à cause de deux problèmes spécifiques qui se répètent dans presque toutes ces attaques. La première est la négligence et l’ignorance d’un utilisateur qui, par le biais d’une astuce d’ingénierie sociale, finit par télécharger et exécuter un fichier malveillant qui ouvre les portes aux cybercriminels. Cela se fait généralement par le biais d’un email invitant l’utilisateur à accéder à une adresse web ou à ouvrir un fichier joint, en prétendant être un service connu de l’utilisateur. L’autre problème est l’exposition des connexions RDP sur Internet sans les moyens préventifs nécessaires pour éviter les problèmes.
En ce qui concerne les attaques RDP, il existe un moyen très simple de les prévenir que de nombreux administrateurs système semblent oublier, ce qui donne lieu aux problèmes qu’ils déplorent ensuite en matière de ransomware.
En raison de la paresse technologique en matière de cybersécurité de la part des administrateurs et des entreprises, un nouveau groupe de ransomware qui a commencé ses opérations en août 2022 s’est spécialisé précisément dans le chiffrement des cibles Windows dont les services RDP sont exposés. Ce nouveau ransomware est connu sous le nom de VENUS et n’a rien à voir avec le célèbre ransomware VenusLocker écrit en .NET qui fonctionne depuis 2016.
Comment se comporte VENUS ?
Selon l’analyse publiée par BleepingComputer, dès que le malware est exécuté sur l’ordinateur, la première chose qu’il fait est de supprimer les journaux d’événements de Windows et les volumes Shadow Copy. Il désactive également la prévention de l’exécution des commandes (DEP), ce qui s’effectue par la commande suivante sur le système :
Il tente également d’arrêter plusieurs processus système liés aux services de base de données et aux applications Microsoft Office. Les processus suivants ont été détectés dans l’analyse du malware :
Une fois qu’il commence à chiffrer les fichiers sur l’ordinateur, il ajoute l’extension .venus au nom du fichier, transformant par exemple un fichier appelé « notes.doc » en « notes.doc.venus ». Dans chaque fichier chiffré, le malware ajoute au code du fichier un marqueur avec le texte « goodgamer » et un court morceau de code supplémentaire dont la fonction n’a pas encore été identifiée.
Code hexadécimal d’un fichier crypté par Venus. Source : BleepingComputer.
Le même logiciel malveillant crée également une note de rançon au format .hta dans le dossier %Temp% du système, qui est automatiquement exécutée lorsque le ransomware a fini de chiffrer les fichiers de l’ordinateur.
Note de rançon au format HTA du ransomware Venus.
La note de rançon contient une adresse TOX et une adresse électronique qui peuvent être utilisées pour contacter l’attaquant et négocier le paiement de la rançon. À la fin de la note se trouve un texte blob codé en base64 qui est probablement la clé de déchiffrement chiffrée que l’attaquant demandera afin de transmettre l’utilitaire permettant de déchiffrer à la victime après paiement.
Le ransomware VENUS est actuellement très actif et le service d’identification des ransomwares MalwareHunterTeam reçoit quotidiennement des fichiers liés à ce malware.
Nous pouvons voir un échantillon en détail dans le service VirusTotal identifié avec le hash:
un fichier exécutable Windows (.exe) d’une taille de 225.50Kb.
Exemple de fichier identifié comme le nouveau malware Venus dans VirusTotal.
Le groupe qui exploite ce malware semble cibler les services de bureau à distance exposés publiquement, y compris ceux qui fonctionnent sur des ports TCP non standard. Une croyance largement répandue parmi les administrateurs ayant peu d’expérience en matière de cybersécurité est que s’ils utilisent un port autre que le port RDP standard (port 3389), ils seront à l’abri des scans ou des attaques visant ce service, ce qui n’est pas vrai. Les services d’analyse de périphériques tels que Shodan ont identifié près d’un demi-million d’ordinateurs avec ce service exposé et accessible depuis Internet (y compris les honeypots).
Ordinateurs identifiés par Shodan avec RDP exposé.
Il est essentiel de protéger ces services derrière un pare-feu et de ne pas les exposer publiquement sur l’internet, et ils ne devraient être accessibles que par un VPN. Il est également important de suivre et d’appliquer les mises à jour des logiciels et des systèmes d’exploitation et les correctifs de sécurité existants afin d’éviter l’exploitation de vulnérabilités connues telles que « Bluekeep » (CVE-2019-0708) ainsi que de maintenir une politique stricte de mots de passe forts (longueur minimale recommandée de 12 caractères, utilisation de majuscules, de minuscules, de chiffres et de symboles).
Si nous étions déjà habitués à étudier les techniques employées par les groupes APT dans l’utilisation de l’outil Cobalt-Strike, nous sommes maintenant rejoints par un nouvel acteur : Brute Ratel. Une version craquée de ce logiciel a été mise à la disposition des utilisateurs de divers forums clandestins et de canaux liés à la cybercriminalité.
Brute Ratel est le produit d’une société appelée Dark Vortex. Un outil dont l’objectif est très similaire à celui de Cobalt Strike. Il est utilisé pour coordonner les actions post-exploitation lors des exercices de Red Teaming. En d’autres termes, il s’agit d’un cadre d’attaque très professionnel qui vise à agréger les communications de différents nœuds ou machines compromises avec des capacités de furtivité et un profil bas contre les solutions de détection des logiciels malveillants.
Jusqu’à présent, l’outil n’a pas été largement diffusé ou utilisé, mais cela pourrait changer avec la publication de cette version craquée. Comme pour Cobalt Strike, il faut s’attendre à ce que les groupes cybercriminels s’approprient sa fonctionnalité (il est capable de créer des shellcodes qui ne sont pas détectés) et l’adaptent à leurs opérations.
Si les détections de l’utilisation de Cobalt Strike étaient jusqu’à présent indispensables pour indiquer une opération en cours, un nouveau concurrent entre en jeu. Il est possible que, d’ici peu, nous voyions de nombreux autres échantillons de logiciels malveillants utiliser ce nouveau cadre, profitant du fait qu’il n’est pas encore un visage familier dans le voisinage et qu’il peut passer inaperçu.
