Archives de catégorie : Social engineering

Antivirus, backdoor, cryptolocker, Cyber-attaque, Cybersécurité, escroquerie, Logiciels, Mise à jour, Particuliers, Piratage, Sécurité, Smartphone, Social engineering

Infection des entreprises, +20 % en 1 mois

2 commentaires

Les menaces qui pèsent sur les réseaux des entreprises s’aggravent de jour en jour : le risque d’infection par des logiciels malveillants augmente de 17 %, tandis que le nombre de familles de logiciels malveillants actives augmente de 25 %, en un mois seulement.

Un spécialiste de solutions informatique liée à la sécurité, vient de mettre en exergue la gravité des menaces qui pèsent sur les réseaux des entreprises. Entre le constat effectué en novembre et décembre 2015, le risque d’infection des entreprises par des logiciels malveillants a augmenté de 17 %, tandis que le nombre de familles de logiciels malveillants actives a augmenté de 25 %. Ce qui montre l’importance de la menace grandissante, Infection en hausse en aussi peu de temps… Sur 142 pays, la France est au 59ème rang des pays les plus exposés au risque en décembre 2015. Les dernières attaques du  ransomware locky en sont malheureusement un bel exemple.

L’entreprise a pu collecter ces informations détaillées sur les menaces grâce à sa ThreatCloud World Cyber Threat Map, qui recense des cyberattaques du monde entier en temps réel. Ainsi, Check Point a identifié plus de 1 500 familles de logiciels malveillants différentes au cours du mois de décembre, contre 1 200 le mois précédent. La tendance souligne clairement le niveau de menace croissant auquel les entreprises font face pour protéger leur réseau.

Comme les mois précédents, l’infection Conficker reste le type de logiciel malveillant le plus répandu, représentant 25 % de toutes les attaques connues durant cette période, soit nettement plus que Sality en seconde position, qui représentait 9 % des attaques. Conficker, et la variante Necurs en troisième position, sont spécialisés dans la désactivation des services de sécurité pour rendre les réseaux plus vulnérables, les compromettre encore plus, et les utiliser pour déclencher des attaques DDoS et d’envoi de spam.

Le top dix des familles de logiciels malveillants représentait 60 % de toutes les attaques reconnues de décembre, les trois principales étant :

1.       Conficker – 25 % de toutes les attaques reconnues à lui seul. Les machines infectées par Conficker sont contrôlées par un botnet. Il désactive également les services de sécurité, laissant les ordinateurs encore plus vulnérables à d’autres infections.

2.       Sality – Virus permettant d’effectuer des opérations à distance et de télécharger des logiciels malveillants supplémentaires dans les systèmes infectés par son opérateur. Son objectif principal est de rester actif dans un système pour le télécommander et installer d’autres logiciels malveillants.

3.       Necurs – Utilisé comme porte dérobée pour télécharger des logiciels malveillants sur des machines infectées et désactiver leurs services de sécurité pour échapper à toute détection.

L’étude a également identifié les logiciels malveillants mobiles les plus répandus au cours de décembre 2015, et précise de nouveau que les attaques contre les appareils Android sont plus courantes que pour iOS. Le top trois des logiciels malveillants mobiles était :

Xinyin – Un cheval de Troie de fraude aux clics qui cible principalement des sites publicitaires chinois.
AndroRAT – Un logiciel malveillant capable de se déguiser en application mobile légitime et de s’installer à l’insu des utilisateurs, permettant à un pirate de contrôler entièrement des appareils Android à distance.
Ztorg – Un cheval de Troie utilisant les privilèges root pour télécharger et installer des applications sur des téléphones mobiles à l’insu de leurs utilisateurs.

Nathan Shuchami, Head of Threat Prevention déclare : « L’augmentation du nombre de logiciels malveillants actifs au cours de décembre souligne la gravité des menaces qui pèsent sur les réseaux et les données confidentielles des entreprises. Par conséquent, les entreprises devraient placer la cybersécurité au premier rang de leurs priorités pour 2016, tandis que les cybercriminels continuent de trouver de nouvelles façons d’attaquer les réseaux, afin d’être tout aussi résolus à se protéger. »

Des attaques qui peuvent largement être bloquées par des services tels qu’AltoSpam et autres services de filtre anti-spam.

Base de données, BYOD, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fuite de données, IOT, Leak, Mise à jour, Patch, Piratage, Propriété Industrielle, Social engineering

Les dirigeants ne sont pas en phase sur la façon de lutter contre les cybercriminels

Selon les résultats de l’étude C-Suite d’IBM : les dirigeants ne sont pas en phase sur la façon de lutter contre les cybercriminels. Éducation et engagement sont nécessaires pour mettre les dirigeants au niveau du nouvel environnement de sécurité.

La division sécurité d’IBM et l’Institut IBM for Business Value (IBV) publient aujourd’hui les résultats d’une étude réalisée auprès de plus de 700 dirigeants qui met en lumière leur confusion concernant leurs véritables ennemis cyber et la façon de les combattre efficacement.

La nouvelle étude, Securing the C-Suite, Cybersecurity Perspectives from the Boardroom and C-Suite est basée sur des entretiens avec des dirigeants de 28 pays et de 18 secteurs industriels concernant la cybersécurité dans l’entreprise. L’étude n’a pas pris en compte les responsables de la sécurité des systèmes d’information (RSSI), afin d’obtenir une image fidèle de ce que les dirigeants pensent de la cybersécurité. Si sur le papier, la cybersécurité est considérée comme une préoccupation majeure pour 68% des dirigeants1, et que 75% pensent qu’une stratégie globale de sécurité est importante, l’étude révèle que les dirigeants clés doivent être plus engagés auprès des RSSI, au-delà de la stratégie en matière de sécurité, et avoir un rôle plus actif.

L’une des principales conclusions de l’étude est que 70% des dirigeants pensent que les individus malveillants constituent la plus grande menace pour leur entreprise. Selon un rapport des Nations Unies2, la réalité est que 80% des cyberattaques sont réalisées par des réseaux criminels hautement organisés au sein desquels les données, les outils et l’expertise sont largement partagés. L’étude C-Suite révèle un large éventail d’ennemis : 54% des  dirigeants reconnaissent que les réseaux criminels sont un sujet de préoccupation mais leur ont donné un poids à peu près égal aux individus malveillants (50%).

Plus de 50% des PDG s’accordent à dire qu’une collaboration est nécessaire pour lutter contre la cybercriminalité. Ironiquement, seulement 1/3 des chefs d’entreprise a exprimé sa volonté de partager à l’extérieur ses informations sur les incidents liés à la cybersécurité survenus dans leur entreprise. Cette situation est un frein à la collaboration coordonnée au niveau de l’industrie, alors même que les groupes de pirates partagent de mieux en mieux l’information en temps quasi réel sur le Dark Web. Les PDG soulignent également que les organisations externes doivent faire davantage ; une surveillance accrue du gouvernement, une augmentation de la collaboration dans l’industrie, un partage de l’information transfrontalière – cette dichotomie doit être résolue.

«Le monde de la cybercriminalité est en pleine évolution, mais de nombreux dirigeants n’ont pas mis à jour leur compréhension des menaces », a déclaré Caleb Barlow, Vice-Président, IBM Security. « Bien que les RSSI et le Conseil d’administration puissent aider à fournir les conseils et des outils appropriés, les dirigeants en marketing, ressources humaines et finances, quelques-uns des départements les plus exposés et les plus fournis en données sensibles, devraient s’impliquer de façon plus proactive dans les décisions de sécurité avec les RSSI. »

En fait, les départements marketing, ressources humaines, et finances représentent des cibles de choix pour les cybercriminels car ils gèrent les données clients et employés parmi les plus sensibles, avec les données financières de l’entreprise et les informations bancaires. Dans l’étude, environ 60% des directeurs financiers, DRH, et directeurs marketing reconnaissent volontiers qu’ils, et par extension leurs divisions, ne sont pas actifs dans la stratégie et l’exécution de la politique de cybersécurité de l’entreprise. Par exemple, seuls 57% des DRH ont déployé une formation à la cybersécurité pour les employés, première étape pour que ces derniers s’engagent en la matière.

Que peuvent faire les entreprises ?
Un nombre impressionnant de dirigeants interrogés, 94%, pensent qu’il y a une certaine probabilité pour que leur entreprise subisse un incident de cybersécurité significatif au cours des deux prochaines années. Selon l’étude d’IBM, 17% des personnes interrogées se sentent capables et prêtes à répondre à ces menaces. IBM a identifié des répondants exceptionnels, 17% de répondants classés «Cyber-Securisés», ce sont les dirigeants les plus préparés et capables de faire face aux menaces. Les dirigeants « Cyber-sécurisés » sont deux fois plus susceptibles d’avoir intégré la collaboration dans leur politique de cybersécurité et deux fois plus susceptibles d’avoir intégré la cybersécurité à l’ordre du jour des Conseils d’administration de façon régulière.

 Conseils « Cyber-Securisés» pour les entreprises :
• Comprendre le risque : Évaluer les risques liés à votre écosystème, analyser les risques de sécurité, développer l’éducation et la formation des employés et intégrer la sécurité dans la stratégie de risques de l’entreprise.

• Collaborer, éduquer et responsabiliser : Mettre en place un programme de gouvernance de la sécurité, accroître le pouvoir des RSSI, promouvoir et discuter régulièrement de la cybersécurité lors des réunions de direction, intégrer les dirigeants dans l’élaboration d’une stratégie de réponse aux incidents.

• Gérer les risques avec vigilance et rapidité : Mettre en œuvre une surveillance continue de la sécurité, tirer profit des analyses d’incidents, partager et utiliser les renseignements de sécurité pour sécuriser l’environnement, comprendre où les données numériques des entreprises se trouvent et élaborer des stratégies en conséquence, développer et appliquer les politiques de cybersécurité.

1.     “Redefining Boundaries: Insights from the Global C-suite Study.” IBM Institute for Business Value. November 2015.
2.     UNODC Comprehensive Study on Cybercrime 2013

Android, Cybersécurité, Smartphone, Social engineering, Téléphonie, Virus

2,3 millions de nouveaux dangers Android en 2015

Au niveau mondial, 66 % des détenteurs de smartphone utilisent un appareil sous Android. Cette domination du système de Google influe sur le nombre de dangers qui ciblent cette plateforme. En 2015, le chiffre record de 2,3 millions de dangers a été atteint, ce qui représente une augmentation d’environ 50% par rapport à l’année 2014. GDATA propose un aperçu des principaux dangers dans son Mobile Malware Report Q4/2015. Les experts sécurité de G DATA ont recensé 758 133 nouveaux programmes malveillants ciblant Android au cours du 4e trimestre 2015, ce qui représente une hausse de près de 32 % par rapport au trimestre précédent. Sur l’ensemble de l’année 2015, environ 2,3 millions de  nouveaux dangers ont ciblé les systèmes Android.

Argent, Arnaque, Bitcoin, Chiffrement, cryptage, cryptolocker, Cybersécurité, Entreprise, escroquerie, Logiciels, Paiement en ligne, Particuliers, ransomware, Social engineering

Citroni, le ransomware qui attaque les serveurs web

Les experts de Kaspersky Lab auraient découvert une nouvelle variante du ransomware CTB-Locker3 Baptisé Citroni / Onion, il s’attaque aussi aux serveurs web.

A l’origine, CTB-Locker est un malware de type ransomware qui chiffre des fichiers sur le disque dur de ses victimes avant de demander une rançon pour les déchiffrer. Il se démarque pour 3 raisons : Son taux d’infection très élevé ; son utilisation de Tor, des Bitcoins et de Elliptic Curve Cryptography et ses capacités multilingues.

Son objectif n’est plus d’encrypter le contenu des ordinateurs mais de s’attaquer aux serveurs web. Ici, les rançonneurs cherchent avant tout des sites web vulnérables, les attaquent pour y uploader du code et encryptent ensuite l’ensemble des fichiers qui y figurent. Ils modifient alors la page d’accueil de ces sites et y affichent des informations sur la façon de décrypter leur contenu. Ils incluent également des informations sur le montant de la rançon.

Les chercheurs ne savent pas encore comment CTB-Locker est déployé sur les serveurs web, mais il y a cependant un point commun sur plusieurs des serveurs attaqués : ils utilisent tous la plate-forme de blog WordPress. En pratique, les rançonneurs demandent moins de la moitié d’un bitcoin comme rançon, soit environ 150 $ US. Pour le moment, 70 serveurs encryptés dans 11 pays ont été repérés, avec une majorité de victimes aux États-Unis et en Russie. Pour le moment, aucun outil de désencryption n’est disponible, la seule façon de se débarrasser rapidement de cette menace étant de s’assurer de disposer d’une copie de sauvegarde des fichiers du serveur, le tout dans un endroit séparé.

Android, backdoor, Cybersécurité, Logiciels, Sécurité, Smartphone, Social engineering, Tor

Une attaque contre les smartphones Android via SMS

Durant plusieurs jours, de faux SMS ont tenté de piéger les utilisateurs de téléphones portables sous Android.

Étonnante attaque informatique découverte par une société belge. Un SMS annonçait la réception d’un fichier multimédia. Un message malveillant diffusé, ces derniers jours, à des milliers de propriétaires de téléphones portables sous Android. Les spécialistes de chez Heimdal n’indiquent pas si l’attaque a visé des populations particulières.

L’idée de cette tentative d’infiltration, inciter le lecteur du SMS à cliquer sur un lien. Le message « You have received a multimedia message from XXXXXX Follow the link XXXXX/mms.apk to view the message« . L’url renvoyait sur plusieurs serveurs piégés, comme mmsforyou. J’ai pu en découvrir plusieurs autres comme adobe-flash-player.

Derrière cette attaque, un fichier .apk, une application piégée. Elle installe une version de « TOR » sur le téléphone. Le code malveillant alerte ensuite son auteur, en Iran (sic!), via un simple message « Thank you« . D’après l’alerte, le pirate « peut alors le contrôler et faire ce qu’il veut.« 

Argent, Arnaque, backdoor, Base de données, Chiffrement, Cyber-attaque, Cybersécurité, Entreprise, Fraude au président, Fuite de données, Leak, Particuliers, Piratage, pourriel, Social engineering, spam

Poseidon : un groupe de pirates informatiques opérant sur terre, dans les airs et en mer

Poseidon, une campagne de piratage ciblant des établissements financiers ainsi que des opérateurs de télécommunications, des fabricants, des compagnies d’énergie et des groupes médias. La France visée par l’attaque.

L’équipe GREaT (Global Research & Analysis Team) de Kaspersky Lab annonce la découverte du groupe Poseidon, une menace avancée active dans des opérations internationales de cyber espionnage depuis au moins 2005. L’originalité de Poseidon est qu’il s’agit d’une entité commerciale, dont les attaques font appel à des malwares personnalisés, signés numériquement avec des certificats pirates et déployés dans le but de dérober des données sensibles aux victimes et de les racketter. En outre, le malware est conçu pour fonctionner spécifiquement sur les machines Windows en anglais et en portugais brésilien, une première pour une attaque ciblée.

Au moins 35 entreprises victimes ont été identifiées, les principales cibles étant des établissements financiers et des administrations, des opérateurs de télécommunications, des fabricants, des compagnies d’énergie et d’autres réseaux de services collectifs, ainsi que des groupes médias et des agences de relations publiques. Les experts ont également détecté des attaques contre des sociétés proposant leurs services à des cadres supérieurs. Les victimes du groupe Poseidon se trouvent dans les pays suivants :

  • Etats-Unis
  • France
  • Kazakhstan
  • Emirats Arabes Unis
  • Inde
  • Russie

Cependant, la répartition des victimes penche très nettement vers le Brésil, où bon nombre d’entre elles réalisent des opérations via des joint-ventures ou des partenaires.

L’une des caractéristiques du groupe Poseidon réside dans l’exploration active des réseaux d’entreprise sur la base des noms de domaine. Selon le rapport d’analyse consulté par DataSecurityBreach.fr, Poseidon recourt à des e-mails de spear-phishing accompagnés de documents RTF/DOC, comportant généralement un appât sur le thème des ressources humaines, qui installent un fichier binaire malveillant dans le système cible lorsque le destinataire clique dessus. Un autre trait marquant est la présence de chaînes de caractères en portugais du Brésil. La prédilection du groupe pour les systèmes lusophones, comme le révèlent les échantillons, est une pratique inédite.

Une fois un ordinateur infecté, le malware rend compte à des serveurs de commande et de contrôle, avant d’entamer une phase complexe de déplacements latéraux à l’intérieur du réseau de l’entreprise. Cette phase fait souvent intervenir un outil spécialisé qui collecte automatiquement et systématiquement un grand nombre d’informations (identifiants, règles de sécurité, voire journaux système) afin de mieux cibler les attaques suivantes et d’assurer la bonne exécution du malware. De la sorte, les auteurs des attaques savent quelles applications et commandes utiliser sans alerter l’administrateur du réseau pendant leur exploration et leur exfiltration.

Les informations rassemblées sont ensuite exploitées par une organisation de façade pour racketter les entreprises victimes en les contraignant à engager Poseidon comme consultant en sécurité, sous peine de voir utiliser les informations dérobées dans une série de transactions louches au profit du groupe.

« Le groupe Poseidon est une équipe de vétérans intervenant sur tous les théâtres d’opérations : terre, air et mer. Certains de ses centres de commande sont implantés chez des fournisseurs d’accès Internet desservant des navires en mer, des connections sans fil ou encore des opérateurs classiques », commente Dmitry Bestuzhev, Directeur de l’équipe GREaT de Kaspersky Lab en Amérique latine. « En outre, plusieurs de ses implants présentent une durée de vie très courte, ce qui a permis à ce groupe de sévir aussi longuement sans se faire repérer. »

Le groupe Poseidon étant en activité depuis au moins 10 ans, les techniques de conception de ses implants ont évolué, ce qui complique pour de nombreux chercheurs la mise en corrélation des indicateurs et l’assemblage des pièces du puzzle. Cependant, en réunissant soigneusement tous les indices, en étudiant la signature de la menace et en reconstituant la chronologie des attaques, les experts ont pu établir vers la mi-2015 que des traces détectées précédemment mais non identifiées appartenaient bien à la même menace, c’est-à-dire le groupe Poseidon.

Argent, Cybersécurité, ID, Identité numérique, Mise à jour, Particuliers, Patch, Phishing, Social engineering

eBay : une inquiétante faille révélée

EBay alerté au sujet d’une vulnérabilité de sa plateforme de vente en ligne qui permet à des cybercriminels de diffuser des campagnes de phishing et des logiciels malveillants.

eBay, le géant de la vente aux enchères et du commerce électronique en ligne, possède des bureaux dans plus de 30 pays et plus de 150 millions d’utilisateurs actifs dans le monde. L’entreprise ayant une clientèle importante, il n’est donc pas surprenant qu’elle soit la cible de nombreuses cyberattaques.

Check Point, éditeur de solution de sécurité informatique, a découvert une grave vulnérabilité dans la plateforme de vente en ligne d’eBay. Cette vulnérabilité permet à un agresseur de contourner la validation de code d’eBay et de contrôler le code vulnérable à distance pour exécuter du code JavaScript malveillant auprès d’utilisateurs ciblés. Sans correction de cette faille, les clients d’eBay continueront d’être potentiellement exposés à des attaques de phishing et de vol de données.

Un agresseur pourrait cibler les utilisateurs d’eBay en leur envoyant une page légitime contenant du code malveillant. Lors de l’ouverture de la page, le code serait alors exécuté par le navigateur de l’utilisateur ou une application mobile, conduisant à plusieurs scénarios inquiétants allant du phishing jusqu’au téléchargement binaire.

Après avoir découvert la vulnérabilité, Check Point en a communiqué les détails à eBay le 15 décembre 2015. Cependant, le 16 janvier 2016, eBay a déclaré n’avoir prévu aucune correction de la vulnérabilité. La démonstration de la méthode d’exploitation est encore disponible en ligne.

Découverte de la vulnérabilité

Roman Zaikin, chercheur de Check Point, a récemment découvert une vulnérabilité qui permet à des pirates d’exécuter du code malveillant sur les appareils des utilisateurs d’eBay, à l’aide d’une technique non standard appelée « JSF**k ». Cette vulnérabilité permettrait à des cybercriminels d’utiliser eBay comme plateforme de phishing et de diffusion de logiciels malveillants.

Pour exploiter cette vulnérabilité, un agresseur a simplement besoin de créer une boutique eBay en ligne, et publier une description malveillante d’un article dans les détails de sa boutique. eBay empêche les utilisateurs d’inclure des scripts ou des iFrames en filtrant les balises HTML. Cependant, grâce à JSF**k, l’agresseur peut créer un code qui va charger du code JS supplémentaire depuis son serveur. Cela lui permet d’insérer du JavaScript qu’il peut contrôler et ajuster à distance, par exemple, pour adapter son attaque à un navigateur différent.

eBay n’effectue qu’une simple vérification, et ne supprime que les caractères alphanumériques des balises de script. La technique JSF**k permet aux agresseurs de contourner cette protection en utilisant un nombre très limité de caractères.

Comme on peut le voir, le message qui apparaît sur l’application eBay (plus précisément dans la boutique de l’agresseur sur le site eBay) incite l’utilisateur non averti à télécharger une nouvelle application mobile eBay en proposant une remise.

L’utilisateur qui appuie sur le bouton « Télécharger », téléchargera à son insu une application malveillante sur son appareil mobile.

« La méthode d’attaque fournit aux cybercriminels un moyen très facile de cibler les utilisateurs en leur envoyant un lien vers un produit très attrayant pour exécuter l’attaque. La principale menace est la diffusion de logiciels malveillants et le vol de données privées. Un agresseur pourrait également proposer une méthode de connexion alternative via Gmail ou Facebook pour détourner des comptes utilisateurs, » précise Oded Vanunu, responsable d’un groupe de recherche chez Check Point. « Check Point reste à l’affût des vulnérabilités dans les applications et les plateformes Internet courantes. En communiquant les menaces au fur et à mesure de leur découverte, nous protégeons l’avenir. »

Base de données, BYOD, Chiffrement, Cybersécurité, Entreprise, IOT, Sauvegarde, Social engineering

Un ours et une montre connectés diffusaient les infos privées des enfants

Les objets connectés, véritable plaie pour nos vies privées. Un nouvel exemple avec l’ours connecté Smart Bear de Fisher-Price, et une montre connectée pour les moins de 12 ans.

Le fabriquant de jouets Fisher-Price vient de corriger une fuite de données concernant un de ses jouets connecté, l’ours Smart Bear. Comme pour Vtech, plusieurs failles avaient été découvertes entre l’application connectée, l’ours et le serveur de gestion des données enregistrées par les parents/enfants. A la différence de Vtech, aucun pirate n’a été se servir dans les données.

La fuite, découverte par Rapid7, n’en n’était pas moins inquiétante. Dans les données qu’un malveillant aurait pu intercepter : l’identité et la date de naissance de l’enfant, son sexe et la langue parlait. Il y a de forte chance que l’ensemble des informations enregistrées étaient accessibles.

Toujours dans la grande famille des objets connectés, le GPS HereO avait un problème avec sa plateforme de gestion des données envoyées par la montre destinée aux 3-12 ans. Ici aussi, les données pour les enfants étaient accessibles. Faille corrigée.

Bref, parents, arrêtez de rentrer les vraies informations de vos enfants sur Internet ou via ces jouets connectés. Vous créez une identité numérique de votre môme que vous ne pourrez plus contrôler.

Argent, Cyber-attaque, Cybersécurité, ID, Identité numérique, Leak, Mise à jour, Particuliers, Patch, Piratage, Social engineering

Des clients de Neiman Marcus piratés

Le détaillant de produits de luxe Neiman Marcus Group a informé certains de ses clients du piratage informatique de leur compte. Les pirates ont utilisé la méthode du dictionnaire de mots de passe.

Selon la compagnie Neiman Marcus Group, des cybercriminels ont utilisé une attaque automatisée pour tester diverses combinaisons de logins et mots de passe sur les sites de l’entreprise : Neiman Marcus, Last Call, Bergdorf Goodman, Horchow… Un brute force qui aurait débuté vers le 26 Décembre.

La société a déclaré que les pirates avaient réussi à accéder à environ 5 200 comptes. Neiman Marcus Group précise que ce vol n’est pas dû au piratage de son serveur. Il aurait pu rajouter que cela avait été possible en raison de la faiblesse de son outil de gestion des mots de passe [refuser les informations placées dans le formulaire d’inscription ; refuser mot de passe de moins de 10 signes ; refuser un mot de passe sans chiffres, majuscules et autres signes de ponctuation…).

Les internautes ciblés sont aussi fautifs. Il y a de forte chance que les informations utilisées par les pirates provenaient de bases de données déjà piratées. Les contenus (mails, logins, mots de passe) réutilisaient sur d’autres espaces web.

Ce n’est pas la première fois que les clients de Neiman Marcus sont ciblés par des cybercriminels. En Janvier 2014, la société révélait le vol d’au moins 1,1 million de cartes de paiement de ses clients à l’aide de lecteurs de cartes bancaires (POS) piégés par des logiciels malveillants. 350 000 cartes auront effectivement été exploitées par les malveillants.

Cyber-attaque, Cybersécurité, Espionnae, Mise à jour, Particuliers, Piratage, Social engineering, Virus

Scarlet Mimic : Campagne d’espionnage politique

Depuis quatre ans, une attaque informatique baptisée Scarlet Mimic vise des ONG protectrices de minorités Chinoises.


La Chine, c’est 56 « ethnies ». Le Han représentent 92% de la population. Les revendications indépendantistes existent. Le plus connu étant celui du Tibet et les Ouïghours. Mais on y trouve aussi la Mongolie Intérieure avec les Dariangs, Ordos, Khalkhas ou encore les Zhuang. Bref, ça fait du monde.

Au cours des sept derniers mois, l’Unité 42 de PaloAlto a repéré une série d’attaques attribuées à un groupe de pirates informatiques baptisés « Scarlet Mimic. » Les piratages ont débuté il y a plus de quatre ans et leur modèle de ciblage suggère que la mission principale de cet adversaire est de recueillir des informations sur des militants en charge des droits des minorités Chinoises. Il n’y a pas de preuves reliant directement ces attaques à une source gouvernementale. Les cibles font cependant pencher les regards vers le gouvernement chinois.

Les attaques de Scarlet Mimic ont visé les Ouïghours et des militants Tibétains, ainsi que des internautes intéressés par leurs causes. La minorité musulmane turcophone résidant principalement dans au nord-ouest de la Chine a été la cible de plusieurs attaques sophistiquées ces derniers mois.