[Cyber] Revue de presse Semaine 18 2023
Edito :
Bienvenue dans la revue de presse hebdomadaire dédiée à la cybersécurité. L’actualité ne manque pas d’attaques : les attaquant font toujours preuve d’ingéniosité et aucune cible n’est épargnée. Pour les articles de fond, les ransomwares restent l’attaque de prédilection des hackeurs. Attaques autour desquelles, les autorités européennes et nationales s’organisent.
Bonne lecture .
Cyberattaques :
01/05/2023 : Le CERT-UA, l’équipe d’intervention d’urgence informatique d’Ukraine, a signalé que des pirates informatiques russes, appartenant au groupe APT28, ont lancé une campagne de phishing ciblant des organismes gouvernementaux ukrainiens. Les pirates ont envoyé des e-mails contenant de faux messages « Windows Update » avec des instructions en ukrainien pour exécuter une commande PowerShell supposée être une mise à jour de sécurité. Les e-mails ont été envoyés avec de faux comptes de messagerie Microsoft Outlook créés avec les vrais noms et initiales des employés des entités gouvernementales ciblées. Le CERT-UA a recommandé aux organisations de restreindre la capacité des utilisateurs à exécuter des scripts PowerShell et à surveiller les connexions réseau aux APIs.
02/05/2023 : une carte bancaire et une carte SIM volées à la bonne personne suffit pour gagner 74K en 1 heure. Preuve qu’une attaque ne se résume pas à des compétences techniques.
https://www.zataz.com/74-000-euros-depenses-en-1h-suite-a-un-piratage-de-cb/
02/05/2023 : Onze casinos du groupe Vikings étaient fermés pendant plus d’une semaine, après une cyberattaque par rançongiciel. Des investigations sont en cours pour déterminer l’impact de l’attaque mais aucun vol de données n’a été identifié selon la société qui aurait déconnecté à temps le système d’information.
02/05/2023 : UPS visé par Anonymous Killnet, un groupe affilié à Killnet : Le site Web d’UPS a été rendu inaccessible après une cyberattaque revendiquée par Anonymous Sudan, affilié à Killnet, un groupe prorusse. Anonymous Sudan est spécialisé dans les attaques par déni de service (DDoS) et a prêté allégeance à Killnet après une manifestation d’extrême-droite en janvier. Les attaques DDoS ont principalement une valeur symbolique, mais le parquet de Paris et le renseignement extérieur enquêtent sur Killnet, qui a revendiqué des attaques contre des aéroports et d’autres infrastructures à travers le monde.
02/05/2023 : En Côte d’Ivoire, les bases de données du service de l’agence Emploi-jeunes (AEJ) est en vente sur un forum cybercriminel. Les utilisateurs ont été invité à changer leur mot de passe.
https://beninwebtv.com/cote-divoire-une-base-de-donnees-dune-grande-structure-etatique-piratee/
02/05/2023 : Deux application de prostitution, CityJerks et TruckerSucker, ont été piratées. Les hackers ont publié les données personnelles des utilisateurs sur le Dark Web.
https://www.lebigdata.fr/applis-prostitution-piratees
03/05/2023 : L’hébergeur du site internet de Bry-sur-Marne a été attaqué le samedi 29 avril 2023. Les habitants ont découvert un message écrit en cyrillique sur la page d’accueil : « Respectez la Russie ! Sinon, nous continuerons à vous faire la guerre. »
Autres articles :
Les risques juridiques et de sécurité associés à la reprise de brique Open sources _ Publié le 25/05/2023 :
L’utilisation de briques logicielles en open source peut comporter des risques juridiques et cyber pour les entreprises. Qui dit « open source » ne veut pas dire libre de droit. De plus, les failles de sécurité sont connues de tous et l’organisation utilisatrice doit avoir les moyens humains de patcher régulièrement ces briques. Conclusion, avant d’utiliser des briques en Open Source, il faut impérativement vérifier l’existence d’une licence et tenir compte de ses conditions d’utilisation. Il faut également avoir les moyens de faire une mise à jour régulière. Ensuite et pour réduire les risques, il est recommandé de mettre en place une stratégie de gestion de l’open source qui inclut l’identification et la gestion des licences, ainsi que la mise en place de mesures de sécurité adaptées.
Un nouveau groupe de criminels de rançongiciel apparait, plus fort, plus rapide, plus discret :
Un nouveau groupe de cybercriminels, nommé Rorschach ou BabLock, utilise des techniques sophistiquées pour chiffrer les données de ses victimes. Contrairement aux autres gangs de rançonneurs, ce groupe n’a pas encore recouru à la double extorsion et d’exfiltrer les données pour gagner du temps. Les chercheurs en sécurité ont constaté que leur logiciel malveillant est l’un des plus rapides du marché pour le chiffrement de fichiers.
Quelle réaction adopter en cas de ransomware ? _ Publié le 27/04/2023 : En cas d’attaque pouvant s’apparenter à un ransomware, l’article conseille d’agir très rapidement en isolant les systèmes touchés pour éviter toute propagation. Quant aux sauvegardes, elles vont servir de filet de sécurité aux systèmes de prévention. Dès sa conception, l’architecture doit être pensée pour être résiliente et fiable pour que les canaux et méta-serveurs notamment, doivent communiquer entre eux de façon sécurisée.
Cas d’étude sur les ransomwares _ publié le 27/04/2023 : Une étude mondial publié par ExtraHop nous rappelle que la plupart des attaques de ransomware aboutissent à cause de pratiques obsolètes telles que des failles de sécurité non corrigées, des appareils non gérés, le shadow IT et les protocoles réseaux non sécurisés.
Un data center Global Switch (et non Google) brule à Clichy _ Publié le 27/04/2023 :
Rappel que la sécurité de ne limite pas à des attaques. Avez-vous pensé à redonder vos données ?
https://www.lebigdata.fr/data-center-brule-google-panne
Rappel des missions de l’ANSSI _ Publié le 28/04/2023 : L’article résume bien les défis rencontrés en 2022 par l’Agence Nationale de la Sécurité des Systèmes d’Information avec la rédaction des référentiels de sécurité (en libre accès), ses collaborations avec la recherche, le développement des formations en cybersécurité, le développement des centres de réponse à incident cyber régionaux et la mutualisation d’outils, ainsi que sa coopération avec d’autres agence européenne (réseau CyCLONe).
https://www.frenchweb.fr/anssi-une-annee-de-defis-pour-la-cybersecurite-en-france/442455
Cybersécurité, le défi européen _ publié le 29/04/2023 : Intéressant reportage d’Arte sur les actions stratégique, juridiques et opérationnelles contre la cybercriminalité en Europe.
https://www.arte.tv/fr/videos/113043-045-A/cybersecurite-le-defi-europeen/
Opération SpecTor sur le Darkweb _ Publié le 02/05/2023 : Dans une opération de polices européennes coordonnées par Europol, 288 personnes ont été arrêtées et 51 millions d’euros saisis. L’opération, précédée d’autres telles que DisrupTor (2020) avec 179 arrestations et Dark HunTor (2021) avec 150 arrestations, ne vise pas directement des pirates informatiques mais reflète la volonté des autorités d’agir contre des espaces virtuels de non droit qu’est le Darknet.
La région Haut-de-France bénéficie d’un CSIRT, dispositif contre les cyberattaques _ Publié le 02/05/2023 :
Le CSIRT, pour « Computer security incident response team », sera l’interlocteur privilégié pour les collectivités, associations et PME en cas d’attaque. Il intervient pour évaluer l’impact de l’attaque, fournir des conseils sur la marche à suivre et aider à restaurer les systèmes et les données compromis. En outre, le CSIRT offre des services de prévention et de diagnostic pour aider à réduire le risque d’attaques futures.