Archives de catégorie : cryptomonnaie

Bitcoin, cryptomonnaie

Le Trésor américain lève les sanctions contre Tornado Cash

Tornado Cash, une plateforme controversée de mixage de cryptomonnaies, a été retirée vendredi de la liste noire des sanctions américaines après une décision de justice favorable en novembre. Ce revirement met en lumière les tensions croissantes entre innovation technologique et sécurité nationale.

Depuis 2022, Tornado Cash figurait sur la liste des personnes nationales spécialement désignées (SDN) du département du Trésor américain. Accusée d’avoir facilité le blanchiment de centaines de millions de dollars volés par des hackers nord-coréens, la plateforme faisait l’objet de mesures strictes. La décision de la cour d’appel fédérale en novembre a toutefois bouleversé ce cadre juridique en invalidant les sanctions, estimant que le Trésor avait dépassé ses prérogatives légales.

Une victoire juridique décisive ?

La décision de la cour d’appel fédérale repose sur une interprétation clé de la loi de 1977 sur les pouvoirs économiques d’urgence internationaux (IEEPA). Le juge Don Willett de la 5e Cour d’appel des États-Unis a estimé que les contrats intelligents immuables de Tornado Cash ne peuvent pas être considérés comme des « biens » au sens de la loi. Cette distinction a été décisive dans l’annulation des sanctions. Les contrats intelligents sont des lignes de code autonomes sur la blockchain, conçues pour préserver l’anonymat des transactions. En d’autres termes, ces protocoles décentralisés échappent au contrôle direct de leurs créateurs et ne sont donc pas assimilables à des actifs traditionnels.

La plateforme de trading Coinbase, qui a soutenu financièrement la bataille juridique, a rapidement salué cette décision comme une « victoire historique pour la crypto« . Un responsable de Coinbase a déclaré que « personne ne veut que des criminels utilisent des protocoles cryptographiques, mais bloquer entièrement la technologie open source parce qu’une petite partie des utilisateurs sont de mauvais acteurs n’est pas ce que le Congrès a autorisé« . Cette déclaration illustre le débat persistant autour de la régulation des cryptomonnaies : faut-il sanctionner la technologie elle-même ou les acteurs qui en abusent ?

Une plateforme au cœur de scandales majeurs

Tornado Cash est une plateforme de mixage de cryptomonnaies lancée en 2019. Son fonctionnement repose sur un principe simple mais controversé : elle permet aux utilisateurs de combiner plusieurs transactions de cryptomonnaies afin d’en masquer l’origine. Ce processus complique considérablement la traçabilité des fonds, ce qui en fait un outil prisé des cybercriminels.

Le département du Trésor américain avait précédemment accusé Tornado Cash d’avoir blanchi plus de 7 milliards de dollars depuis sa création. Parmi les opérations de blanchiment les plus retentissantes figure le vol de plus de 600 millions de dollars du jeu Axie Infinity en mars 2022, attribué au groupe de hackers nord-coréen Lazarus. Tornado Cash aurait également été utilisé pour blanchir 275 millions de dollars dérobés sur la plateforme de trading KuCoin.

En août 2023, le cofondateur Roman Storm a été arrêté dans l’État de Washington pour blanchiment d’argent. Son associé Roman Semenov, de nationalité russe, est en fuite et reste sous le coup des sanctions américaines. Un autre développeur clé de Tornado Cash, Alexey Pertsev, a été condamné en mai 2023 à cinq ans et quatre mois de prison par un tribunal néerlandais pour blanchiment d’argent. La levée des sanctions contre Tornado Cash ne remet donc pas en cause la responsabilité pénale de ses dirigeants.

Un revirement stratégique du Trésor américain

Le département du Trésor a expliqué sa décision en évoquant un « examen des nouvelles questions juridiques et politiques soulevées par l’utilisation de sanctions financières contre l’activité financière et commerciale se produisant dans des environnements technologiques et juridiques en évolution ». Cette déclaration souligne la complexité croissante de la régulation des cryptomonnaies dans un contexte de développement technologique rapide.

Le secrétaire au Trésor, Scott Bessent, a toutefois insisté sur la nécessité de protéger le secteur des actifs numériques contre les abus. « Protéger le secteur des actifs numériques contre les abus de la Corée du Nord et d’autres acteurs illicites est essentiel pour établir le leadership des États-Unis et garantir que le peuple américain puisse bénéficier de l’innovation et de l’inclusion financières », a-t-il déclaré. Cette position reflète une volonté de concilier développement technologique et sécurité nationale, deux objectifs souvent perçus comme contradictoires.

Des tensions politiques et réglementaires persistantes

La levée des sanctions contre Tornado Cash s’inscrit dans un contexte politique plus large. L’administration Trump a adopté une posture plus favorable à l’égard des cryptomonnaies et des actifs numériques. Plusieurs défenseurs de la blockchain ont été nommés à des postes stratégiques, influençant la politique du gouvernement en matière de régulation financière.

Cependant, cette approche divise profondément le paysage politique américain. Si certains considèrent les cryptomonnaies comme une opportunité d’innovation et de croissance économique, d’autres y voient un risque majeur pour la sécurité nationale. Les cyberattaques nord-coréennes visant les plateformes de cryptomonnaie et le financement du programme nucléaire de Pyongyang exacerbent ces tensions.

Le Trésor a d’ailleurs précisé que la surveillance des transactions suspectes se poursuivra. « Le Trésor continuera de surveiller de près toute transaction susceptible de profiter à des cyber acteurs malveillants ou à la RPDC, et les citoyens américains doivent faire preuve de prudence avant de s’engager dans des transactions qui présentent de tels risques », a averti le département.

Une décision qui pourrait redéfinir la régulation des cryptomonnaies

La levée des sanctions contre Tornado Cash pourrait créer un précédent juridique majeur. La décision de la cour d’appel limite la capacité du gouvernement à imposer des sanctions sur des protocoles décentralisés et soulève la question de la responsabilité des développeurs de technologies open source. Cette situation pourrait encourager le développement de nouvelles plateformes de mixage et d’anonymisation, tout en compliquant la tâche des régulateurs.

Les partisans de la décentralisation y voient une avancée majeure pour la protection de la vie privée et la souveraineté numérique. Les autorités, en revanche, redoutent une augmentation des activités illicites, facilitée par l’opacité des transactions cryptographiques.

Le cas de Tornado Cash illustre ainsi le dilemme fondamental auquel sont confrontés les gouvernements face à la révolution des cryptomonnaies : comment protéger l’innovation sans ouvrir la porte à des dérives criminelles ? La réponse à cette question façonnera sans doute l’avenir de la régulation financière dans l’économie numérique globale.

cryptomonnaie, Entreprise

Cryptojacking : du minage sans votre consentement

Le cryptojacking via des vulnérabilités existantes : un problème croissant. Les cybercriminels exploitent-ils souvent des vulnérabilités pour faire du minage ?

Les vulnérabilités non corrigées posent un sérieux problème aux utilisateurs, tout en attirant les cybercriminels qui les exploitent pour propager des activités malveillantes. Si l’on évoque souvent les ransomwares exploitant les vulnérabilités, le minage gagne également en popularité auprès des cybercriminels. En effet, on observe en 2022 une augmentation de la part de logiciels de minage diffusés par le biais de vulnérabilités bien connues, notamment Log4j.

Cette année, près d’une attaque sur sept exploitant de telles vulnérabilités était accompagnée d’une infection par minage. Au troisième trimestre, le minage s’est encore plus répandu que les portes dérobées (backdoor), qui sont restées le choix privilégié des cybercriminels tout au long du premier semestre 2022.

Pourquoi les cybercriminels ont-ils recours au cryptojacking ?

L’extraction de crypto-monnaies est un processus laborieux et coûteux, mais aussi très gratifiant, d’où l’intérêt que lui portent les cybercriminels. Gagner de l’argent en pratiquant le minage de crypto-monnaies est rentable pour les cybercriminels – ils ne paient pas d’équipement, ni d’électricité. Ils installent un logiciel de minage sur l’ordinateur de la victime pour utiliser sa puissance de traitement sans le consentement de l’utilisateur.

Cela ne nécessite pas beaucoup d’expertise technique spécialisée. En fait, tout ce que l’attaquant doit savoir, c’est comment placer un script de minage à l’aide d’un code source ouvert, ou savoir où en acheter un. Si le logiciel malveillant de cryptomining est installé avec succès sur l’ordinateur de la victime, il procure à son opérateur des revenus réguliers.

Pourquoi une société n’aurait-elle pas installé de correctif contre le L4S – est-ce si difficile dans certains cas dans le secteur public ?

La correction d’une vulnérabilité nécessite du temps et de l’argent. Certaines organisations sous-estiment les dommages potentiels causés par les attaques d’exploitation des vulnérabilités, espérant que les menaces ne les cibleront pas. En outre, il s’agit d’un travail répétitif et routinier (de nombreux correctifs doivent être installés manuellement) qui peut donner lieu à des erreurs. Tous ces facteurs peuvent affecter la sécurité des systèmes de l’organisation.

Log4j constitue-t-il toujours une menace pour les utilisateurs et les entreprises ?

Comme le montre notre télémétrie, les cybercriminels continuent d’exploiter la vulnérabilité Log4j à des fins malveillantes. Elle est exploitée à la fois par des acteurs de la menace avancée qui ciblent des organisations spécifiques, et par des hacktivistes simplement à la recherche de tout système vulnérable à attaquer. Nous demandons à tous ceux qui ne l’ont pas encore fait de se mettre à jour et d’utiliser une solution de sécurité forte pour se protéger.

Pour se prémunir contre cette nouvelle vulnérabilité, Dmitry Kondratyev, de chez Kaspersky recommande :
· D’installer la version la plus récente de la bibliothèque. Vous pouvez la télécharger sur la page du projet. Si vous utilisez la bibliothèque d’un produit tiers, vous devrez surveiller et installer les mises à jour d’un fournisseur de logiciels.
· En suivant les directives du projet Apache Log4j : https://logging.apache.org/log4j/2.x/security.html

Bitcoin, cryptomonnaie

Cryptomonnaies : appât du gain, internautes et Youtube

Une chaîne de jeux diffusée sur Youtube, Neebs Gaming, piratée et exploitée durant quelques heures par des escrocs spécialistes des cryptomonnaies. Les pirates amassent plus de 24 000 dollars.

Cryptomonnaies – Voilà une nouvelle escroquerie Internet rondement menée. Des pirates ont réussi à dérober plus de 24 000 dollars à des internautes attirés par l’appât du gain. Les escrocs ont réussi à faire croire aux pigeons qu’ils toucheraient 10 fois la sommes qu’ils verseraient sur une adresse Bitcoin proposée par les voleurs.

Pourquoi rondement menée ? Les pirates ont d’abord ciblé un youtubeur à l’audience loin d’être négligeable : 1,8 million d’abonnés. Ensuite, créer une vidéo reprenant des contenus officiels. Le nom et la bannière de l’espace ont été changés. Les pirates ont ensuite diffusé le porte-feuille sur lequel les internautes ont été invités à verser leurs Bitcoins.

Les escrocs ont utilisé le nom du PDG de Coinbase Pro, Brian Armstrong, pour inciter les webspectateurs à cliquer sur un lien qui promettait des cadeaux sous forme de Bitcoin gratuits: « Le PDG de Coinbase a annoncé le plus grand crypto Air-Drop de 10 000 Bitcoins, en direct« .

95 000 internautes ont assisté à la diffusion en direct de l’arnaque. Plusieurs d’entre eux ont participé à hauteur de 2,465 BTC, soit plus de 24 000 $.

cryptomonnaie, Fuite de données

Centrale nucléaire : fabrique pirate de cryptomonnaie

Les services secrets ukrainiens viennent de mettre la main sur du matériel pirate dans la seconde centrale nucléaire du pays. Quelqu’un minait de la cryptomonnaie.

Ce n’est pas un cas unique, la Russie et de nombreuses universités ont déjà eu à faire à ce genre d’infiltration. La seconde centrale nucléaire d’Ukraine était exploitée par un pirate pas comme les autres. Les services secrets du pays ont découvert du matériel permettant de miner des cryptomonnaies. L’usine, située à Yuzhnoukrainsk, hébergeait six cartes vidéo Radeon RX 470.

Du matos caché dans une aile administrative. Elle n’était pas en lien direct avec la centrale. Le fait d’utiliser les ressources de la société est un délit.

Le même jour, des perquisitions effectuées dans les locaux utilisés par l’unité militaire 3044 (Garde nationale de l’Ukraine – Éd.), Située sur le territoire de la centrale nucléaire du sud de l’Ukraine. À la suite de la recherche, 16 cartes vidéo, une unité centrale avec le numéro d’inventaire de l’unité militaire, sept disques durs, deux disques SSD, un lecteur flash USB et un routeur saisis .

De fuites…

2017, les activistes du mouvement éclair mobilisateur #fuckresponsibledisclosure initié par l’Ukernian Cyber ​​Alliance constatent des problèmes de sécurité chez Energoatom.

Décembre 2017, l’hacktiviste Dmitry Orlov signale une fuite de données à la centrale nucléaire de Zaporizhzhya. Accès libre à la documentation interne.

Octobre 2018, Alexander Galouchtchenko, expert en sécurité, découvre des documents liés aux travaux de la centrale nucléaire.

19 mars 2019, la police ouvre une procédure pénale pour un cas d’ingérence dans le fonctionnement du réseau de la centrale. Trois employés du département de la sécurité nucléaire impliqués.

Et demain ?

En 2015, Data Security Breach vous expliquait comment des chercheurs s’inquiétaient des installations. De plus et plus dépendantes des systèmes numériques. la sensibilisation de haut niveau des menaces liées à la cybersécurité stagne. « Les récentes attaques de grande envergure ont soulevé de nouvelles inquiétudes concernant les failles de sécurité des cyber d’installations nucléaires », commentait le rapport.

backdoor, Base de données, Chiffrement, cryptomonnaie, Cybersécurité, Entreprise, Mise à jour, Patch, ransomware, Securite informatique

Matrix et les ransomwares ciblés : petites attaques mais grand danger

Dans sa dernière étude « SophosLabs 2019 – Rapport sur les menaces », l’éditeur annonce une recrudescence des attaques ciblées par des ransomwares. Le procédé utilisé est déjà bien connu, notamment l’attaque Matrix. Une cyberattaque ciblée de type agile qui ne cesse d’évoluer depuis sa découverte en 2016.

Des attaques moins sophistiquées que celles de SamSam, ne s’en prenant qu’à une seule machine à la fois, un ransomware tel que Matrix représente un véritable danger. Il a en effet développé de nouvelles variantes capables de scanner le réseau à la recherche de nouvelles victimes potentielles, une fois introduit dans le réseau.

Sophos, spécialiste de la sécurité, présente son nouveau rapport « Matrix: A Low-Key Targeted Ransomware », dans lequel il dévoile ses recommandations afin de garantir un niveau de protection optimal :

  • Limiter l’accès aux applications de contrôle à distance telles que Remote Desktop (RDP) et VNC.-
  • Réaliser des analyses complètes et régulières et des tests d’intrusion sur le réseau. Correction au plus vite afin de ne pas laisser la porte ouverte aux cybercriminels.
  • Mettre en place une authentification multi-facteurs pour les systèmes internes sensibles, que ce soit pour les employés travaillant en LAN ou en VPN.
    Créer des sauvegardes hors ligne et hors site, et développer un plan de reprise après attaque qui couvre la restauration des données et des systèmes pour toute l’organisation de façon simultanée.

Pour de plus amples informations sur le sujet, vous pouvez d’ores et déjà parcourir le rapport « Matrix: A Low-Key Targeted Ransomware ».

A noter que le contrôle du RDP est à prendre très au sérieux. Des boutiques du black market commercialisent des accès RDP piratés. Comme le révèle le site ZATAZ, du business juteux à l’image du portail Xdedic dont les trois administrateurs ont été arrêtés en Ukraine. Gain estimé par le FBI, 68 millions de dollars !

cryptomonnaie, Cybersécurité, double authentification, Entreprise, Fuite de données, Securite informatique, Social engineering

Une fausse mise à jour s’affiche sur Electrum Bitcoin, des centaines de milliers d’euros volés ?

Une faille a permis à des pirates informatiques d’afficher une fausse mise à jour pour les utilisateurs d’Electrum Bitcoin.

Une faille sur le site d’Electrum, un espace dédié à la cryptomonnaie Bictoin, a permis l’affichage de fausses mises à jour dans les écrans des utilisateurs. Les pirates ont eu pour mission d’inciter les « clients » à se connecter à l’un des 33 faux serveurs Electrum ouverts pour l’occasion.

Bilan de cette attaque, la possibilité de voler plusieurs centaines de milliers d’euros.

Une page Github revient sur cette infiltration sournoise. « Une attaque contre des utilisateurs dans laquelle les serveurs soulèvent des exceptions lorsqu’un client diffuse une transaction ; dans ce cas, une fenêtre s’affiche« .

 

Le pirate a créé de nombreux serveurs afin d’augmenter ses chances de connexion. Les messages d’erreur tentent d’amener l’utilisateur à télécharger et à installer des logiciels malveillants. Déguisés en versions de mises à jour d’Electum. Une fois le logiciel malveillant installé, les utilisateurs étaient invités à entrer les codes d’authentification 2FA. Les pirates ont pu transférer des fonds dans leurs propres portefeuilles.

L’Electrum, un alliage naturel d’or et d’argent, utilise des serveurs distants qui se chargent des transactions Bitcoin. Electrum permet, par exemple, de récupérer son portefeuille BTC via une phrase secrète.

Banque, Bitcoin, cryptomonnaie, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fraude au président, Fuite de données, ID, Identité numérique, Particuliers, Piratage, Securite informatique, Social engineering, Vie privée

Crypto-monnaie et recovery room : 113 sites douteux

Recovery room : l’Autorité des Services et Marchés Financiers diffuse une liste noire de 113 sites web douteux concernant les crypto-monnaies.

 

La FSMA, l’Autorité belge des Services et Marchés Financiers, vient de mettre en ligne une liste qui risque d’intéresser les amateurs de crypto-monnaies et autres internautes attirés par le trading. La FSMA édite depuis 1 an une liste de sites mis sur liste noire pour avoir été acteurs d’escroqueries. Si au début cette liste affichait quelques dizaines de fraudeurs, en décembre 2018, ils sont 113 montrés du doigt. A fuir, donc. Le gendarme du secteur financier belge explique que ces plateformes « proposent un investissement sur la base de crypto-espèces, en mettant l’accent sur son caractère sûr, simple et très lucratif. Elles tentent de gagner votre confiance en vous persuadant qu’il ne faut pas être un expert pour pouvoir investir dans les crypto-monnaies. Prétendent collaborer avec des spécialistes, qui gèrent vos investissements. Confirment en outre que vous pouvez retirer vos fonds à tout moment. Fonds garantis. »

Derrière, des escrocs qui empochent votre argent. Cette liste comprend : des entreprises fournissant, en Belgique (ou depuis la Belgique), des services et produits financiers sans respecter la réglementation financière belge (défaut d’agrément / défaut de publication d’un prospectus/…) ; des entreprises à l’égard desquelles, outre d’éventuels manquements aux réglementations financières dont elle assure le contrôle, la FSMA a constaté de sérieux indices de fraude à l’investissement ; des entreprises à l’origine de fraudes de type « recovery room« .

Recovery room

La fraude de type « recovery room » vise les investisseurs déjà victimes d’une arnaque. Contactés par les escrocs, ils se voient proposer de l’aide en vue de récupérer les sommes perdues. Une technique employée, entre autres, par les escrocs à l’amour, les scammeurs. Ils vous indiquent être policier, par exemple, et doivent vous permettre de retrouver votre argent perdu. Bien évidement, ils réclament des frais de « dossier » ! Les escrocs derrière une « recovery room » sont souvent les mêmes voleurs que dans le cadre de la fraude initiale. Ils peuvent aussi revendre leur « pigeon » à d’autres malveillants. « Tout investisseur qui a déjà été victime d’une fraude à l’investissement doit être conscient que les fraudeurs sont susceptibles de le viser à nouveau ou de revendre ses données. » confirme la FSMA.

Chiffrement, cryptage, cryptomonnaie, Cybersécurité, Entreprise, Fuite de données, ransomware, Securite informatique, Social engineering

Un tiers des directeurs informatiques français seraient prêts à payer un ransomware pour éviter les amendes liées au RGPD

Un directeur informatique sur trois préfère payer un ransomware en raison du coup de réinstallation.

Une étude commandée par Sophos a révélé qu’un tiers (33%) des directeurs informatiques français seraient «vraiment» prêts à payer les rançons demandées par des cybercriminels, qui auraient volé leurs données professionnelles, plutôt que de signaler la violation aux autorités et de devoir payer une amende plus lourde, dans le cadre du Règlement Général sur la Protection des Données (RGPD) de l’UE.

De plus, 43% des responsables informatiques en France, ont déclaré qu’ils envisageraient «éventuellement» de payer la rançon demandée par les hackers si elle était inférieure à l’amende prévue en cas d’infraction suite à une violation. Seulement 20% des personnes interrogées ont complètement exclu de payer leurs agresseurs.

Les directeurs informatiques français sont plus enclins à payer que leurs homologues belges

Un quart (24%) des directeurs informatiques belges ont déclaré qu’ils seraient «vraiment» prêts à payer une rançon pour éviter d’être exposés à une amende plus lourde, imposée par les autorités. Parmi les pays d’Europe Occidentale, mentionnés dans l’étude, les directeurs informatiques britanniques et néerlandais étaient les plus susceptibles de payer une rançon. Près de la moitié (47%) des personnes interrogées au Royaume-Uni et plus d’un tiers (38%) aux Pays-Bas étaient «vraiment» disposées à payer. Avec seulement 19%, les responsables informatiques irlandais étaient les moins susceptibles de se considérer «vraiment» prêts à payer leurs agresseurs.

La taille de l’entreprise impacte le paiement des ransomwares

Dans toute l’Europe Occidentale, les petites entreprises étaient les moins susceptibles d’envisager le paiement d’une rançon. Plus de la moitié (51%) des directeurs informatiques des entreprises de moins de 250 employés ont complètement exclu de payer leurs agresseurs. Ce chiffre à comparer aux 20% des directeurs informatiques des entreprises de 250 à 499 employés. 13% pour 500 à 750 employés.

Michel Lanaspèze chez Sophos a déclaré: « Les entreprises qui paient une rançon peuvent peut-être bien récupérer l’accès à leurs données, mais c’est loin d’être une garantie à 100% et c’est surtout une fausse économie si elles le font pour éviter une sanction. Elles doivent signaler la violation aux autorités. « .

Il est surprenant de voir que les grandes entreprises semblent être les plus susceptibles de payer une rançon. Faire confiance aux pirates ou attendre qu’ils restituent sagement les données est une grave erreur. Notre conseil ? Ne payez pas la rançon. Informez rapidement la police/Gendarmerie (Soyons honnête, la chance d’arrêter les auteurs est proche de 0, NDR). Prenez les mesures nécessaires pour réduire les risques d’une nouvelle attaque réussie.

« Le meilleur moyen de ne pas avoir à payer une rançon est de toujours garder une longueur d’avance sur les cybercriminels. Les pirates ont tendance à utiliser des emails de phishing, des logiciels non patchés et des portails d’accès à distance pour pénétrer dans vos systèmes. Assurez-vous donc que vos systèmes et vos utilisateurs soient à même de détecter les signaux annonciateurs d’une attaque. Installez les correctifs le plus tôt et le plus souvent possible, sécurisez les points d’accès distants avec des mots de passe appropriés et enfin mettez en œuvre une authentification multi-facteurs ».

Seuls quatre directeurs informatiques français sur dix pensent être en conformité avec le RGPD

L’étude de Sophos a également montré que seulement 37% des directeurs informatiques français étaient confiants dans une conformité totale de leur entreprise avec les règles du RGPD. Ce chiffre est supérieur à celui des directeurs informatiques en Belgique (30%) et en République d’Irlande (35%), mais inférieur à celui observé au Royaume-Uni (46%) et aux Pays-Bas (44%). Seulement un quart (24%) des directeurs informatiques français ont déclaré avoir mis en place des outils permettant de prouver leur conformité en cas de violation. Seules les entreprises néerlandaises (27%) semblent « ok » vis à vis de ce point particulier. Plus de la moitié des entreprises françaises ont migré leurs données vers le cloud suite à l’entrée en vigueur du RGPD : 59% des personnes interrogées ont déclaré avoir davantage utilisé le cloud computing comme conséquence directe de l’entrée en vigueur du RGPD.

backdoor, Base de données, Chiffrement, cryptomonnaie, Cyber-attaque, Cybersécurité, DDoS, Entreprise, escroquerie, Leak, Particuliers, Piratage, ransomware, ransomware, Securite informatique

Exploit kits : Les USA n° 1 en nombres d’adresses Web malveillantes

2 commentaires

Au deuxième trimestre, les États-Unis étaient en tête concernant l’hébergement de domaines malveillants et d’exploit kits. La Chine passe de la 2e à la 7e position.

Mails malveillants, exploit kits et compagnie ! L’Unit42, unité de recherches de Palo Alto Networks, analyse régulièrement les données en provenance de son ELINK (Email Link Analysis) pour détecter les modèles et les tendances sous-jacentes aux menaces actuelles sur le Web. Aujourd’hui, l’Unit42 partage son analyse pour la période d’avril à juin 2018 (retrouvé le précédent rapport portant sur la période de janvier à mars 2018 ici. L’Unit42 fournit également une analyse détaillée des attaques contre la faille CVE-2018-8174 (voir plus bas en lien) en utilisant l’exploit Double Kill.

Ce trimestre l’Unit42 a constaté peu d’évolution dans les vulnérabilités exploitées, y compris certaines particulièrement vieilles. Toutefois, l’une d’entre elles, toute nouvelle, s’appuyait sur une faille zero-day arrive en tête de la liste. Les États-Unis demeurent le premier pays en nombre de domaines malveillants hébergés, avec également une part en forte hausse des Pays-Bas. En dehors de ces deux pays, le nombre de domaines malveillants hébergés baisse radicalement à travers le globe, y compris en Russie et en Chine.

USA, TOP 1 de l’hébergement d’exploit kits

Les États-Unis sont également les premiers en ce qui concerne l’hébergement d’exploit kits (EKs) dans le monde avec un ratio de deux pour un comparé avec le pays arrivant juste derrière en deuxième position, la Russie. De fait, à eux seuls les États-Unis hébergent plus d’EKs que l’ensemble des autres pays. Les exploits kits pour KaiXin, Sundown et Rig sont restés aussi actifs au deuxième trimestre qu’au premier. Avec des différences régionales notables : KaiXin se trouvant particulièrement en Chine, à Hong Kong et en Corée alors que Grandsoft (un nouveau venu chez les EKs), Sundown et Rig dominent partout ailleurs.

En nous basant sur ses constatations, l’Unit42 conseille aux entreprises de s’assurer que Microsoft Windows, Adobe Flash et Adobe Reader sont parfaitement à jour aussi bien en ce qui concerne les version que les mises à jour de sécurité. De plus, les entreprises devraient plutôt chercher à restreindre les privilèges des comptes utilisateurs pour limiter les dommages causés par les malwares. Enfin, les protections contre les URL et les domaines malveillants et la sécurisation des points d’accès pour prévenir l’infection par des malwares peuvent limiter l’impact des menaces dont nous discutons dans ce billet.

Les États-Unis demeurent le premier pays en nombre d’hébergement

Au total, à l’exception des Pays-Bas, le nombre de domaines malveillants hébergés hors États-Unis est nettement moins important que ce qui avait été constaté au premier trimestre.
L’Unit42 a noté une hausse importante des domaines malveillants hébergés aux Pays-Bas.
Elle a constaté une baisse importante des domaines malveillants hébergés en Russie et en Chine qui sont désormais tous deux à égalité en septième position de la liste.
Bien qu’aillant observé une forte baisse des domaines malveillants hébergés à Hong Kong, la ville demeure le troisième hébergeur du classement
L’Australie arrive en quatrième position, mais sans réelle augmentation des hébergements.
Le nombre de domaines malveillants hébergés en Allemagne a été réduit de moitié.
Le nombre de domaines malveillants hébergés en Italie et au Royaume-Uni n’a pas bougé. Toutefois, en raison du déclin généralisé hors États-Unis et Pays-Bas, ils ne sont plus à égalité en troisième position, mais en sixième.

Vulnérabilités

La CVE-2018-8174, une vulnérabilité touchant VBScript de Microsoft, qui a été utilisée dans des attaques zero-day et qui a fait l’objet d’un patch en mai, a été très largement utilisée ce trimestre. De vulnérabilités très vieilles sont toujours très utilisées. CVE-2009-0075, une faille concernant Internet Explorer 7 qui a neuf ans et demi était dans le top 5 le trimestre dernier et arrive en 4e position ce trimestre. CVE-2008-4844, une autre faille tout aussi ancienne affectant Internet Explorer 5, 6 et 7 arrive ce trimestre en 5e position. Les failles visées restent identiques. Quatre des cinq premières failles exploitées ce trimestre étaient déjà dans notre top 6 le trimestre dernier (CVE-2016-0189, CVE-2014-6332, CVE-2009-0075 et CVE-2008-4844).

Exploit kits

Les États-Unis ont été la première source de déploiement pour Grandsoft, Sundown et Rig. La deuxième nation pour KaiXindevenant ainsi la première source de déploiement pour les exploit kits en général. Dénombré, deux fois plus d’exploit kits aux États-Unis au total que dans le deuxième pays de ce classement, à savoir, la Russie. La Russie est arrivée en deuxième position mondiale uniquement pour Grandsoft, Sundown et Rig. KaiXin principalement en Chine, à Hong Kong et en Corée, avec une distribution plus limitée aux États-Unis et aux Pays-Bas.  Conformément à d’autres résultats du rapport de l’Unit42, les Pays-Bas arrivent en 5e position sur ce classement, principalement pour Grandsoft, Sundown et Rig mais aussi pour KaiXin. L’Australie arrive en 6e position. KaiXin, implanté dans la zone Asie-Pacifique, n’existe pas en Australie. Seulement Grandsoft, Sundown et Rig.

backdoor, BYOD, Communiqué de presse, cryptomonnaie, Cybersécurité, Entreprise, Securite informatique

Cryptojacking : le danger des objets connectés résidentiels

Un commentaire

Un nouveau rapport de sécurité révèle que les objets connectés résidentiels constituent une nouvelle cible pour le cryptojacking.

Quasiment aucune entreprise n’échappe à un exploit majeur : l’analyse des événements critiques souligne une tendance inquiétante : 96% des entreprises ont subi au moins un incident majeur de sécurité. En clair, les entreprises, dans leur quasi-totalité, cèdent au moins une fois aux attaques des cybercriminels. De plus, près d’un quart des entreprises ont été confrontées à un malware de cryptojacking, tandis que six variantes de malwares ont, à elles seules, impacté plus de 10 % de toutes les organisations. FortiGuard Labs a également identifié 30 nouvelles vulnérabilités zero-day sur ce trimestre.

Le cryptojacking s’en prend aux objets connectés résidentiels : pour renforcer le minage des crypto-monnaies, les objets connectés résidentiels – et notamment les dispositifs multimédias – sont désormais ciblés. Ces dispositifs présentent un attrait certain compte tenu de leurs ressources informatiques importantes pouvant être détournées à des fins malveillantes. Les assaillants tentent ainsi d’inoculer un malware qui assurera un minage permanent, puisque ces appareils sont généralement toujours actifs. De plus, leurs interfaces sont exploitées en tant que navigateurs web modifiés, ce qui étend le nombre de vulnérabilités et de vecteurs de minage. La segmentation devient ainsi essentielle pour cloisonner ces dispositifs personnels si leurs utilisateurs les connectent à des réseaux d’entreprise.

La créativité des cybercriminels au service des botnets : la tendance en matière de botnets illustre comment les cybercriminels maximisent l’impact de ce type de malware grâce à de multiples actions malveillantes. WICKED, une nouvelle variante du botnet Mirai, s’est ainsi enrichi de trois nouveaux exploits pour cibler les objets connectés non patchés. VPNFilter, l’attaque sophistiquée qui cible les environnements industriels SCADA/ICS grâce à une surveillance des protocoles MODBUS, est devenue une menace majeure qui exfiltre les données et peut mettre à l’arrêt un dispositif, voire un groupe de dispositifs. La variante Anubis du malware Bankbot a fait l’objet de plusieurs innovations : elle agit en tant que ransomware et enregistreur de frappe, mais peut également assurer une fonction de cheval de Troie (avec accès distant malveillant), intercepter des SMS, verrouiller les écrans et transférer des appels. Ces évolutions au niveau des attaques doivent être suivies précisément, grâce notamment à une veille pertinente sur les menaces.

Cryptojacking, malware and co !

Les concepteurs de malware misent sur un développement agile : les malwares ont longtemps été polymorphes pour éviter de se faire détecter. Les récentes attaques soulignent une adoption des pratiques de développement agile pour rendre la détection des malwares plus complexe et contourner les toutes dernières fonctions des produits anti-malware. GandCrab compte déjà plusieurs versions cette année et ses concepteurs continuent à le faire évoluer rapidement. L’automatisation des attaques, tout comme les méthodes de développement agile, pose un réel défi aux organisations ciblées, ces dernières ne disposant pas toujours du savoir-faire nécessaire pour contrer des menaces toujours plus furtives. Le développement agile utilisé par les cybercriminels incite à déployer des fonctions évoluées de protection et de détection pour combattre ces attaques de nouvelle génération.

Un ciblage efficace des vulnérabilités : les cybercriminels sélectionnent avec précision les vulnérabilités qu’ils souhaitent exploiter. Ces dernières sont sélectionnées compte tenu de leur prévalence et du volume d’exploits détectés : ainsi seules 5,7% des vulnérabilités connues sont réellement exploitées. Mais si la majorité d’entre elles ne seront pas exploitées, elles doivent néanmoins être restaurées proactivement par les entreprises.

L’utilisation des applications dans les secteurs de l’enseignement et des services publics : lorsqu’on compare le nombre d’applications utilisées par secteur d’activité, l’utilisation d’applications SaaS dans le secteur public surperforme la moyenne de 108%. D’autre part, ce secteur est devancé par celui de l’enseignement sur le critère du nombre total d’applications utilisées chaque jour, ce chiffre étant de 22,5% et 69% supérieur à la moyenne, respectivement. Le besoin pour un panel diversifié d’applications explique le taux d’utilisation plus important sur ces deux secteurs d’activité. Il s’agira néanmoins de décloisonner ces différentes applications au sein des environnements multi-cloud, pour renforcer la visibilité et appliquer les fonctions de sécurité. (Merci à Fortinet)