Archives quotidiennes :

Cybersécurité, Securite informatique

De faux messages de clients mécontents visent des hôtels

Les experts de VADE viennent de découvrir des tentatives de fraudes, via des courriels piégés, s’attaquant spécifiquement aux hôtels. 

Les premiers messages envoyés ne contiennent pas forcément de pièces jointes ou de liens nuisibles, mais leur rédaction est telle qu’ils sont reconnus comme potentiellement frauduleux par les systèmes de filtrage. Ces courriers électroniques ne sont pas toujours détectés par les filtres anti-spam habituels car ils ne contiennent pas d’éléments malveillants évidents. Le but est d’amener le destinataire, souvent la réception ou la direction de l’hôtel, à répondre à l’arnaqueur. Un second message, potentiellement avec une pièce jointe ou un lien dangereux, serait alors envoyé.

Le Blog ZATAZ, référence depuis plus de 20 ans dans les actualités liées à la lutte contre le cybercrime avait alerté de ce type de fraude, au mois d’août 2023. Même méthode, même excuse : la plainte d’un client.

Les analyses de l’entreprise française Vade suggèrent qu’il s’agit d’un malware versatile, capable de dérober des informations, d’obtenir des droits d’accès supérieurs, de se maintenir dans le système et de récolter des données d’identification, avec un potentiel de dégénérer en ransomware. Des indices laissent penser que cet acteur de menaces pourrait être d’origine chinoise, sans que cela puisse être affirmé avec certitude. « Nos analystes ont trouvé des preuves de l’existence de variantes apparentées qui indiquent qu’il s’agit très probablement d’un acteur chinois, mais les données ne permettent pas de le conclure à 100 %. » indique Romain Basset, directeur des services clients Vade.

Les auteurs se font passer pour des clients mécontents pour engager une conversation avec le personnel, comme l’alerte de ZATAZ au mois d’août 2023. Ces tentatives d’escroquerie sont généralement brèves et exemptes de charge malicieuse, du moins jusqu’à présent, avec l’hypothèse que cela intervient dans les échanges ultérieurs.

Une découverte notable est celle d’un courriel intégrant un lien vers un fichier malicieux sous un faux prétexte visuel. Bien que ces attaques aient jusqu’à présent visé principalement des entités anglophones, elles pourraient s’étendre à d’autres langues. Nos systèmes de détection n’identifient pas toujours ces tentatives, à l’instar d’autres filtres.

Voici quelques exemples de ces emails :

  • « Bonjour, lors de mon séjour à votre hôtel, j’ai subi un désagrément impliquant l’un de vos employés. J’ai dû contacter mon avocat. Pourriez-vous m’assister ?« 
  • « Bonjour, je souhaite signaler un souci rencontré avec ma réservation. J’ai besoin de renseignements et d’aide. Merci de répondre rapidement.« 

Les tentatives semblent viser les adresses email génériques telles que « info@ » trouvées sur les sites des hôtels, souvent consultées par le personnel de gestion. Les pirates créé un prétexte d’urgence dans la réponse [des clients pas content] pour une réponse rapide et une action de la part de la victime, augmentant ainsi les chances de succès de l’arnaque. Le fondateur de ZATAZ, Damien Bancal, a participé au mois d’octobre 2023 à une compétition de Social Engineering, au Québec [il a fini avec la médaille d’argent]. Il a démontré lors de la compétitions de 48 heures, comment les services hôteliers étaient des mines d’informations.

Preuves de l’objectif de l’attaque : Bien que le logiciel semble principalement conçu pour le vol d’informations, il est équipé pour évoluer vers des attaques plus sérieuses, telles que le ransomware, avec des indications d’utilisation de bibliothèques de cryptographie, suggérant une volonté de chiffrer les données et perturber les opérations hôtelières.

Cybersécurité, Securite informatique

Des entités israéliennes cibles des pirates du groupe Agonizing Serpens

Des experts révèlent une campagne de cyberattaques visant les domaines éducatifs et technologiques en Israël.

Ces offensives sont attribuées à un groupe APT, étroitement lié à l’Iran, surveillé par l’Unité 42 sous le nom d’Agonizing Serpens (également connu sous le nom d’Agrius), actif depuis 2020. Ce groupe est spécialisé dans les attaques cybernétiques destructrices, utilisant des malwares Wiper (appelés « essuie-glaces » car ils suppriment intégralement les données des systèmes infectés) et des ransomwares trompeurs visant principalement des institutions israéliennes.

Lancées en janvier 2023 et persistantes jusqu’en octobre 2023, ces attaques sont marquées par des tentatives de dérobement de données confidentielles, incluant des informations personnelles identifiables (PII) et de la propriété intellectuelle.

Les offensives d’Agonizing Serpens ont pour but le vol d’informations sensibles et la destruction massive de données par l’effacement des contenus des systèmes impactés. Les responsables ont subtilisé des données critiques, dont des informations personnelles et de propriété intellectuelle des organisations visées, et les ont divulguées sur les réseaux sociaux ou via des canaux Telegram, probablement dans le but d’intimider ou de nuire à la réputation des victimes.

Les analyses des nouveaux malwares Wiper indiquent que le groupe a peaufiné ses méthodes, privilégiant des techniques discrètes et évasives pour échapper aux systèmes de sécurité, notamment les technologies EDR.

Les chercheurs ont repéré 3 nouveaux Wiper et 1 outil de pillage de bases de données employés récemment par Agonizing Serpens :

  • Wiper multicouche
  • Wiper PartialWasher
  • Wiper BFG Agonizer
  • Sqxtractor – un outil spécifique pour l’extraction de données de serveurs de bases de données

Des détails supplémentaires et une analyse technique détaillée sont disponibles dans le rapport complet.

Qu’est-ce que le groupe APT Agonizing Serpens ?

Agonizing Serpens, aussi appelé Agrius, est un groupe APT associé à l’Iran, actif depuis 2020. Des rapports précédents avaient évoqué l’usage de ransomwares et de demandes de rançon, mais ces éléments se sont avérés être des diversions, comme noté dans le rapport de l’Unité 42 de 2023 sur le ransomware et la cyberextorsion. Lors des récentes attaques, aucune rançon n’a été exigée ; à la place, les conséquences ont été la perte de données et des interruptions d’activité significatives.

Les chercheurs estiment que ces attaques sont l’œuvre d’Agonizing Serpens, lié à l’Iran, basé sur les similitudes de code dans les différents Wipers : le Wiper MultiLayer analysé montre des correspondances de code et des schémas de noms similaires déjà documentés pour les Wipers d’Agonizing Serpens connus sous les noms Apostle, Fantasy et la backdoor IPsec Helper.

Les similitudes de code dans les web shells : les assaillants ont utilisé des web shells variant légèrement de l’un à l’autre, les différences résidant principalement dans les noms de variables et de fonctions. La nature destructrice des attaques : la phase finale des assauts implique une stratégie de « terre brûlée », avec l’utilisation de Wipers sur mesure pour détruire les terminaux et dissimuler les traces.

Enfin, le ciblage exclusif d’organisations israéliennes : la télémétrie de l’Unité 42 n’a relevé aucune victime non israélienne, suggérant une focalisation du groupe APT sur Israël.