Archives de catégorie : cyberattaque

cyberattaque, Cybersécurité

DES PME FRANÇAISES ADMETTENT AVOIR ÉTÉ TOUCHÉES PAR UNE VIOLATION DE LA SÉCURITÉ DE LEURS IMPRIMANTES.

L’augmentation des menaces de sécurité, telles que le phishing ou les ransomware, est une préoccupation très réelle pour les petites et moyennes entreprises (PME) d’Europe. D’autant plus que l’exploitation de nouvelles vulnérabilités fait des appareils en réseau, tels que les multifonctions et les imprimantes, des cibles de choix pour les atteintes à la sécurité informatique.

Une étude menée par Sharp Europe – L’un des principaux fournisseurs de produits et de services technologiques aux PME européennes, a révélé que près d’une PME française sur huit (12%) admet avoir été affectée par une violation de la sécurité de son imprimante. Près d’un tiers d’entre elles ont été touchées par des pertes de données (28%), des malware (31%), du phishing (32%) et des attaques de virus informatiques (29%).

Aujourd’hui, le paysage des menaces liées à l’impression continue de s’élargir avec les défis réels que pose le travail hybride, qu’il s’agisse de sécuriser les connexions réseau ou de se prémunir contre l’erreur humaine. Pourtant, seulement 3% des PME s’inquiètent du risque de sécurité des imprimantes. En fait, plus d’un tiers (38%) des petites entreprises françaises n’ont mis en place aucune mesure de sécurité informatique pour protéger les imprimantes.

L’étude paneuropéenne a interrogé 5 770 professionnels responsables de l’achat IT dans leurs PME, sur la confiance dans leurs capacités de sécurité informatique et les obstacles à l’investissement dans la sécurité informatique au cours des 12 prochains mois.

Manque de compréhension des employés en matière de sécurité informatique

L’étude révèle que le travail hybride est la deuxième raison (28%) pour laquelle les PME françaises s’inquiètent de plus en plus de la sécurité informatique. Plus d’un quart d’entre elles (26%) s’inquiètent également du manque de compréhension des employés en matière de sécurité informatique. Malgré ces inquiétudes, seul un peu plus d’un tiers (41%) couvre le travail hybride dans le cadre de sa formation actuelle à la sécurité informatique et moins d’un quart des PME sensibilisent leurs employés à la sécurité informatique des scanners (16%) et des imprimantes (19%).

Pour les petites entreprises qui ne disposent pas de ressources informatiques importantes, la réalité du paysage des menaces en constante évolution et les défis posés par le travail hybride peuvent sembler décourageants. Les PME peuvent commencer par mettre à jour les logiciels pour les scanners et les imprimantes, sauvegarder régulièrement les données et encourager une politique de sécurité cohérente au sein des équipes travaillant sur plusieurs sites afin de garantir leur protection. Demander l’avis d’un expert peut aider à s’assurer que les bonnes décisions en matière de sécurité informatique sont prises, qu’une vision holistique de la sécurité est adoptée et que les solutions sont toujours à jour.

cyberattaque, Cybersécurité

Aprés une cyber attaque, une entreprise débourse plus de 10 millions pour réparer !

Le fournisseur de cloud Rackspace Technology Inc. a dépensé 10,8 millions de dollars pour corriger les conséquences d’une cyberattaque à grande échelle survenue en décembre 2022.

Décembre 2022, les pirates informatiques du groupe spécialisé dans le chantage numérique Play s’attaquent à la société Rackspace Technology Inc., un spécialiste du cloud. L’entreprise a dépensé 10,8 millions de dollars pour corriger les conséquences de cette malveillance numérique.

Selon l’entreprise, la plupart des fonds ont été utilisés pour payer les services d’une société internationale de cybersécurité. En outre, l’argent a aussi été consacré au soutien juridique et aux salaires du personnel en charge d’aider les victimes impactés par ce ransomware.

A noter que des entreprises continuent de porter plainte contre les pirates et Rackstage à San Antonio, Los Angeles et New York. Le rapport fournit par Rackspace à la Securities and Exchange Administration des États-Unis (le gendarme de la bourse US) indique que malgré des poursuites judiciaires, l’entreprise ne subira pas de dommages financiers graves.

Cependant, il est actuellement impossible d’estimer avec précision les pertes potentielles. Les propriétaires s’attendent à ce qu’une part importante des coûts liés à l’incident soit couverte par une assurance cyber-risques.

En mai 2023, un tribunal s’est prononcé en faveur de Rackspace, rejetant un recours collectif intenté par 37 payeurs de divers États américains qui avaient perdu l’accès à leurs données lors de cette cyber attaque. Les pirates de Play ont utilisé une nouvelle méthode pour pénétrer dans le réseau Hosted Exchange. En exploitant la vulnérabilité sous l’identifiant CVE-2022-41080, ils ont eu accès à la correspondance électronique, aux calendriers, aux planificateurs, aux listes de tâches, au carnet d’adresses et à d’autres données dans les fichiers PST (Personal Storage Table) de leurs cibles.

À la suite de l’incident, la valeur boursière de Rackspace a chuté, signe d’une perte de confiance des investisseurs. Les prévisions financières à long terme sont devenues beaucoup moins optimistes.

cyberattaque, Cybersécurité

Une attaque utilisant le caractère RLO dans le nom de fichier

Les autorités États-Uniennes ont signalé une nouvelle réincarnation d’attaques utilisant le caractère Unicode RLO (Right-to-Left Override), qui permet de basculer l’écriture des noms de fichiers du mode standard de gauche à droite à l’écriture de droite à gauche.

Grâce à ce caractère Unicode illisible, l’extension du fichier peut être masquée de manière à ce que l’utilisateur, lisant de gauche à droite, pense avoir affaire à un certain type de fichier, mais si on le lit de droite à gauche, comme c’est le cas dans certaines langues arabes ou en hébreu, l’extension est fondamentalement différente. Dans l’histoire partagée par le chercheur Krebs, le fichier s’appelait lme.pdf et incitait le destinataire à résoudre des problèmes liés à ses déclarations fiscales. Cependant, en réalité, le nom du fichier contenait ce fameux caractère RLO, ce qui faisait que le fichier devait être lu de droite à gauche – fdp.eml.

Ainsi, la victime de l’attaque de phishing ne recevait pas un document électronique, mais un fichier de messagerie électronique se faisant passer pour un PDF. « L’e-mail est arrivé via Microsoft Office 365 avec tous les filtres anti-spam et anti-phishing activés, mais il n’a pas été intercepté », s’est plaint une victime potentielle de l’attaque auprès de Krebs. « Cependant, si vous envoyez cet e-mail via Mimecast, le programme est suffisamment intelligent pour reconnaître le caractère RLO et renommer le fichier en « ___fdp.eml« . Honnêtement, Microsoft a eu suffisamment de temps pour résoudre ce problème. »

Lorsque le fichier .eml est ouvert, une page Web s’affiche, imitant un avertissement de Microsoft concernant des messages indésirables en attente de récupération dans la boîte de réception de la victime. En cliquant sur le lien « Récupérer les messages », l’utilisateur est redirigé vers un lien marketing de LinkedIn (également propriété de Microsoft), qui est lui-même une redirection vers une ressource de phishing.

cyberattaque, Cybersécurité, loi

Cyberattaque contre la Commission électorale britannique : Une menace prévisible pour les démocraties modernes

La fragilité croissante des systèmes d’information dans les démocraties modernes a été mise en évidence une fois de plus alors que la Commission électorale britannique a récemment divulgué avoir été victime d’une cyberattaque complexe.

Cette intrusion compromettant les données de millions d’électeurs souligne l’importance de renforcer la cybersécurité pour préserver l’intégrité des processus démocratiques.

Le mardi 8 août, la Commission électorale britannique a révélé être victime d’une cyberattaque sophistiquée qui aurait compromis la sécurité des données de millions d’électeurs. Selon l’organisme de surveillance des élections au Royaume-Uni, des acteurs hostiles non spécifiés ont réussi à accéder aux copies des listes électorales, contenant des informations sensibles telles que les noms, adresses et statuts d’inscription des électeurs entre 2014 et 2022. Cette intrusion a également touché les e-mails et les systèmes de contrôle de la commission, demeurant indétectée jusqu’en octobre de l’année précédente.

Impact potentiel sur la démocratie

La gravité de cette violation de cybersécurité ne peut être sous-estimée. Bien que la Commission électorale affirme qu’aucune élection ni inscription n’a été directement impactée, les conséquences à plus long terme pourraient être préoccupantes. Les cybercriminels ayant désormais accès à une masse d’informations sur les électeurs, ils pourraient propager de la désinformation subtile auprès des 40 millions de citoyens concernés. Cette désinformation pourrait servir à renforcer certaines visions du monde et à semer la discorde. En altérant les données des électeurs ou même les votes eux-mêmes, ils pourraient potentiellement remettre en question l’authenticité et l’exactitude des processus démocratiques.

cyberattaque, Entreprise

Les attaques de messagerie professionnelle en hausse : Microsoft met en garde contre l’augmentation des attaques de type BEC

Microsoft a récemment signalé une augmentation alarmante des cyberattaques utilisant la technique baptisée Business Email Compromise (BEC). Cette méthode d’hameçonnage consiste en des attaquants se faisant passer pour des dirigeants ou des partenaires d’entreprises, cherchant à convaincre les employés de transférer de l’argent ou de divulguer des informations confidentielles.

Selon les données de Microsoft, le nombre d’attaques BEC (Business Email Compromise) a augmenté de 250 % en 2022 par rapport à l’année précédente. De plus, les attaquants ont développé des méthodes de tromperie de plus en plus complexes et sophistiquées. Par exemple, ils peuvent usurper des domaines ou des adresses e-mail pour donner l’illusion que leurs messages sont légitimes. Ils peuvent également compromettre de véritables comptes et envoyer des e-mails de phishing au nom des victimes.

Les petites et moyennes entreprises sont particulièrement ciblées par les attaques BEC, car elles ont souvent des mesures de cybersécurité moins avancées et un personnel moins formé. Microsoft estime que les dommages moyens causés par une attaque BEC réussie s’élèvent à environ 75 000 $.

Afin de se protéger contre les attaques BEC, Microsoft recommande aux entreprises d’utiliser des mesures telles que l’authentification multifacteur, le chiffrement des e-mails, la sensibilisation des employés à l’hygiène de la cybersécurité et l’authentification de domaine. Ces précautions peuvent contribuer à renforcer la sécurité des systèmes de messagerie professionnelle et à réduire les risques d’attaques BEC.

cyberattaque, Entreprise

Les sauvegardes, une source lucrative pour les cybercriminels

Les ransomwares se sont avérés être une source lucrative pour les cybercriminels, avec des sauvegardes souvent insuffisamment protégées pour éviter les dommages ou le versement d’une rançon. De plus, le paiement ne garantit pas toujours une récupération réussie des données.

D’après une enquête menée par Veeam et présentée dans le Ransomware Trends Report, 40% des entreprises mondiales adoptent une politique de non-paiement en cas d’attaque de ransomware. Cependant, plus de 80% finissent par payer la rançon demandée par les pirates informatiques suite à une attaque. L’étude a interrogé environ 1 200 organisations et analysé 3 000 cyberattaques survenues l’année dernière.

L’enquête a révélé des informations précieuses sur la récupération après une attaque de ransomware. Dans 59% des cas, l’entreprise concernée a pu récupérer ses données après avoir payé la rançon. Dans 4% des cas, aucune rançon n’a été exigée. Par ailleurs, 16% des entreprises ont réussi à récupérer leurs données cryptées sans payer de rançon.

Cependant, 21% des organisations qui ont payé une rançon n’ont pas réussi à récupérer leurs données. Selon Veeam, cela inclut des situations où la clé de déchiffrement n’a pas été fournie ou ne fonctionnait pas.

Une attaque paralyse également les applications

Il est important de noter que la récupération des données ou l’empêchement de leur propagation ne résout pas l’intégralité du problème. Souvent, une attaque paralyse également les applications et les services numériques, nécessitant des réparations approfondies et une meilleure mise en place de la sécurité après l’attaque.

Par exemple, après l’attaque par ransomware de décembre dernier, la ville d’Anvers n’a pu restaurer ses principaux services numériques qu’un mois et demi plus tard, et six mois après l’attaque, tout n’était toujours pas rétabli. L’administration communale a admis cette semaine à Data News que de nombreux processus étaient complexes et nécessitaient une révision pour prévenir de futures attaques.

Veeam a également souligné que dans 93% des attaques, les cybercriminels tentent également de compromettre les sauvegardes, rendant la récupération des données plus difficile sans payer de rançon. Dans 75% des cas, les criminels ont réussi à entraver la récupération des données. L’entreprise recommande donc d’utiliser des sauvegardes inaltérables et d’intégrer des ‘air gaps’ (trous d’air) pour séparer la sauvegarde d’Internet et la protéger contre les attaques de ransomware.

Assurance en cybersécurité

L’impact du succès des ransomwares se fait également sentir dans le secteur de l’assurance en cybersécurité. 21% des répondants à l’enquête ont indiqué que leur assurance n’incluait pas le risque de ransomware. Trois quarts des participants ont constaté une augmentation de leur prime d’assurance l’année dernière, 43% ont fait état d’exigences accrues de la part de l’assureur, tandis que 10% ont déclaré être moins couverts qu’auparavant.

Cette tendance souligne l’importance de mettre en place des mesures de sécurité robustes pour protéger les données et les systèmes d’information contre les attaques de ransomware. Les entreprises doivent également se préparer à faire face à des augmentations de primes d’assurance en cybersécurité et à des exigences plus strictes de la part des assureurs, car le risque de cyberattaques continue de croître.

En conclusion, bien que le paiement d’une rançon puisse parfois permettre de récupérer des données, les entreprises doivent prendre conscience que cela ne garantit pas une récupération complète et peut également encourager davantage d’activités criminelles. Par conséquent, des mesures préventives, telles que l’amélioration de la sécurité des sauvegardes et le renforcement de la protection contre les ransomwares, doivent être prioritaires pour les organisations.

cyberattaque, Cybersécurité

Des entreprises tardent à corriger la vulnérabilité GoAnywhere MFT même après les attaques du rançongiciel Cl0p

Des dizaines d’organisations sont toujours exposées à des cyberattaques via une vulnérabilité largement exploitée dans GoAnywhere MFT, un outil Web qui aide les organisations à transférer des fichiers.

Depuis février 2023, les groupes de rançongiciels Cl0p et Blackcat ont cyber attaqués des dizaines de grandes entreprises et gouvernements du monde via une vulnérabilité zero-day GoAnywhere (CVE-2023-0669).

Les gouvernements de Toronto et de Tasmanie ont été touchés par l’incident aux côtés de géants comme Proctor & Gamble, Virgin et Hitachi comme avait pu vous le révéler le blog dédié à l’actualité de la cybersécurité ZATAZ, à l’époque.

Un correctif pour la vulnérabilité avait été publié en février, ce qui n’a pas empêché Cl0p de compromettre plus de 130 organisations.

Il y a quelques jours, une société de cybersécurité a pris son abonnement chez Shodan est a regardé les machines encore connectées. Plus de 2 mois après la divulgation de ce 0Day, 179 hôtes affichaient encore des panneaux d’administration GoAnywhere MFT ! 30% d’entre eux montraient qu’ils n’étaient pas encore mis à jour.

cyberattaque, Cybersécurité

Une nouvelle vague de diffusion du malware Qbot cible les entreprises avec des PDF malveillants

Début avril, découverte d’une nouvelle diffusion massive des logiciels malveillants Qbot. Le pirate cible les entreprises via leurs employés via des PDF Piégés.

Des attaquants malveillants utilisent une méthode inédite pour diffuser Qbot, un cheval de Troie bancaire notoire qui s’attaque aux entreprises en leur volant des données sensibles telles que des mots de passe et des correspondances professionnelles. Les attaquants ont lancé une campagne de spams qui utilise des fichiers PDF piégés comme pièces jointes pour infiltrer les systèmes informatiques de l’entreprise. Des experts en cybersécurité ont détecté plus de 5 000 courriels contenant des pièces jointes indésirables au format PDF dans plusieurs pays depuis le début d’avril.

Les attaquants utilisent des techniques d’ingénierie sociale avancées pour intercepter des échanges professionnels existants et y insérer des fichiers PDF malveillants. Les destinataires des courriels sont incités à ouvrir ces fichiers pour des raisons plausibles, telles que la consultation de la documentation associée ou le calcul des coûts d’un contrat. Une stratégie classique mais qui semble toujours porter ses fruits.

PDF piégé

Le contenu du fichier PDF partagé est une image qui imite une notification de Microsoft Office 365 ou de Microsoft Azure. Si l’utilisateur clique sur « Ouvrir », l’archive malveillante se télécharge sur son ordinateur à partir d’un serveur distant compromis.

Qbot permet aux pirates de contrôler le système infecté à distance et d’installer des ransomwares ou d’autres chevaux de Troie sur d’autres appareils du réseau. Les experts recommandent aux entreprises d’être vigilantes et de vérifier attentivement les signaux d’alerte tels que l’orthographe de l’adresse électronique de l’expéditeur, les pièces jointes suspectes et les erreurs grammaticales.

Qbot est un cheval de Troie bancaire notoire qui évolue dans le cadre d’un réseau de botnets. C’est un trojan capable de collecter des données telles que les mots de passe et les correspondances professionnelles des personnes ciblées. Cette interception permet aux pirates d’écrire des courriels aux contenus plausibles, car existant.

Depuis le début du mois d’avril, les chercheurs de Kaspersky ont observé un pic d’activité provoqué par une campagne de spam utilisant le schéma décrit plus haut, avec des pièces jointes au format PDF. On date le début de cette nouvelle vague à la soirée du 4 avril. Les courriers sont écrits en anglais, en allemand, en italien et en français.

cyberattaque, Cybersécurité

Le Pentagone, la CIA, l’OSINT et les fuites

Le Pentagone est confronté à une fuite de données militaires sensibles, mettant en lumière la rivalité entre le Pentagone, la CIA, les espions et les pirates informatiques pour la collecte d’informations.

Le Pentagone est en train de se préparer à mener des campagnes de propagande sur Internet en utilisant des vidéos deepfake, selon des documents fédéraux de marchés publics. Le Commandement des opérations spéciales des États-Unis, qui est responsable de certaines des opérations militaires les plus secrètes du pays, veut affiner sa propagande offensive en espionnant apparemment son public cible via leurs appareils connectés à Internet. Le document mis à jour sur les marchés publics montre que l’armée américaine veut intensifier ces efforts de tromperie en ligne en utilisant des vidéos deepfake.

Le Pentagone a déjà utilisé des tactiques « d’opérations psychologiques » dans le passé, comme en décembre 2022, lorsqu’un réseau de faux comptes Twitter a été créé pour diffuser de fausses nouvelles douteuses. Bien que l’opération sur Twitter n’ait pas utilisé de deepfake, les entrepreneurs du Pentagone avaient utilisé des avatars créés à l’aide d’apprentissage automatique pour donner aux faux comptes une certaine dose de réalisme.

La fuite de données du Pentagone

Le Pentagone fait face à une fuite de données militaires sensibles qui pose un risque « très grave » pour la sécurité nationale des Etats-Unis. Cette fuite de documents classifiés américains, notamment liés à l’Ukraine et qui semblent authentiques pour la plupart, est considérée comme la plus importante depuis l’affaire Snowden en 2013 indique le New York Times. Les documents contiennent des analyses détaillées sur la guerre en Ukraine, qui donnent une idée de l’étendue de la pénétration américaine des plans militaires russes, mais aussi des interceptions de communications, parfois au détriment de pays alliés des États-Unis comme Israël et la Corée du Sud. Le Service Veille ZATAZ a pu retrouver certains documents sur les forums 4chan (documents ont été détruits depuis, NDR) ou encore sur Telegram.

Un flot régulier de photographies de documents classifiés a été découvert sur des réseaux sociaux, bien que certains aient pu circuler en ligne pendant des semaines avant d’attirer l’attention. Les autorités ont ouvert une enquête pour déterminer l’origine de cette fuite de données.

La CIA, l’OSINT et la concurrence avec le Pentagone

La stratégie nationale de renseignement de 2019 souligne que l’incapacité de suivre rapidement les évolutions technologiques et les normes de l’industrie peut affecter l’avantage concurrentiel des services de renseignements de l’Oncle sam (IC). Cependant, la stratégie ne fournit pas de définition précise de cet avantage concurrentiel. Il s’agit de la capacité de collecter et d’analyser des informations que personne d’autre ne peut obtenir ou traiter. Cette définition est issue de l’Executive Order 12333, qui régit la pratique du renseignement aux États-Unis.

L’EO 12333 énonce l’objectif principal de l’IC, qui consiste à fournir des informations précises et opportunes au président et au Conseil de sécurité nationale pour fonder les décisions concernant la conduite et le développement de la politique étrangère, de défense et économique, et la protection des intérêts nationaux des États-Unis contre les menaces étrangères à la sécurité. Cette collecte doit être conforme à la Constitution et à la loi applicable, respectueuse des principes sur lesquels les États-Unis ont été fondés et poursuivie d’une manière vigoureuse, innovante et responsable.

L’IC a commencé à s’intéresser à l’Open Source Intelligence (OSINT) pour combler une lacune que personne d’autre ne pouvait. Le Foreign Broadcast Information Service (FBIS), créé en 1941, était le moyen le plus rapide, le moins cher et le plus fiable d’obtenir des informations générales et des renseignements concernant un pays particulier. Cependant, au fil des décennies, la demande croissante de l’ensemble du gouvernement et du milieu universitaire, des scandales et des coupes budgétaires, ainsi qu’une portée de mission sinueuse et gonflante ont compliqué la mission de l’IC.

En 2023, le gouvernement américain a perdu le monopole qu’il avait autrefois sur la collecte et la transmission d’informations diffusées librement, rapidement et à moindre coût. Cependant, lorsqu’il s’agit de comprendre les plans et les intentions de l’adversaire, il n’y a pas d’alternative à l’infiltration humaine ou technique que seul l’IC est équipé et autorisé à effectuer. La directrice du renseignement national (DNI) a admis que les États-Unis avaient obtenu des détails extraordinaires sur les plans secrets du Kremlin pour une guerre qu’ils continuaient de nier avoir l’intention.

Un secret est quelque chose de concret qui peut être dérobé par un espion ou discerné par un capteur technique. Un mystère est une énigme abstraite dont personne ne peut être sûr de la réponse

Par conséquent, lorsque l’IC considère l’OSINT en tant que fonction principale, il doit adopter une approche « d’abord, ne pas nuire » à sa mission la plus unique et exclusive, compte tenu des coûts d’opportunité substantiels en jeu. Les décideurs peuvent aspirer à un IC capable de garder une longueur d’avance sur l’adversaire, tout en étant capable de « battre la presse ». Même s’il ne réussit que périodiquement, il vaut mieux poursuivre vigoureusement le premier que de réussir catastrophiquement le second.

Dans la communauté du renseignement américain, l’utilisation des sources ouvertes est vue différemment, mais le navire amiral concernant le renseignement de l’Oncle Sam est la CIA. Au sein de l’agence se trouve le Bureau de la gestion des données ouvertes, qui mise sur un développement massif de cette direction dans des conditions de réalités technologiques et cognitives changeantes.

Récemment, Randy Nixon, un ancien du service analytique de la CIA, a pris la tête de l’OROD, ce qui s’inscrit dans les préférences de l’équipe Biden – promouvoir la direction analytique du renseignement. De plus, Nixon était auparavant responsable du partenariat avec le secteur privé au sein de l’UCCI de la CIA et a dirigé, par exemple, le programme Digital Hammer.

Le Pentagone ne reste pas non plus immobile dans la lutte pour le leadership dans l’OSINT. L’Agence nationale de renseignement géospatial, qui relève du Pentagone, renforce activement les possibilités de renseignement géospatial et d’OSINT.

Cependant, les possibilités d’OSINT sont évaluées à la Maison Blanche et la CIA considère l’utilisation de l’OSINT en tant qu’outil efficace non seulement de collecte et d’analyse d’informations, mais aussi d’influence, y compris politique, comme prioritaire. La concurrence entre la CIA et le Pentagone dans ce domaine prometteur se poursuit, avec des développements massifs de part et d’autre.

Il est à noter que d’ici juin 2028, le Pentagone aura son propre cloud « souverain », le Joint Warfighter. Ce cloud sera conçu pour fournir un accès à des données non classifiées, secrètes et top secrètes au personnel militaire du monde entier. Il devrait servir de colonne vertébrale aux opérations de guerre modernes du Pentagone, qui s’appuieront fortement sur des avions sans pilote et des satellites de communication spatiale, mais auront toujours besoin d’un moyen de transmettre rapidement les renseignements de ces plates-formes aux troupes au sol. Google, Oracle, Microsoft et Amazon se partagent un contrat de 9 milliards de dollars du Pentagone pour construire son réseau de cloud computing.

cyberattaque, Entreprise

CommonMagic et PowerMagic voleurs de données

Des chercheurs ont découvert une nouvelle campagne d’espionnage ciblant les agences gouvernementales et les organisations opérant dans les territoires ukrainiens occupés par la Russie.

Qui sont les pirates cachées derrière des cyber attaques visant les entreprises et les agences gouvernementales basées sur les territoires Ukrainiens occupés par la Russie ? Alliés de l’Ukraine ? Espion Chinois ? « Simple » malveillant à la recherche de données à revendre ? Les pirates ont utilisé des souches de logiciels malveillants jusqu’alors inconnues, appelées CommonMagic et PowerMagic, pour dérober des données sur les appareils de leurs cibles.

La campagne a débuté en septembre 2021. Selon des chercheurs locaux, elle continue encore aujourd’hui et cible principalement les régions de Donetsk, Lougansk et de Crimée. Des régions ukrainiennes annexées par la Russie en 2014. Des agences gouvernementales, ainsi que des organisations agricoles et de transport, ont été visées par des courriels piégés. La première pensée est de ce dire qu’étant donné le conflit militaire dans cette région, il est probable que cela fasse partie d’une cyberguerre. Mais qui ? C’est une autre question.

Rien de sophistiqué, mais efficace

Les logiciels malveillants et les techniques utilisées ne sont pas particulièrement sophistiqués. En octobre, des logiciels malveillants avaient déjà été installés sur les machines des victimes, indiquant que certaines attaques avaient réussi. Les pirates ont distribué des logiciels malveillants via des e-mails d’hameçonnage (phishing) contenant un lien vers une archive .zip hébergée sur un serveur Web. Bref, du grand classique. L’archive contenait un document déguisé en décret officiel du gouvernement Russe et un fichier .lnk malveillant qui, une fois ouvert, exécutait le logiciel pirate et infectait l’ordinateur.

Au début de l’attaque, les pirates ont utilisé une porte dérobée basée sur PowerShell nommée PowerMagic. Toutes les victimes de PowerMagic ont également été infectées par CommonMagic, un logiciel malveillant plus complexe et inédit. Les attaquants ont probablement utilisé la porte dérobée PowerMagic pour installer CommonMagic sur les appareils ciblés. Le groupe derrière cette attaque est inconnu, mais ses objectifs sont clairs : voler des données. Une fois le réseau infiltré, les pirates peuvent extraire des documents et faire une sauvegarde des données affichées à l’écran de l’ordinateur de la victime toutes les trois secondes.

Guerre 3.0

Au cours des dernières années, plusieurs virus informatiques ont ciblé la Russie et l’Ukraine, deux pays souvent associés aux cyberattaques. Ces attaques ont été menées par des groupes de cybercriminels, des gouvernements étrangers et même des groupes terroristes.

Depuis des années, les cyber attaques visant l’Ukraine se sont enchaînées. En 2017, un virus informatique appelé NotPetya a infecté des milliers d’ordinateurs en Ukraine avant de se propager à travers le monde. Bien que NotPetya ait été conçu pour ressembler à un ransomware, il a rapidement été découvert que son véritable objectif était de causer des dommages permanents aux systèmes infectés. Le virus a effacé les disques durs des ordinateurs infectés, causant des dommages considérables aux entreprises touchées. Les dommages causés par NotPetya ont été estimés à plusieurs milliards de dollars, faisant de cette attaque l’une des plus coûteuses de l’histoire.

Toujours en 2017, un virus informatique appelé Bad Rabbit a infecté des milliers d’ordinateurs en Russie et en Ukraine. Le virus a été distribué via des sites web compromis, et il a été conçu pour se propager rapidement à travers les réseaux d’ordinateurs. Bien que le virus ait été conçu pour ressembler à un ransomware, il a été découvert que son véritable objectif était de voler des données sensibles des ordinateurs infectés.

En 2015, un groupe de hackers appelé Sandworm a lancé une attaque contre le réseau électrique ukrainien. Les hackers ont utilisé un virus informatique appelé BlackEnergy pour prendre le contrôle des ordinateurs du réseau électrique, coupant l’électricité dans plusieurs régions du pays. L’attaque a été considérée comme l’une des premières attaques réussies contre une infrastructure critique, et elle a soulevé des inquiétudes quant à la capacité des hackers à perturber les systèmes de contrôle industriels.

En 2014, un groupe de hackers appelé Dragonfly a lancé une série d’attaques contre les sociétés d’énergie en Europe et aux États-Unis. Le groupe a utilisé un virus informatique appelé Energetic Bear pour accéder aux systèmes des sociétés d’énergie, volant des données sensibles et prenant le contrôle de certains systèmes.

2017, un virus informatique appelé Bad Rabbit a infecté des milliers d’ordinateurs en Russie et en Ukraine. Le virus a été distribué via des sites web compromis, et il a été conçu pour se propager rapidement à travers les réseaux d’ordinateurs. Bien que le virus ait été conçu pour ressembler à un ransomware, il a été découvert que son véritable objectif était de voler des données sensibles des ordinateurs infectés.