Archives quotidiennes :

Banque, Communiqué de presse, Cybersécurité

Fraud Detection Platform : le chasseur de fraude russe

L’écosystème numérique de MTS, l’un des plus important opérateur télécom russe, a annoncé sa transition vers sa propre plateforme de détection de fraude, baptisée « Fraud Detection Platform ».

Le russe MTS, Mobile TeleSystems, l’un des principaux opérateurs de télécommunications du pays a annoncé exploiter son propre outil de veille et de contrôle des fraudes pouvant passer par ses serveurs. Une plateforme de détection des fraudes baptisée Fraud Detection Platform.

Cette solution analyse le comportement des utilisateurs et détecte les anomalies. DataSecurityBreach.fr a repéré cette information via un communiqué de presse diffusé par la société.

« La mise en place de cette plateforme permettra à l’écosystème d’économiser environ 460 millions de roubles par an (4,3 millions d’euros). » Ce système anti-fraude analyse et organise les flux de données provenant de différents équipements et formats, les systématise et identifie des tendances. Fraud Detection Platform traite plus de 5 milliards de transactions par jour, prenant en moyenne moins de 50 millisecondes pour chaque transaction.

En cas de détection d’un comportement suspect de l’utilisateur, le système effectue une analyse et, si nécessaire, de bloquer rapidement les actions frauduleuses.

Les algorithmes de Fraud Detection Platform incluent une détection par apprentissage automatique (ML) basée sur plus de 250 paramètres calculés pour tous les abonnés actifs de MTS.

Cette analyse multifactorielle permet de détecter même les schémas de fraude les plus atypiques. « Auparavant, le système anti-fraude ne prenait en compte que 32 indicateurs pour chaque action sur le réseau, maintenant le nombre de paramètres est illimité », souligne le communiqué.

Fraud Detection Platform conserve les informations sur les opérations pendant une période suffisante pour effectuer une analyse rétrospective, ce suivi aide l’entreprise à développer de nouvelles hypothèses de détection de scénarios de fraude.

Cybersécurité

Des pirates indiens apprennent l’anglais via des vidéos YouTube

Des pirates indiens apprennent l’anglais américain grâce à des vidéos sur YouTube. Des pirates indiens, agissent la plupart du temps, de leur petite maison, dans la campagne.

En Inde, les activités d’un cartel de fraude spécialisé dans l’utilisation de mots de passe à usage unique ont été révélées. Cette enquête a été consacrée par la chaîne de télévision locale NDTV dans un reportage de 25 minutes intitulé « Inside The OTP Mafia: Nuh To New York » (Nuh étant une ville de l’État indien de l’Haryana, où le groupe transnational était basé).

Les criminels qui dirigent ce cartel ne sont pas des experts en technologie assis derrière de grands écrans d’ordinateurs à la pointe de la mode dans de grandes villes. Ces hommes et ces femmes ont abandonné l’école et travaillent sans quitter leurs cabanes situées dans les champs de Jamtara, Nuh, Mathura, Bharatpur et de nombreux autres villages.

L’activité du cartel a effacé les distances et les frontières au maximum : les habitants de Noida (dans l’État d’Uttar Pradesh, une agglomération de New Delhi) appellent tranquillement les habitants de New York, situés à des milliers de kilomètres d’eux. Les statistiques montrent qu’au cours de la dernière année, au moins 45 000 Américains ont été victimes de ces appels frauduleux.

Les escrocs utilisent des téléphones mobiles basiques, des centaines de cartes SIM et des comptes bancaires de « droppeurs » ruraux qui ne se doutent même pas de leur rôle dans ce schéma d’escroquerie mondiale. Je vous expliquais, il y a quelques jours, comment certains groupes pirates achètent des comptes bancaires existant de chômeurs pour faire transiter de l’argent sale.

« Certains habitants de villages de ce pays apprennent à parler comme des Américains en regardant des milliers de vidéos sur YouTube » a déclaré un haut responsable du FBI.

Les schémas de fraude OTP utilisent des milliers de cartes SIM. En avril 2023, la police de New Delhi a confisqué 22 000 cartes SIM à un seul groupe de pirates. Plusieurs hommes impliqués dans l’escroquerie, qui ont été arrêtés puis libérés sous caution, ont raconté qu’ils dépensaient l’argent volé pour s’amuser et mener une vie plus extravagante.

Cyber police en formation

Pendant ce temps, DataSecuritybreach.fr a repéré une information concernant la cyber police en Inde. Cinquante-sept nouvelles unités de cyberpolice seront créées pour lutter contre les fraudeurs. Dans l’État indien d’Uttar Pradesh (le plus grand État du pays avec une population de 200 millions d’habitants), cinquante-sept nouvelles divisions de la cyberpolice seront mises en place au cours des deux prochains mois. Le renforcement des forces de l’ordre dans cette région vise à réduire l’activité des cybercriminels, dont cette zone géographique occupe régulièrement l’une des premières places non seulement en Inde, mais dans le monde entier.

Le chef du gouvernement de l’État a proposé de réformer les unités de cyberpolice de manière que des policiers spécialisés dans ce type de crime soient présents dans chaque zone des 75 districts de la région. De plus, les bases de la sécurité informatiques seront enseignées dans les écoles locales, ce qui devrait sensibiliser les habitants d’Uttar Pradesh aux menaces cyber auxquelles ils peuvent être confrontés dans leur vie quotidienne.

Au Népal, à quelques encablures de l’Inde, pour lutter contre la cybercriminalité, un cyber bureau est en cours de création. L’Agence coréenne de coopération internationale (KOICA), en coordination avec la police népalaise, a posé la première pierre du Cyber bureau du pays. Selon le Kathmandu Post, le coût total de sa construction s’élève à huit millions de dollars. Ce montant comprend également le coût de l’équipement pour les enquêtes sur la cybercriminalité et le laboratoire d’expertise judiciaire numérique.

De plus, des formations sont prévues pour les membres de la police népalaise afin de les aider à lutter contre les crimes dans le domaine numérique. L’ensemble du projet devrait être terminé d’ici 2026. Le bâtiment du cyber bureau lui-même sera achevé plus rapidement, d’ici février 2025. Il convient de noter que l’aide du gouvernement coréen au Népal par le biais de la KOICA a régulièrement augmenté ces dernières années, car ce pays est considéré comme l’un des partenaires étrangers prioritaires de Séoul.

Cybersécurité, Fuite de données

Piratage et fuite de données pour Sourcegraph

Un incident de sécurité majeur a secoué récemment Sourcegraph, la plateforme de développement utilisée par d’importantes entreprises telles qu’Uber, Reddit, Dropbox, et bien d’autres. Un hacker inconnu a réussi à obtenir un accès administratif à Sourcegraph AI, provoquant un véritable remue-ménage.

Diego Comas, le responsable de la sécurité de Sourcegraph, a révélé que le pirate informatique avait exploité un incident malheureux survenu le 14 juillet de cette année, même si l’attaque elle-même a été exécutée plus tard, le 28 août. La faille découle de la diffusion accidentelle d’un jeton d’accès administrateur dans une pull request. En utilisant ce jeton, le hacker a pu élever son propre compte au rang d’administrateur, ouvrant ainsi les portes du système Sourcegraph.

L’attaquant, ou un collaborateur potentiel, a ensuite développé une application proxy ingénieuse, permettant aux utilisateurs d’accéder directement à l’API Sourcegraph et d’utiliser le puissant modèle de langage Large Language Model (LLM). L’idée était de pousser les utilisateurs à créer des comptes gratuits sur Sourcegraph.com, de générer des jetons d’accès, puis de solliciter l’attaquant pour augmenter leurs privilèges.

L’incident a été repéré rapidement, dès le jour de l’attaque, grâce à une augmentation soudaine de l’utilisation de l’API. L’attrait d’un accès gratuit à l’API Sourcegraph a attiré de nombreuses personnes, conduisant à une croissance exponentielle des utilisateurs de l’application proxy.

Diego Comas explique : « L’application et les instructions d’utilisation se sont rapidement répandues sur Internet, collectant environ 2 millions de vues. Au fur et à mesure que de plus en plus d’utilisateurs découvraient l’application proxy, ils créaient des comptes gratuits sur Sourcegraph.com, ajoutaient leurs jetons d’accès et accédaient illégalement à l’API Sourcegraph. »

Il a également été révélé que, pendant l’attaque, le pirate informatique a eu accès à certaines informations client de Sourcegraph, telles que leurs clés de licence, noms et adresses e-mail (pour les utilisateurs de la version gratuite, uniquement les adresses e-mail).

Cependant, il est crucial de noter que cette attaque n’a pas exposé de données sensibles des clients, comme des informations personnelles, des mots de passe ou des noms d’utilisateur. Sourcegraph a affirmé que ces données étaient « isolées » dans des environnements sécurisés.

Dès la découverte de l’attaque, l’équipe de Sourcegraph a pris des mesures immédiates pour contenir la menace. Ils ont désactivé le compte de l’attaquant, temporairement restreint l’utilisation de l’API pour les utilisateurs de la version gratuite, et modifié les clés de licence potentiellement compromises lors de l’incident.

APT, Chiffrement, Cybersécurité

Le ransomware Cuba déploie un nouveau logiciel malveillant

Découvertes concernant le groupe de ransomware connu sous le nom de Cuba : le groupe a récemment déployé des logiciels malveillants qui ont échappé à la détection avancée, et ciblé des organisations partout dans le monde, compromettant ainsi des entreprises œuvrant dans divers secteurs d’activité.

En décembre 2022, des spécialistes  de la cybersécurité détectaient un incident suspect sur le serveur d’un de ses clients, avec la découverte de trois fichiers douteux. Ces fichiers ont déclenché une séquence de tâches qui ont conduit au chargement de la bibliothèque komar65, aussi appelée BUGHATCH.

BUGHATCH est une porte dérobée sophistiquée qui se déploie dans la mémoire du processus. Le programme exécute un bloc de shellcode intégré dans l’espace mémoire qui lui est alloué à l’aide de l’API Windows, qui comprend diverses fonctions. Il se connecte ensuite à un serveur de commande et de contrôle (C2) en attente d’autres instructions. Il peut recevoir des commandes pour télécharger des logiciels tels que Cobalt Strike Beacon et Metasploit. L’utilisation de Veeamp dans l’attaque suggère fortement l’implication de Cuba dans le déploiement de cette attaque.

Un moustique dans le serveur

Le fichier PDB fait notamment référence au dossier « komar », un mot russe signifiant « moustique », ce qui indique la présence potentielle de membres russophones au sein du groupe. En menant une analyse plus poussée, des experts ont découvert d’autres modules distribués par Cuba, qui améliorent les fonctionnalités du logiciel malveillant. L’un de ces modules est chargé de collecter des informations sur le système, qui sont ensuite envoyées à un serveur via des requêtes HTTP POST.

Poursuivant son enquête, les chercheurs ont identifié de nouveaux échantillons de logiciels malveillants attribués au groupe Cuba sur VirusTotal. Certains de ces échantillons étaient passés entre les mailles de la détection avancée fournie par d’autres fournisseurs de sécurité. Ces échantillons représentent de nouvelles itérations du logiciel malveillant BURNTCIGAR, exploitant des données cryptées pour échapper à la détection antivirus.

« Les gangs de ransomware comme Cuba évoluent rapidement, tout en affinant leurs tactiques, il est donc essentiel de rester à l’avant-garde pour contrer efficacement les attaques potentielles. Face à l’évolution constante du paysage des cybermenaces, la connaissance est l’ultime défense contre les groupes cybercriminels émergents« , a déclaré Kaspersky.

Cuba est une souche de ransomware à fichier unique, difficile à détecter, car elle fonctionne sans bibliothèques additionnelles. Ce groupe russophone est connu pour sa victimologie étendue, et cible des secteurs tels que la vente au détail, la finance, la logistique, les agences gouvernementales et la fabrication en Amérique du Nord, en Europe, en Océanie et en Asie. Les agents malveillants œuvrant au sein de Cuba utilisent un mélange d’outils publics et propriétaires, mettent régulièrement à jour leur boîte à outils et utilisent des tactiques telles que BYOVD (Bring Your Own Vulnerable Driver).

L’une des caractéristiques de leur opération consiste à modifier les dates et les heures des fichiers compilés afin d’induire les enquêteurs en erreur. Par exemple, certains échantillons trouvés en 2020 avaient une date de compilation du 4 juin 2020, alors que les horodatages de versions plus récentes étaient affichés comme étant datées du 19 juin 1992. Leur approche unique consiste non seulement à crypter les données, mais aussi à adapter les attaques pour extraire des informations sensibles, telles que des documents financiers, des relevés bancaires, des comptes d’entreprise et du code source. Les entreprises de développement de logiciels sont particulièrement exposées. Bien que Cuba soit sous les feux des projecteurs depuis un certain temps maintenant, ce groupe reste dynamique et affine constamment ses techniques.