learn.hack.repeat

Étiquette : Sécurité Page 11 of 27

Rapport sur le secteur des ransomwares

de

On 14/06/2022

dans Ransomware, Sécurité

La société KELA a publié un rapport sur le secteur des ransomwares. Parmi de nombreuses autres constatations, ils affirment que le nombre total de victimes de ransomware (nous comprenons qu’il s’agit des gangs les plus populaires qu’ils surveillent) a considérablement diminué. De 982 au dernier trimestre de 2021 à 698 au premier trimestre de 2022.

Il est intéressant de noter que le rapport indique également que, comme lors des guerres de NetSky et de Mydoom au milieu de la première décennie, les groupes de ransomware se disputent désormais les victimes ou collaborent entre eux, ce n’est pas encore clair. Par exemple, Conti a été détecté en train de compromettre une entreprise américaine en janvier. En mars, Alphv a déclaré qu’elle l’avait également attaquée. En avril, Avos a publié à son tour les mêmes preuves de détournement qu’Alphv et le même fichier volé que Conti avait précédemment partagé.

Se battent-ils entre eux, collaborent-ils et partagent-ils leur butin, s’agit-il de simple marketing, en volant les succès des autres, ou bien créent-ils de petits groupes autonomes qui passent quelque peu inaperçus de la communauté qui analyse, étudie et poursuit ces groupes ?

Plus d’information:
https://ke-la.com/wp-content/uploads/2022/06/KELA-RESEARCH-RANSOMWARE-VICTIMS-AND-NETWORK-ACCESS-SALES-IN-Q1-2022.pdf

Jusqu’à 1 million de dollars d’amende pour mauvaise gestion des ransomwares

de

On 22/05/2022

dans Ransomware, Sécurité

Un an après l’attaque contre Colonial Pipeline, l’ Administration de la sécurité des pipelines et des matières dangereuses du ministère des transports américain (PHMSA) demande à la société de payer près d’un million de dollars, au motif que le plan d’urgence en cas de ransomware n’était pas suffisant.

Colonial Pipeline confirms it paid $4.4m ransom to hacker gang after attack | Cybercrime | The Guardian

Le groupe Colonial transporte de l’essence, du diesel et du carburéacteur du Texas jusqu’à New York. On estime que 45 % de tout le carburant consommé sur la côte est des États-Unis passe par son réseau de pipelines. Entre les 6 et 7 mai 2021, ils ont subi une cyberattaque de type ransomware qui a utilisé les identifiants de connexion VPN d’un ancien utilisateur comme vecteur d’entrée. L’attaque a été menée par le groupe DarkSide, et l’entreprise a payé une rançon de 4,4 millions USD, dont elle a pu récupérer environ 2,3 millions USD.

L’ampleur de l’attaque a paralysé l’ensemble du système informatique de Colonial, incitant le président Joe Biden à déclarer l’état d’urgence le 9 mai. Dans cette déclaration, il a supprimé les limites imposées au transport de carburant par la route, afin d’essayer d’atténuer toute pénurie potentielle résultant de la fermeture des pipelines.

Une mauvaise planification face aux ransomwares

Un an plus tard, l’entreprise doit faire face à un autre paiement, mais cette fois sous la forme d’une amende civile de 986 400 dollars. Cette proposition d’amende de la PHMSA est le résultat d’une enquête menée entre janvier et novembre 2020, soit des mois avant la cyberattaque. Cette enquête a révélé « une incapacité probable à planifier et à préparer de manière adéquate l’arrêt et le redémarrage manuels de son réseau de pipelines ». Elle allègue en outre qu’elle a par conséquent « contribué aux impacts nationaux lorsque le pipeline est resté hors service après la cyberattaque de mai 2021 ».

Le rapport de la PHMSA énumère sept problèmes, tous associés à la gestion de la salle de contrôle. Cet atout serait l’équivalent du centre d’exploitation du réseau d’un département informatique. Les problèmes sont largement résumés dans les cinq points suivants :

  • Le fait de ne pas tenir des registres adéquats des tests opérationnels passés.
  • Le fait de ne pas tester et vérifier le fonctionnement des détecteurs d’alarme et d’anomalie.
  • Absence d’un plan préalable de récupération et de fonctionnement manuel en cas de défaillance du système.
  • Absence de vérification des processus et procédures de sauvegarde.
  • Absence de notification des contrôles de sécurité manquants ou temporairement supprimés.

Les incidents liés aux ransomwares ont continué à être une tendance ces dernières années. Selon un rapport d’Unit 42, le coût des ransomwares a plus que doublé en 2021 par rapport à 2020, plus de la moitié des entreprises déclarant finir par payer la rançon.

Comparaison de la demande/du paiement moyen de ransomware en 2020 et 2021.

En conclusion, une mauvaise politique de sécurité dans un environnement d’entreprise peut non seulement conduire au détournement d’informations sensibles de l’entreprise, mais aussi à des sanctions administratives dans des secteurs critiques.

Plus d’information:
https://www.phmsa.dot.gov/news/phmsa-issues-proposed-civil-penalty-nearly-1-million-colonial-pipeline-company-control-room
https://nakedsecurity.sophos.com/2022/05/10/colonial-pipeline-facing-1000000-fine-for-poor-recovery-plans/

Le malware More_eggs infiltre les CV

de

On 05/04/2022

dans Malware

Keegan Keplinger, chercheur en sécurité chez eSentire, a publié un communiqué de presse mettant en garde contre une nouvelle escroquerie dont l’ingénierie sociale est la clé.

Dans leur déclaration, ils indiquent que l’escroquerie vise à cibler les managers et les cadres supérieurs en utilisant de faux CV comme cheval de Troie, dans lesquels se trouve un logiciel malveillant appelé « More_eggs ».

Hackers Abusing LinkedIn's Direct Messaging Service to Deliver More_eggs Malware | by Digitalmunition | Medium

Qu’est-ce que le logiciel malveillant More_eggs ?

Le malware More_eggs est un cheval de Troie qui permet aux cybercriminels d’atteindre plusieurs objectifs sur un ordinateur infecté. Ils peuvent supprimer des fichiers et des entrées de démarrage, télécharger et exécuter des exécutables portables, modifier les paramètres de Windows et exécuter des commandes shell. Cela se fait en établissant une connexion entre une machine compromise et le centre de commande et de contrôle de l’attaquant.

Un logiciel malveillant caché comme un cheval de Troie

Une nouvelle série d’attaques de phishing véhiculant le logiciel malveillant More_eggs a été observée, frappant les responsables du recrutement des entreprises avec de faux CV comme vecteur d’attaque, un an après que des candidats potentiels à la recherche d’un emploi sur LinkedIn aient été attirés par des offres d’emploi armées.

L’entreprise a identifié quatre incidents, dont trois se sont produits en mars. Les entités concernées comprennent une entreprise aérospatiale, un cabinet comptable, un cabinet d’avocats et une agence pour l’emploi.

Le malware more_eggs est capable de voler furtivement des informations précieuses sur le réseau compromis en utilisant les CV pour atteindre sa cible afin d’échapper à la détection et de lancer le malware.

Les attaquants utilisent un style d’attaque impeccable et entièrement ciblé qui fait appel à des communications tout à fait attendues, telles que des CV, qui correspondent aux attentes d’un responsable du recrutement ou à des offres d’emploi, ciblant des candidats pleins d’espoir qui correspondent à leur titre de poste actuel ou précédent.

Si l’on fait abstraction de l’inversion des rôles dans le modus operandi, on ne sait pas exactement ce que les attaquants recherchaient, puisque les intrusions ont été stoppées avant qu’ils ne puissent mettre leurs plans à exécution.

Ce qui est clair, et qui mérite d’être noté, c’est que More_eggs, une fois déployé, pourrait servir de point de départ à d’autres attaques, comme le vol de données et les ransomwares.

Plus d’information:
https://thehackernews.com/2022/04/hackers-sneak-moreeggs-malware-into.html

Vulnérabilité critique dans Sophos Firewall

de

On 02/04/2022

dans CVE, Sécurité

La société de cybersécurité Sophos a publié un communiqué mettant en garde contre une grave faille de sécurité dans son pare-feu, qui est activement exploitée.

Pare-feu Sophos : cette faille critique est activement exploitée ! | IT-Connect
Source: it-connect.fr

La faille, enregistrée sous le nom de CVE-2022-1040, a un classement CVSS de 9,8 sur 10 et affecte la version 1.5 MR3 (18.5.3) de Sophos Firewall et les versions antérieures. La vulnérabilité est une vulnérabilité de contournement d’authentification dans le portail utilisateur et l’interface d’administration qui, si elle est exploitée avec succès, permettrait à un attaquant distant d’exécuter du code arbitraire.

Selon le communiqué, Sophos a détecté que la faille est activement exploitée contre des organisations spécifiques, principalement en Asie du Sud, qui ont été signalées directement à Sophos.

Le correctif qui corrige la vulnérabilité est automatiquement installé sur les clients dont l’option est activée sur leur pare-feu. Comme mesure d’atténuation, Sophos recommande de désactiver complètement l’accès Web aux portails utilisateur et administratif.

L’importance d’un développement sécurisé

Une fois de plus, il est démontré que lors de développement d’applications web, il est plus qu’important de les développer avec une perspective de sécurité que sur la convivialité ainsi que l’importance des tests OWASP (Open Web Application Security Project) dans les tests de pré-production afin que ces types de vulnérabilités puissent être évités autant que possible, contribuant à un environnement plus sûr.

Source: OWASP

Pour ceux qui ne connaissent pas l’OWASP, il s’agit d’un projet consacré à la recherche et à la lutte contre les vulnérabilités des logiciels. La Fondation OWASP est une organisation à but non lucratif qui fournit l’infrastructure et le soutien nécessaires pour rendre le projet possible. Il existe un guide bien connu pour effectuer les tests nécessaires afin de s’assurer que le développement réalisé par les équipes de programmeurs est conforme aux normes de sécurité, le guide OWASP Web Security Testing Guide (WSTG), un élément quasi indispensable dans la boîte à outils de toute équipe de développement soucieuse de la sécurité de ses projets.

Plus d’information:
https://www.sophos.com/en-us/security-advisories/sophos-sa-20220325-sfos-rce
https://thehackernews.com/2022/03/critical-sophos-firewall-rce.html
https://owasp.org/www-project-web-security-testing-guide/stable/

Muhstik cible les serveurs Redis

de

On 29/03/2022

dans CVE, Malware, Sécurité

Le botnet Muhstik vit une deuxième jeunesse grâce à une faille dans la base de données Redis sur Debian et Ubuntu (bien qu’elle puisse se produire sur plus de plateformes), qui permet d’y exécuter du code LUA en s’échappant de la sandbox. La faille, découverte début mars, s’ajoute à l’arsenal de vulnérabilités utilisées par le botnet pour se propager depuis 2018. Six au total, exploitant des problèmes dans Oracle WebLogic, Drupal, Confluence… Muhstik est responsable, entre autres activités, de la réalisation d’attaques par déni de service distribué.

Source: Juniper

Il est curieux que ce botnet utilise IRC pour communiquer avec son centre de commande et de contrôle et que le découvreur du bug Redis ait informé Ubuntu du problème, s’attendant qu’à leur tour, ils en informent Debian. Mais ils ne l’ont pas fait et il a dû notifier Debian séparément.

Plus d’information:
https://blogs.juniper.net/en-us/security/muhstik-gang-targets-redis-servers

Page 11 of 27

Précédent

Suivant

Fièrement propulsé par WordPress & Thème par Anders Norén