Étiquette : Ransomware Page 1 of 7

Fribourg Cybersecurity Seminar

On 08/05/2023

Au début du mois de mars dernier, j’ai eu la chance de pouvoir participer à la première édition du Cybersecurity Seminar à Fribourg dans le cadre de mon travail. Vous le savez, j’apprécie énormément ce genre d’évènement, notamment quand ils ont lieu en Romandie et qu’ils mettent en valeur des intervenants locaux.

J’ai donc eu le plaisir de rencontrer Philipp Streit et Anthony Alonso Lopez, les deux organisateurs de la première édition de ce séminaire et diplômés de la haute école d’ingénierie et d’architecture de Fribourg.

Voici comment eux-mêmes présentent l’évènement:

This was the first #cybersecurity seminar organised in #Fribourg by our committee, with the 𝐭𝐡𝐞𝐦𝐞 « 𝐑𝐚𝐧𝐬𝐨𝐦𝐰𝐚𝐫𝐞 & 𝐁𝐚𝐜𝐤𝐝𝐨𝐨𝐫𝐬 », with a sub-theme focusing on 𝐜𝐫𝐢𝐭𝐢𝐜𝐚𝐥 𝐢𝐧𝐟𝐫𝐚𝐬𝐭𝐫𝐮𝐜𝐭𝐮𝐫𝐞 𝐩𝐫𝐨𝐭𝐞𝐜𝐭𝐢𝐨𝐧. During this event, cybersecurity experts shared their knowledge on the threats of ransomware and backdoors, which are two of the most successful targeted attacks against companies. Speakers discussed the risks associated with data loss through encryption (#ransomware) or data exfiltration through #backdoors and explained how these threats can be caused by states, cybercriminals, hacktivists or even individuals.
Fribourg Cybersecurity Seminar

Le thème portait donc sur la protection des infrastructures critiques (ce qui me fait penser à l’excellent roman BlackOut de Marc Elsberg, que je vous recommande de lire) avec les interventions d’un acteur local du secteur de l’énergie (j’en parlerai plus bas), Julien Oberson de la société SCRT (un pure player romand de la cyber sécurité) pour parler de l’anatomie d’une attaque et de pentesting, ainsi qu’Alain Keller de la société Advact qui abordait en détails le ransomware en tant que menace, faisant état de la situation actuelle et parlant de la cyber kill chain et des mesures préventives pour s’y préparer.

Je vous partage ci-dessous la très intéressante intervention de Christophe Chavaillaz et d’Yves Pascalin, respectivement IT et OT Security Officer et représentants de Groupe E, qui est, entre autres, un producteur et distributeur d’électricité très présent sur le canton de Fribourg, mais également sur le canton de Neuchâtel.

Infrastructure critique, historique et mesure de protection

Voici les liens vers l’ensemble des différentes interventions disponibles sur leur page youtube:

Groupe E: https://lnkd.in/eWfrwFQP
SCRT: https://lnkd.in/eTfC4YDK
advact AG: https://lnkd.in/ePJZWzTn

Plus d’information:
https://www.meetup.com/fr-FR/fribourg_cybersecurity_seminar/
https://www.heia-fr.ch/fr/recherche-appliquee/instituts/isis/agenda/fribourg-cybersecurity-seminar-ransomware-backdoor/
https://www.youtube.com/@FribourgCybersecuritySeminar

BreachForums et Pompompurin dans la tourmente

de jabot

On 18/03/2023

dans Data Leak, Phishing, Ransomware, Sécurité

As-tu entendu parler de l’arrestation de Pompompurin ? Il est le propriétaire présumé du forum de ~~cybercriminalité~~ divulgation BreachForums. Apparemment, il a été arrêté pour complot visant à inciter des gens à vendre des éléments d’accès non autorisés. C’est grave !

Quand la police l’a arrêté, il a avoué être en fait Connor Brian Fitzpatrick, alias Pompompurin, la personne qui gère BreachForums. Il a été libéré contre une caution de 300 000 dollars et devra comparaître devant le tribunal le 24 mars prochain. En attendant, il ne peut se déplacer que dans certains districts et il doit éviter tout contact avec des témoins et des coaccusés.

Le truc c’est que BreachForums est le plus grand forum de cybercriminalité au monde, donc c’est un peu chaud que le gars qui le dirige se fasse prendre comme ça. Mais bon, un admin du forum a déclaré qu’il continuerait de fonctionner normalement, donc ça ne va pas arrêter les hackers et autres gangs de ransomware qui l’utilisent pour vendre des données volées.

Pompompurin est un acteur majeur de la scène underground de la cybercriminalité. Avant de créer BreachForums, il était très actif sur RaidForums, un autre forum de hacking. Depuis la saisie de RaidForums par le FBI en 2022, il a créé BreachForums pour continuer ses activités. Il a notamment été impliqué dans plusieurs grosses violations de données, comme l’envoi de faux e-mails de cyberattaque à partir du portail LEEP du FBI, le vol de données de clients de Robinhood et l’utilisation d’un bug pour confirmer les adresses e-mail de 5,4 millions d’utilisateurs de Twitter.

La semaine dernière, BreachForums a été utilisé pour essayer de vendre des données personnelles d’hommes politiques américains qui avaient été volées lors d’une intrusion chez D.C. Health Link, un fournisseur de soins de santé pour les membres de la Chambre des représentants des États-Unis, leur personnel et leurs familles. C’est certainement une des raison qui ont fait que Pompompurin a eu droit à une attention toute particulière de la part du FBI.

Plus d’information:
https://www.bleepingcomputer.com/news/security/alleged-breachforums-owner-pompompurin-arrested-on-cybercrime-charges/

Attention aux petites annonces…

de jabot

On 27/01/2023

dans Ransomware, Sécurité

Le moteur de recherche Google souffre d’un effet indésirable sur la sécurité de ses clients. Les attaquants achètent des publicités pour apparaître en tête des résultats de recherche.

Ainsi, lorsqu’un utilisateur recherche des outils populaires tels que WinRar, 7-zip, VCL, Rufus, etc., le moteur de recherche présente d’abord une publicité pour un site qui ressemble beaucoup à la page originale et légitime du programme. Au lieu de cela, un exécutable est téléchargé qui, une fois lancé, ne fait apparemment rien. Cependant, il volera toutes les sessions possibles et les réseaux sociaux de la victime. Un influenceur bien connu a tiré la sonnette d’alarme après avoir été victime de cette attaque et « avoir vu tous les canaux vers sa communauté, sa famille et ses amis compromis ». Ces derniers jours, même les annonces génériques de Google ont été touchées. Ils se font également passer pour des outils légitimes et les logiciels malveillants installés se sont orientés vers différentes formes de ransomware.

Le moteur de recherche souffre de ce problème depuis plusieurs jours. Les attaquants profitent de la possibilité d’acheter des publicités, de les placer en tête des recherches et, ce faisant, de ne pas vérifier leur légitimité. Après avoir été signalées par certaines victimes, elles sont retirées à la main. Mais cela se produit encore et encore.

Plus d’information:
https://www.bleepingcomputer.com/news/security/ransomware-access-brokers-use-google-ads-to-breach-your-network/

Aperçu des attaques DDoS en 2022

de jabot

On 04/12/2022

dans Malware, Ransomware, Sécurité

Alors que nous approchons de la fin de l’année, nous pouvons observer la trajectoire des cyberattaques par déni de service distribué. Comme on pouvait s’y attendre, les attaques DDoS sont de plus en plus fréquentes et de plus en plus importantes. Au troisième trimestre 2022, Cloudflare a automatiquement détecté et atténué plusieurs attaques de plus de 1 Tb/s.

La plus importante d’entre elles était une attaque DDoS de 2,5 Tb/s. Il a été lancé par une variante du botnet Mirai et visait un serveur Minecraft appelé Wynncraft. Du point de vue du débit binaire, il s’agit de la plus grande attaque à laquelle Cloudflare ait jamais été confronté.

L’attaque consistait en une inondation UDP (User Datagram Protocol) et TCP (Transmission Control Protocol). Cependant, Wynncraft, le serveur de jeux vidéo multijoueurs où des milliers d’utilisateurs peuvent jouer en même temps, n’a pas remarqué l’attaque. Cloudflare l’a divulgué avant que ses effets ne se fassent sentir, et le service n’a pas été interrompu.

Tendances actuelles relevées par CloudFlare au cours du dernier trimestre

Une augmentation du nombre d’attaques DDoS par rapport aux chiffres de l’année dernière.

Les attaques volumétriques ont augmenté en durée, augmentant par conséquent la taille du trafic envoyé aux victimes, dont une grande partie est due au botnet Mirai et à ses variantes. Plus précisément, les attaques DDoS de niveau 3/4 lancées par les botnets Mirai ont augmenté de 405 % par rapport au trimestre précédent.

Géographiquement, les attaques contre les zones taïwanaises et japonaises ont augmenté.

Les attaques DDoS HTTP contre Taïwan ont augmenté de 200 % par rapport au trimestre précédent et celles contre le Japon de 105 % au cours de la même période. À Taïwan, 50 % des victimes étaient des médias de la presse et des médias en ligne. Au Japon, les attaques contre les infrastructures gouvernementales ont également été importantes (11 %).

Le nombre d’attaques DDoS HTTP (attaques de la couche application) a augmenté de 111 % par rapport à l’année dernière, mais a diminué de 10 % par rapport au trimestre précédent de 2022.
Le nombre d’attaques DDoS au niveau de la couche réseau (couches 3/4) a augmenté de 97 % par rapport à l’année dernière et de 24 % par rapport au trimestre précédent. Le secteur qui a subi le plus d’attaques de la couche réseau est celui des jeux et paris. Les cyberattaques dans le secteur des jeux ont augmenté de 167 % l’année dernière, selon le fournisseur de services de cybersécurité Akamai.
15% de toutes les attaques DDoS enregistrées par CloudFlare au troisième trimestre étaient accompagnées d’une menace ou d’une demande de rançon. Cela représente une augmentation de 15 % en glissement trimestriel des attaques DDoS par ransomware signalées et une augmentation de 67 % par rapport à la même période de l’année dernière.

Plus d’information :
https://blog.cloudflare.com/fr-fr/cloudflare-ddos-threat-report-2022-q3-fr-fr/

OldGremlin revient sur l’échiquier de la cybercriminalité

de jabot

On 02/12/2022

dans Ransomware, Sécurité

Le groupe de cybercriminels appelé OldGremlin est à l’origine de plusieurs campagnes de ransomware depuis un an et demi.

OldGremlim, également connu sous le nom de TinyScouts, est un groupe cybercriminel aux cibles essentiellement financières qui a commencé ses actes en 2020.

Dès lors, le groupe a revendiqué plus de 15 campagnes de cyberattaques dont la demande de rançon maximale a atteint le chiffre record de 16,9 millions de dollars cette année.

Cela est souvent dû au fait que les criminels étudient leurs victimes en profondeur et adaptent la demande de rançon au niveau financier de l’entité ciblée.

La recherche a été menée par la société de sécurité informatique « Group-IB ».
L’entreprise a partagé un rapport sur les ransomwares dans les années 2021/2022.

Le rapport souligne que la cible de ces cybercriminels sont les entreprises de logistique, d’assurance, de développement et les banques.

Autre constatation notable, la quasi-totalité des cibles sont centralisées dans des entreprises russes, ce qu’elles ont en commun avec d’autres cybercriminels comme Dharma, Crylock et Thanos.

Attaque de OldGremlin

L’attaque commence généralement par la diffusion d’e-mails usurpant l’identité d’entités importantes et incitant au téléchargement de fichiers frauduleux. Ils élèvent ensuite les privilèges sur les machines infectées en exploitant les vulnérabilités de Cobalt Strike ou les failles de Cisco AnyConnect. Finallement, il y a une phase de collecte de données sur une grande période de temps, généralement autour des 50 jours.

Les principaux fichiers qui composent l’attaque sont les suivants :

TinyLink : Faux fichier de téléchargement.
TinyPosh : script PoerShell pour la collecte et le transfert d’informations sensibles.
TinyNode : Backdoor avec interpréteur Node.js agissant comme C2.
TinyFluff : Successeur de TinyNode qui agit comme C2.
TinyShell : Script pour l’élimination des données.
TinyCrypt : script de cryptage basé sur .NET.

Bien que, comme indiqué plus haut, ils touchent principalement les entités russes, les chercheurs en sécurité signalent qu’il s’agit d’une action purement tactique et que l’expansion à d’autres périmètres pourrait avoir lieu à tout moment.

On constate également que la cible principale est souvent les machines Windows, mais c’est purement technique, car c’est sur ce système que tourne le plus grand nombre de machines. Les cybercriminels ont développé une version de TinyCrypt écrite en GO qui affecte les machines avec des environnements Linux.

Plus d’information:
https://www.group-ib.com/media-center/press-releases/oldgremlin-2022/
https://www.group-ib.com/resources/threat-research/ransomware-2022.html