learn.hack.repeat

Catégorie : Ransomware Page 1 of 5

Fribourg Cybersecurity Seminar

Au début du mois de mars dernier, j’ai eu la chance de pouvoir participer à la première édition du Cybersecurity Seminar à Fribourg dans le cadre de mon travail. Vous le savez, j’apprécie énormément ce genre d’évènement, notamment quand ils ont lieu en Romandie et qu’ils mettent en valeur des intervenants locaux.

Source: HEIA-FR

J’ai donc eu le plaisir de rencontrer Philipp Streit et Anthony Alonso Lopez, les deux organisateurs de la première édition de ce séminaire et diplômés de la haute école d’ingénierie et d’architecture de Fribourg.

Voici comment eux-mêmes présentent l’évènement:

This was the first #cybersecurity seminar organised in #Fribourg by our committee, with the 𝐭𝐡𝐞𝐦𝐞 « 𝐑𝐚𝐧𝐬𝐨𝐦𝐰𝐚𝐫𝐞 & 𝐁𝐚𝐜𝐤𝐝𝐨𝐨𝐫𝐬 », with a sub-theme focusing on 𝐜𝐫𝐢𝐭𝐢𝐜𝐚𝐥 𝐢𝐧𝐟𝐫𝐚𝐬𝐭𝐫𝐮𝐜𝐭𝐮𝐫𝐞 𝐩𝐫𝐨𝐭𝐞𝐜𝐭𝐢𝐨𝐧. During this event, cybersecurity experts shared their knowledge on the threats of ransomware and backdoors, which are two of the most successful targeted attacks against companies. Speakers discussed the risks associated with data loss through encryption (#ransomware) or data exfiltration through #backdoors and explained how these threats can be caused by states, cybercriminals, hacktivists or even individuals.

Fribourg Cybersecurity Seminar

Le thème portait donc sur la protection des infrastructures critiques (ce qui me fait penser à l’excellent roman BlackOut de Marc Elsberg, que je vous recommande de lire) avec les interventions d’un acteur local du secteur de l’énergie (j’en parlerai plus bas), Julien Oberson de la société SCRT (un pure player romand de la cyber sécurité) pour parler de l’anatomie d’une attaque et de pentesting, ainsi qu’Alain Keller de la société Advact qui abordait en détails le ransomware en tant que menace, faisant état de la situation actuelle et parlant de la cyber kill chain et des mesures préventives pour s’y préparer.

Je vous partage ci-dessous la très intéressante intervention de Christophe Chavaillaz et d’Yves Pascalin, respectivement IT et OT Security Officer et représentants de Groupe E, qui est, entre autres, un producteur et distributeur d’électricité très présent sur le canton de Fribourg, mais également sur le canton de Neuchâtel.

Infrastructure critique, historique et mesure de protection

Voici les liens vers l’ensemble des différentes interventions disponibles sur leur page youtube:

Groupe Ehttps://lnkd.in/eWfrwFQP
SCRThttps://lnkd.in/eTfC4YDK
advact AGhttps://lnkd.in/ePJZWzTn

Plus d’information:
https://www.meetup.com/fr-FR/fribourg_cybersecurity_seminar/
https://www.heia-fr.ch/fr/recherche-appliquee/instituts/isis/agenda/fribourg-cybersecurity-seminar-ransomware-backdoor/
https://www.youtube.com/@FribourgCybersecuritySeminar

Patch Tuesday

Microsoft a corrigé 114 vulnérabilités ce mois-ci. Sept d’entre elles sont critiques. La plus frappante est celle qui est déjà exploitée par des attaquants, en particulier par le groupe du ransomware Nokoyawa. Il s’agit d’une élévation de privilèges (CVE-2023-28252) dans le pilote Windows Common Log File System.

Cette faille a été signalée en février et il n’est pas surprenant qu’elle ait été utilisée par Nokoyama, qui exploite le même composant (Common Log File System Driver) pour élever ses privilèges depuis juin 2022, par le biais de différents exploits. On sait qu’au moins cinq failles ont été découvertes par eux sur les 32 exploits corrigés par Microsoft dans ce composant depuis 2018.

Parmi les critiques corrigées dans le 114, une exécution de code dans Microsoft Message Queuing (CVE-2023-21554) et une autre dans le serveur DHCP (CVE-2023-28231) se distinguent.

Plus d’information:
https://msrc.microsoft.com/update-guide/
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28252
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21554
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28231

BreachForums et Pompompurin dans la tourmente

As-tu entendu parler de l’arrestation de Pompompurin ? Il est le propriétaire présumé du forum de cybercriminalité divulgation BreachForums. Apparemment, il a été arrêté pour complot visant à inciter des gens à vendre des éléments d’accès non autorisés. C’est grave !

Source: pexels.com

Quand la police l’a arrêté, il a avoué être en fait Connor Brian Fitzpatrick, alias Pompompurin, la personne qui gère BreachForums. Il a été libéré contre une caution de 300 000 dollars et devra comparaître devant le tribunal le 24 mars prochain. En attendant, il ne peut se déplacer que dans certains districts et il doit éviter tout contact avec des témoins et des coaccusés.

Le truc c’est que BreachForums est le plus grand forum de cybercriminalité au monde, donc c’est un peu chaud que le gars qui le dirige se fasse prendre comme ça. Mais bon, un admin du forum a déclaré qu’il continuerait de fonctionner normalement, donc ça ne va pas arrêter les hackers et autres gangs de ransomware qui l’utilisent pour vendre des données volées.

Pompompurin est un acteur majeur de la scène underground de la cybercriminalité. Avant de créer BreachForums, il était très actif sur RaidForums, un autre forum de hacking. Depuis la saisie de RaidForums par le FBI en 2022, il a créé BreachForums pour continuer ses activités. Il a notamment été impliqué dans plusieurs grosses violations de données, comme l’envoi de faux e-mails de cyberattaque à partir du portail LEEP du FBI, le vol de données de clients de Robinhood et l’utilisation d’un bug pour confirmer les adresses e-mail de 5,4 millions d’utilisateurs de Twitter.

La semaine dernière, BreachForums a été utilisé pour essayer de vendre des données personnelles d’hommes politiques américains qui avaient été volées lors d’une intrusion chez D.C. Health Link, un fournisseur de soins de santé pour les membres de la Chambre des représentants des États-Unis, leur personnel et leurs familles. C’est certainement une des raison qui ont fait que Pompompurin a eu droit à une attention toute particulière de la part du FBI.

Plus d’information:
https://www.bleepingcomputer.com/news/security/alleged-breachforums-owner-pompompurin-arrested-on-cybercrime-charges/

Attention aux petites annonces…

Le moteur de recherche Google souffre d’un effet indésirable sur la sécurité de ses clients. Les attaquants achètent des publicités pour apparaître en tête des résultats de recherche.

Sources: Pexels

Ainsi, lorsqu’un utilisateur recherche des outils populaires tels que WinRar, 7-zip, VCL, Rufus, etc., le moteur de recherche présente d’abord une publicité pour un site qui ressemble beaucoup à la page originale et légitime du programme. Au lieu de cela, un exécutable est téléchargé qui, une fois lancé, ne fait apparemment rien. Cependant, il volera toutes les sessions possibles et les réseaux sociaux de la victime. Un influenceur bien connu a tiré la sonnette d’alarme après avoir été victime de cette attaque et « avoir vu tous les canaux vers sa communauté, sa famille et ses amis compromis ». Ces derniers jours, même les annonces génériques de Google ont été touchées. Ils se font également passer pour des outils légitimes et les logiciels malveillants installés se sont orientés vers différentes formes de ransomware.

Le moteur de recherche souffre de ce problème depuis plusieurs jours. Les attaquants profitent de la possibilité d’acheter des publicités, de les placer en tête des recherches et, ce faisant, de ne pas vérifier leur légitimité. Après avoir été signalées par certaines victimes, elles sont retirées à la main. Mais cela se produit encore et encore.

Plus d’information:
https://www.bleepingcomputer.com/news/security/ransomware-access-brokers-use-google-ads-to-breach-your-network/

Aperçu des attaques DDoS en 2022

Alors que nous approchons de la fin de l’année, nous pouvons observer la trajectoire des cyberattaques par déni de service distribué. Comme on pouvait s’y attendre, les attaques DDoS sont de plus en plus fréquentes et de plus en plus importantes. Au troisième trimestre 2022, Cloudflare a automatiquement détecté et atténué plusieurs attaques de plus de 1 Tb/s.

Source: TechGenix

La plus importante d’entre elles était une attaque DDoS de 2,5 Tb/s. Il a été lancé par une variante du botnet Mirai et visait un serveur Minecraft appelé Wynncraft. Du point de vue du débit binaire, il s’agit de la plus grande attaque à laquelle Cloudflare ait jamais été confronté.

Source: Cloudflare

L’attaque consistait en une inondation UDP (User Datagram Protocol) et TCP (Transmission Control Protocol). Cependant, Wynncraft, le serveur de jeux vidéo multijoueurs où des milliers d’utilisateurs peuvent jouer en même temps, n’a pas remarqué l’attaque. Cloudflare l’a divulgué avant que ses effets ne se fassent sentir, et le service n’a pas été interrompu.

Tendances actuelles relevées par CloudFlare au cours du dernier trimestre

  • Une augmentation du nombre d’attaques DDoS par rapport aux chiffres de l’année dernière.

Les attaques volumétriques ont augmenté en durée, augmentant par conséquent la taille du trafic envoyé aux victimes, dont une grande partie est due au botnet Mirai et à ses variantes. Plus précisément, les attaques DDoS de niveau 3/4 lancées par les botnets Mirai ont augmenté de 405 % par rapport au trimestre précédent.

  • Géographiquement, les attaques contre les zones taïwanaises et japonaises ont augmenté.

Les attaques DDoS HTTP contre Taïwan ont augmenté de 200 % par rapport au trimestre précédent et celles contre le Japon de 105 % au cours de la même période. À Taïwan, 50 % des victimes étaient des médias de la presse et des médias en ligne. Au Japon, les attaques contre les infrastructures gouvernementales ont également été importantes (11 %).

  • Le nombre d’attaques DDoS HTTP (attaques de la couche application) a augmenté de 111 % par rapport à l’année dernière, mais a diminué de 10 % par rapport au trimestre précédent de 2022.
  • Le nombre d’attaques DDoS au niveau de la couche réseau (couches 3/4) a augmenté de 97 % par rapport à l’année dernière et de 24 % par rapport au trimestre précédent. Le secteur qui a subi le plus d’attaques de la couche réseau est celui des jeux et paris. Les cyberattaques dans le secteur des jeux ont augmenté de 167 % l’année dernière, selon le fournisseur de services de cybersécurité Akamai.
  • 15% de toutes les attaques DDoS enregistrées par CloudFlare au troisième trimestre étaient accompagnées d’une menace ou d’une demande de rançon. Cela représente une augmentation de 15 % en glissement trimestriel des attaques DDoS par ransomware signalées et une augmentation de 67 % par rapport à la même période de l’année dernière.

Plus d’information :
https://blog.cloudflare.com/fr-fr/cloudflare-ddos-threat-report-2022-q3-fr-fr/

Page 1 of 5

Fièrement propulsé par WordPress & Thème par Anders Norén