learn.hack.repeat

Catégorie : Malware Page 4 of 6

Le groupe de ransomware Conti implique Zoom dans une liste possible de fuites d’entreprises

de

On 04/03/2022

dans Chiffrement, Malware, Ransomware, Sécurité

La guerre en Ukraine pourrait faire une victime inattendue. Le groupe cybercriminel Conti a récemment exprimé son soutien total au gouvernement russe. Deux jours plus tard, le compte twitter ContiLeaks a commencé à divulguer des informations sur le groupe. Cette fuite est bien plus importante que la publication de ses manuels techniques en août de l’année dernière.

Mensaje de Conti
Message publié sur le site web de Conti.

La source de la fuite semble provenir d’une personne du groupe lui-même. C’est certainement quelqu’un qui a un accès privilégié à l’infrastructure de Conti.

Dans un premier temps, des chats privés avec des conversations entre janvier 2021 et février 2022 ont été divulgués. Ces données permettent d’obtenir des informations précieuses, telles que des adresses Bitcoin, le modèle d’organisation du groupe ou des guides sur la manière de mener des attaques.

Zoom dans les fichiers divulgués

Au milieu des proclamations anti-guerre et du soutien à l’Ukraine, de nouvelles fuites ont continué à se produire. Certaines d’entre elles ont créé une véritable agitation sur les médias sociaux. Un dossier portant le nom de Zoom est apparu parmi les fichiers divulgués.

Matt Nagel, responsable de la sécurité et de la confidentialité chez Zoom, a démenti peu après que l’entreprise ait été touchée par une violation de sécurité liée au ransomware Conti.

Parmi les contenus d’intérêt publiés par ContiLeaks figuraient le code source du panneau d’administration du groupe et des captures d’écran de serveurs de stockage. Un fichier protégé par un mot de passe s’est avéré contenir le code source des fonctions de chiffrement, de déchiffrement et de construction du ransomware.

Pour les analystes, cette découverte est d’une grande valeur. Mais ce genre de fuite a ses inconvénients. D’autres groupes pourraient voir le jour en utilisant le code publié.

L’effet sur la réputation de groupe Conti ne fait aucun doute, mais il faut encore attendre pour voir dans quelle mesure son modèle économique est affecté.

Plus d’information:
https://blog.malwarebytes.com/threat-intelligence/2022/03/the-conti-ransomware-leaks/
https://www.bleepingcomputer.com/news/security/conti-ransomware-source-code-leaked-by-ukrainian-researcher/

Microsoft prend des mesures face aux cyberattaques russes

de

On 03/03/2022

dans Malware, Sécurité

Microsoft précise qu’elle reçoit un grand nombre de questions en rapport avec cette nouvelle et déclare quatre fronts sur lesquels elle s’engage à aider l’Ukraine contre la Russie.

Quatre grands axes sur lesquels le géant de l’informatique s’est engagé avec l’intention d’offrir un point d’appui au pays attaqué :

  • Protéger l’Ukraine des cyberattaques.
  • Protection contre les campagnes de désinformation parrainées par l’État
  • Soutenir l’aide humanitaire
  • Protection de ses employés.

Protection contre les cyber-attaques

Quelques heures avant les tirs de missiles et les mouvements de chars du 24 février, le centre de renseignement sur les menaces de Microsoft (MSTIC) a pu détecter une nouvelle série de cyberattaques offensives et destructrices visant l’infrastructure numérique de l’Ukraine dans cette guerre numérique contre la Russie, sous la forme d’un nouveau logiciel malveillant appelé « FoxBlade » (évoqué à la fin de cet article).

Trois heures après la détection de cette attaque, Microsoft a ajouté la signature numérique de l’attaque à sa base de données Defender et a alerté et fourni à l’Ukraine des directives sur la manière de se défendre contre ce malware.

En raison de cette cyberattaque et des tentatives répétées de vol de données sensibles (telles que des informations personnelles identifiables (PII) liées à la santé, aux assurances et aux transports), Microsoft a décidé d’envisager sérieusement de fournir cette assistance à l’Ukraine, à l’OTAN et aux responsables américains à Washington.

Protection contre la désinformation parrainée par l’État

Microsoft tente de prendre de nouvelles mesures pour réduire l’exposition à la propagande russe. Conformément à la récente décision de l’UE, la plate-forme Microsoft Start (y compris MSN.com) n’affichera pas de contenu RT (Russia Today) et Sputnik parrainé par l’État.

Ils indiquent qu’ils continueront à suivre de près les événements et s’adapteront en permanence pour renforcer les mécanismes de détection et de perturbation afin d’empêcher la propagation de la désinformation et de promouvoir un contenu indépendant et digne de confiance.

Soutien à l’aide humanitaire

Comme ils l’indiquent, ils s’engagent à utiliser leur technologie, leurs compétences, leurs ressources et leur voix pour contribuer aux efforts de réponse humanitaire.

Ils ont activé l’équipe d’intervention en cas de catastrophe de Microsoft pour fournir un soutien technologique et s’appuient sur d’autres secteurs d’activité de Microsoft pour aider le public à trouver et à soutenir les organisations humanitaires.

Protéger les employés

Comme d’autres multinationales, Microsoft s’attache à protéger ses employés. Cela revêt une importance évidente et vitale pour ses employés en Ukraine. Ils indiquent également qu’ils protègent leurs employés en Russie, car ils pourraient être discriminés par la décision de leur employeur ou de leur gouvernement.

Malware FoxBlade

Le malware FoxBlade, un cheval de Troie qui utilise le PC de la victime pour mener des attaques par déni de service (DDoS), a été découvert et analysé en un temps record par Microsoft le 24 février 2022.

La Russie était responsable de la préparation de cette attaque depuis des mois. ESET a trouvé des preuves de la présence de fichiers « HermeticWiper » (un logiciel malveillant précédemment utilisé qui supprime les données sur un réseau informatique) qui ont été créés le 28 décembre 2021.

La Maison Blanche craint également que le logiciel malveillant ne se propage au-delà des frontières de l’Ukraine. Anne Neuberger, conseillère adjointe à la sécurité nationale de la Maison Blanche pour les technologies cybernétiques et émergentes, a demandé à Microsoft d’envisager de partager les détails du code afin d’éviter que l’alliance militaire ne soit fermée ou que les banques d’Europe occidentale ne soient affectées.

Plus d’information:
https://blogs.microsoft.com/on-the-issues/2022/02/28/ukraine-russia-digital-war-cyberattacks/
https://www.bleepingcomputer.com/news/security/microsoft-ukraine-hit-with-foxblade-malware-hours-before-invasion/

Nouvelles attaques de phishing qui contournent le MFA

de

On 28/02/2022

dans Malware, Ransomware

L’authentification multifactorielle (MFA) est l’un des moyens les plus efficaces de lutter contre le phishing, jusqu’à présent. Récemment, de nouvelles attaques et des kits de phishing-as-a-service sont apparus, permettant de contourner cette authentification.

Selon un rapport de Kaspersky, 0,18 % des spams et des attaques de phishing dans le monde ont été reçus en Suisse, ce qui ne fait pas de notre pays le plus ciblé au monde, mais cette menace reste une des menaces en matière de cybercriminalité la plus fréquemment signalée. En outre, les kits d’hameçonnage qui contournent le MFA se multiplient rapidement.

Ces kits vont d’un simple code à des produits très avancés, capables de voler des informations d’identification, des jetons MFA et d’autres informations sensibles.

Les attaques de phishing qui contournent le MFA commencent par un phishing de consentement. En général, l’utilisateur reçoit un courriel d’une « connaissance » avec un partage de fichiers. En cliquant sur le lien, l’e-mail demande à l’utilisateur l’autorisation d’accéder à ses informations. Habitué à accepter les « termes et conditions » d’absolument tout et à ne pas faire confiance à l’expéditeur du courriel, l’utilisateur accepte ces permissions. C’est alors que le criminel saisit le jeton de consentement, obtenant ainsi l’accès au compte de l’utilisateur.

En outre, ces kits d’hameçonnage mettent en œuvre des reverse proxy qui permettent aux attaquants de s’insérer dans des sessions de navigateur existantes. Ensuite, pendant que la victime visite un site Web légitime (comme celui d’une banque ou d’une boutique en ligne), l’attaquant observe l’activité à tout moment et peut voler les cookies de session. Ces cookies peuvent ensuite être utilisés pour accéder à des comptes sans besoin du nom d’utilisateur, mot de passe ou jeton MFA.

Bien qu’il soit impossible de garantir une sécurité totale sur Internet, il est possible de suivre certaines directives pour éviter de tomber dans ce type d’hameçonnage, notamment les suivantes :

  • Examinez attentivement les liens.
  • Confirmez les expéditeurs d’e-mails et leur origine légitime.
  • En cas de doute, confirmez : la plupart des courriels d’hameçonnage proviennent d’expéditeurs « dignes de confiance » mais sont en réalité des cybercriminels qui se font passer pour des contacts connus. Si l’utilisateur a des doutes, posez des questions.

Plus d’information:
https://securelist.com/spam-and-phishing-in-2021/105713/
https://www.lmgsecurity.com/new-phishing-as-a-service-kits-bypass-mfa-heres-what-to-do-next/

Xenomorph, le nouveau malware qui menace les banques européennes

de

On 26/02/2022

dans Malware, Sécurité

Les chercheurs de ThreatFabric cataloguent un nouveau malware appelé Xenomorph qui affecte plus de 50 institutions financières européennes.

Détecté pour la première fois ce mois-ci, le malware Xenomorph est un cheval de Troie bancaire qui infecte les smartphones Android. Le virus affiche de faux écrans de connexion sur les applications bancaires mobiles pour voler les informations d’identification des clients. Ces données sont ensuite utilisées pour accéder aux comptes bancaires et voler des fonds.

Si les comptes sont protégés par une authentification en deux étapes, Xenomorph peut également intercepter les SMS contenant le code et les transmettre aux attaquants. Elle affecte actuellement 56 banques européennes et 12 portefeuilles de crypto-monnaies.

Xenomorph infecte les smartphones via une application du Google Play Store appelée Fast Cleaner qui le télécharge et l’exécute. Cette application a été téléchargée plus de 50 000 fois.

Ce malware a été baptisé Xenomorph en raison de la similitude de son code avec celui d’un autre cheval de Troie bancaire connu sous le nom d’Alien. Cependant, malgré ses liens évidents avec l’un des logiciels malveillants les plus répandus de ces deux dernières années, Xenomorph est radicalement différent d’Alien en termes de fonctionnalité.

Ce fait, en plus de la présence de fonctionnalités non implémentées et de la grande quantité de logs présents dans le malware, peut suggérer qu’il s’agit d’un nouveau projet en cours par les acteurs responsables de l’Alien original, ou au moins par quelqu’un qui connaît bien sa base de code. Toutefois, il ne s’agit que de spéculations à ce stade.

Les chercheurs de ThreatFabric, d’après leur expérience dans ce type de menace bancaire, affirment que le malware est en phase de développement car certaines commandes du virus ne sont pas encore implémentées. Il s’agit actuellement d’un cheval de Troie bancaire Android moyen avec beaucoup de potentiel inexploité, qui pourrait être mis à jour très prochainement.

Les cibles du Xenomorph :

Plus d’information:
https://www.threatfabric.com/blogs/xenomorph-a-newly-hatched-banking-trojan.html

La théière russe explose: l’Ukraine et la Russie, également en guerre numérique

de

On 24/02/2022

dans Malware, Sécurité

Premier jour de cette nouvelle guerre et le site web de l’armée russe a parlé de lui même hier, 24 février, lorsque le code d’erreur HTTP 418 signifiant « Je suis une théière » s’est affiché à la place du site web.

Le code d’erreur, loin de représenter un nouveau code pour les l’IoT, a été créé comme une blague le jour du poisson d’avril 1998. C’est un moyen non seulement d’empêcher l’accès au web, mais aussi d’exprimer une pensée sûrement partagée par de nombreux collectifs en ces temps de guerre.

Message d’erreur, visible lors de la rédaction de cet article.

Ce n’est pas la seule attaque, d’autres sites web du gouvernement russe ont également subi des cyberattaques qui les ont rendus inopérants. C’est la manière dont la communauté exprime, au moins de manière virtuelle, la stupeur provoquée par ce pays au cours des dernières années, des derniers mois et, évidemment, de ces derniers jours désastreux.

Fil Twitter commentant le message d’erreur 418.
Fil Twitter sur les sites Web du gouvernement russe désactivés.

Ces attaques surviennent après les attaques successives de la Russie contre des centaines de sites web ukrainiens. Une pratique de plus que le gouvernement russe a utilisée pour déstabiliser le pays voisin au début de la guerre actuelle. Parmi ces attaques, un nouveau logiciel malveillant, rapidement analysé par l’analyste Juan Andrés Guerrero-Saade, a retenu l’attention. La coopération entre analystes, dont beaucoup ont partagé cette expérience sur les réseaux sociaux, est toujours un motif de réjouissance.

Fil de discussion sur l’analyse de @juandres_gs

L’analyse complète du malware, appelé HermeticWiper, a été publiée sur le site Web de sentinelLabs. Il porte le nom du certificat utilisé par le malware « Hermetica Digital Ltd » et le fonctionnement de ce malware, visant à détruire les données sur les machines infectées.

Communication sur le compte de recherche ESET.

ABC News donne un aperçu des attaques de ces derniers mois, dont celles du logiciel malveillant susmentionné, qui ont principalement visé de grands entrepreneurs du gouvernement ukrainien en Lettonie et en Lituanie et une institution financière en Ukraine. On ne sait pas encore combien de personnes pourraient être concernées. C’est loin d’être la seule attaque subie, ni la plus dommageable pour le pays ces dernières années (il suffit de se souvenir de NotPetya).

Dans ces conditions, cette guerre se déroule sur plusieurs fronts, et celui du numérique en est un. Comme de nombreux médias le soulignent déjà, l’attrition des cyber-attaques contre l’Ukraine vise à déstabiliser davantage le pays. S’il y avait le moindre doute sur le fait que, dans une guerre physique, le cyberespace ne serait pas pertinent, ce doute devrait avoir été écarté à ce jour.

En outre, il ne semble pas déraisonnable de penser que, compte tenu de la situation, nous n’en sommes qu’au début, et que nous ne pouvons donc pas nous sentir exclus. Non seulement en raison de la situation elle-même, qui est dévastatrice et impensable, mais aussi parce que tout est connecté numériquement.

Nous sommes-nous préparés à cette guerre ?

Plus d’information:
https://www.sentinelone.com/labs/hermetic-wiper-ukraine-under-attack

Page 4 of 6

Précédent

Suivant

Fièrement propulsé par WordPress & Thème par Anders Norén