Archives quotidiennes :

Banque, Cybersécurité

Big brother veut protéger les transactions bancaires en Russie

La plus grande banque de Russie, Sberbank, prévoit d’introduire massivement le paiement par biométrie dans tout le pays, selon une annonce récente. Les terminaux seront remplacés par de nouveaux dispositifs dotés de caméras spéciales, ouvrant ainsi la voie à aux paiements biométriques.

Les citoyens russes pourront effectuer des achats en utilisant simplement ces appareils équipés de caméras spéciales. En regardant la caméra, ils pourront effectuer des paiements biométriques sans avoir à sortir leur carte de crédit ou leur téléphone. Cette méthode s’annonce comme simplifiant considérablement les transactions quotidiennes des clients de Sberbank. Au total, 2 millions de terminaux répartis dans les régions de la Fédération de Russie seront modifiés.

Sergey Shubochkin, directeur général de la division acquisition de Sberbank, a souligné l’importance de cette initiative. En déployant activement ces nouveaux terminaux en 2023, Sberbank permettra aux citoyens russes de bénéficier de la biométrie pour effectuer une variété d’achats. Les clients auront la possibilité de choisir le paiement biométrique lorsqu’ils passeront à la caisse. Une fois sélectionné, le système de reconnaissance faciale se mettra en marche, permettant un traitement instantané des paiements.

Les nouveaux dispositifs, dotés de caméras pour la lecture des codes QR et les paiements basés sur les données biométriques, seront installés dans les chaînes de magasins. Plusieurs milliers de terminaux équipés de caméras pour les paiements biométriques seront lancés sur le marché d’ici l’automne 2023.

La biométrie permettra aussi de s’assurer de l’identité de l’utilisateur, de le suivre… au doigt et à l’oeil !

2,7 millions de cyber attaques bloquées !

Pendant ce temps, la Banque centrale de la Fédération de Russie annonce que les banques du pays auraient repoussé 2,7 millions de cyberattaques au premier trimestre 2023. Les spécialistes de la sécurité de l’information de la Banque centrale de la Fédération de Russie notent que les cybercriminels et les escrocs ont réussi à effectuer 252 100 opérations sans le consentement des clients, à la suite desquelles 4,5 milliards de roubles de citoyens russes ont été volés. Le chef de la cybersécurité de la Banque centrale de Russie, Vadim Uvarov, indique que les malveillant ont volé la plus grande partie de l’argent par le biais de transferts via les services bancaires en ligne.

+81 de cyber attaques au Royaume-Uni

Au Royaume-Uni, la société Bridewell a interrogé plus de 100 DSI d’institutions financières britanniques pour son nouveau rapport Cybersecurity in Critical National Infrastructure Organizations: Financial Services. Il a constaté que le nombre d’attaques contre le secteur financier britannique a augmenté de 81% depuis le début du conflit armé ukrainien, ce qui est la deuxième plus forte augmentation pour les secteurs des infrastructures critiques (CNI) et la preuve des cyber-risques croissants associés à la géopolitique.

De plus, 69 % des personnes interrogées ont indiqué avoir connu une augmentation des cybermenaces au cours de la dernière année civile, les services cloud (46 %), les travailleurs à distance (39 %) et les services VPN non sécurisés (37 %) étant les principaux vecteurs d’attaques.

Un tiers (33 %) des répondants ont cité les ransomwares comme un cyber-risque clé, ce qui n’est probablement pas surprenant étant donné qu’un cinquième des incidents signalés aux régulateurs britanniques en 2021 étaient liés à des ransomwares. L’enquête a également affiché que 94 % des entreprises du secteur financier britannique ont confiance en leurs systèmes de sécurité de l’information.

Cybersécurité, Fuite de données

Exploitation d’une faille zero-day dans MOVEit Transfer

Des hackers exploitent une nouvelle vulnérabilité zero-day affectant un outil populaire de transfert de fichiers, MOVEit Transfer, utilisé par des milliers de grandes entreprises.

MOVEit Transfer, un outil a été créé par Progress Software, a publié un avis sur une faille 0Day utilisé contre son logiciel et les usagers. « Il a été découvert une vulnérabilité dans MOVEit Transfer qui pourrait entraîner une élévation des privilèges et un accès non autorisé potentiel à l’environnement. Si vous êtes un client de MOVEit Transfer, il est extrêmement important que vous preniez des mesures immédiates telles que décrites afin de protéger votre environnement MOVEit Transfer, en attendant que notre équipe publie un correctif », a déclaré l’entreprise.

La société a exhorté les clients à désactiver tout le trafic HTTP et HTTPS vers leur environnement MOVEit Transfer. Elle a également indiqué que les clients devraient être vigilants quant aux téléchargements de fichiers inattendus et volumineux, ainsi qu’à la création de fichiers inattendus dans certains dossiers sur toutes leurs instances MOVEit Transfer, y compris les sauvegardes.
La société a déclaré que des correctifs pour la faille sont actuellement en cours de test et seront publiés dès que possible.

Caitlin Condon, directrice principale de la recherche sur les vulnérabilités chez Rapid7, a déclaré qu’au 31 mai 2023, il y avait environ 2 500 instances de MOVEit Transfer exposées sur Internet public, la majorité étant aux États-Unis.

Le chercheur en cybersécurité Kevin Beaumont a partagé des images d’au moins une instance connectée au Département de la Sécurité Intérieure des États-Unis. « Chaque instance en ligne est toujours vulnérable. Cela inclut certaines grandes banques, etc. – Les webshells ont commencé à être implantés il y a quelques semaines, plusieurs incidents se sont produits dans différentes organisations pendant cette période où des activités ont été détectées.« 

Condon a expliqué qu’il y avait des preuves que les hackers avaient déjà automatisé l’exploitation de la faille, et BleepingComputer a rapporté que les hackers ont déjà commencé à télécharger en masse des données provenant des entreprises affectées. L’attaque contre MOVEit serait la dernière en date visant un outil populaire de transfert de fichiers utilisé par de grandes organisations cette année.

En février 2023, des groupes de ransomwares, dont Cl0p, ont exploité une vulnérabilité affectant le produit de transfert de fichiers GoAnywhere MFT de Fortra. Les gouvernements de Toronto et de Tasmanie avaient été touchés par cet incident, aux côtés de géants de l’entreprise tels que Proctor & Gamble, Virgin et Hitachi. Une faille pourtant corrigée 1 an auparavant.

Le groupe de ransomwares derrière cette exploitation, Cl0p, était déjà responsable d’une attaque généralisée contre un autre outil de transfert de fichiers en 2021, Accellion. A l’époque, l’Université du Colorado, Kroger, Morgan Stanley et Shell avaient été impactés.

Cybersécurité, Piratage

Un botnet basé au Brésil cible les hispanophones

Un groupe de pirates présumés vivant au Brésil utilise un botnet jusqu’alors non identifié pour cibler les boîtes de réception des e-mails des hispanophones à travers les Amériques.

Ce botnet, baptisé « Horabot« , est utilisé dans le cadre d’une campagne qui a débuté en novembre 2020. Il infecte les machines victimes avec un cheval de Troie bancaire et un outil de spam. Les attaquants cherchent principalement à voler les informations d’identification et les données financières des victimes, ainsi qu’à envoyer des e-mails de phishing à tous les contacts validés présents dans la boîte aux lettres de la victime afin de propager l’infection. Un botnet est un groupe d’ordinateurs infectés par des logiciels malveillants, permettant à un pirate de les contrôler à distance.

Ce botnet est particulièrement remarquable car il permet aux pirates de prendre le contrôle de la boîte aux lettres Microsoft Outlook de la victime, d’exfiltrer les adresses e-mail de chaque contact et d’envoyer en masse des e-mails de phishing avec des pièces jointes HTML malveillantes, à partir des propres serveurs de messagerie de l’organisation. Les attaquants utilisent cette technique pour minimiser les risques de détection de leur infrastructure de phishing.

Chetan Raghuprasad, chercheur sur les menaces chez Cisco Talos, a déclaré à Recorded Future News : « Il s’agit d’une technique d’ingénierie sociale efficace qui aide à compromettre les victimes, car les e-mails semblent être envoyés à partir d’une adresse e-mail connue et sont délivrés via un serveur de messagerie légitime d’organisations légitimes. Ces adresses e-mail ou serveurs de messagerie sont généralement inscrits sur la liste blanche et passent par les vérifications SPF (Sender Policy Framework) sur les serveurs de messagerie de l’organisation du destinataire. De plus, il devient difficile pour les défenseurs de suivre l’infrastructure de phishing de l’attaquant et de bloquer ces e-mails.« 

Des pirates situés au Brésil

Le domaine utilisé pour héberger les outils des attaquants et les données exfiltrées était associé à une personne basée dans ce pays.

Le nom de domaine ressemblait au domaine légitime de l’agence fiscale mexicaine, une tactique que l’attaquant a probablement adoptée pour dissimuler le trafic malveillant.

La campagne vise principalement des personnes au Mexique, mais des infections ont également été observées en Uruguay, au Brésil, au Venezuela, en Argentine, au Guatemala et au Panama.

Les courriels de phishing analysés par les chercheurs indiquent que le groupe cible des organisations de divers secteurs d’activité, notamment la comptabilité, la construction, l’ingénierie, l’investissement et la distribution en gros.

Le malware bancaire utilisé dans le cadre de cette campagne vise à collecter les identifiants de connexion des victimes pour divers comptes en ligne, ainsi que des informations sur leur système d’exploitation et même des frappes au clavier.

Les chercheurs ont également constaté que le cheval de Troie est capable de voler des codes de sécurité à usage unique ou des jetons logiciels souvent utilisés par les applications bancaires en ligne pour vérifier les utilisateurs.

En plus de cibler les boîtes de réception Outlook, cet outil de spam compromet également les comptes de messagerie Web Yahoo et Gmail, permettant aux attaquants de prendre le contrôle de ces boîtes aux lettres, d’exfiltrer les adresses e-mail des contacts et d’envoyer du spam.

Une cyber attaque réfléchie

L’infrastructure utilisée par les pirates a été enregistrée en novembre 2020, ce qui suggère une date possible de début de la campagne.

L’attaque commence généralement par un e-mail de phishing en espagnol sur le thème de l’impôt sur le revenu. L’e-mail prétend être une notification de reçu fiscal et incite les victimes à ouvrir la pièce jointe HTML malveillante.

Une fois ouverte, la pièce jointe HTML redirige la victime vers une autre page HTML malveillante. Les victimes sont ensuite invitées à cliquer sur un lien intégré qui télécharge un fichier RAR.

Lorsque le fichier RAR est ouvert, plusieurs fichiers sont téléchargés, ce qui provoque le redémarrage de la machine après 10 secondes. Au moins l’un de ces fichiers malveillants est rendu légitime en utilisant l’icône Internet Explorer.

Les charges utiles utilisées par les attaquants dans cette campagne sont conçues pour voler des informations sensibles, échapper à la détection et diffuser des e-mails de phishing supplémentaires aux contacts de la victime.

« Le cheval de Troie bancaire cible des informations sensibles telles que les identifiants de connexion et les codes de sécurité des transactions financières, enregistre les frappes au clavier et manipule les données du presse-papiers de la machine victime. Le cheval de Troie possède également des capacités d’anti-analyse et d’anti-détection pour échapper aux environnements de bac à sable et virtuels.« 

Les chercheurs ont noté que le module bancaire de ce cheval de Troie utilise des techniques similaires à celles des chevaux de Troie bancaires brésiliens signalés précédemment par d’autres chercheurs en sécurité chez ESET et Check Point.

En outre, ce cheval de Troie possède des capacités de gestion de bureau à distance, permettant aux pirates de créer et de supprimer des répertoires, de télécharger des fichiers, et bien plus encore.