Hacking

Baies informatiques : Êtes-vous prêt pour la prochaine cyber-attaque ?

Il y a un peu plus d’un an, Wannacry frappait des centaines d’entreprises et services publics. Une cyber-attaque provoquée par une absence de mise à jour et de l’exploitation de failles radicales. Mais il pourrait ne s’agir que d’une période de calme avant la tempête. Il est indispensable pour toutes les organisations de gérer l’obsolescence de leurs applications mais plus généralement, des risques IT, afin d’être moins vulnérables aux potentielles cyber-attaques.

Derrière ces attaques visant votre infrastructure informatique ne doit pas faire oublier un autre espace de sécurisation de votre numérique, les baies informatiques. Les actes malveillants peuvent aussi s’attaquer à ces structures physiques. Selon des données de la Commission européenne, 80% des entreprises de la zone UE ont déjà été touchées au moins une fois par une attaque informatique depuis 2016. Vol de données, actes frauduleux, déstabilisations. Pourtant, les organisations n’ont pas toujours conscience du danger d’une cyber-attaque. Et c’est seulement lorsqu’elles y sont confrontées qu’elles développent une culture de gestion des risques. Qu’il s’agisse de systèmes d’exploitation ou d’applications, les solutions informatiques peuvent comporter des failles qui ne sont pas toujours corrigées suffisamment rapidement par leurs éditeurs. Il en va de même pour vos baies informatiques. Avant de corriger les problèmes, il est évidemment indispensable de les identifier. Informatique, physique, humaine … Créer un référentiel de toutes les applications, les technologies, le matériel, leur stockage, leur sécurisation physique face au éléments naturels (eau, feu, …) et humaine (erreur, piratage, …).

Bref, maîtriser l’obsolescence. La société Schroff propose par exemple une plate-forme de baies très flexible qui offre une grande capacité de charge, des options complètes de gestion du câblage, une sécurité d’accès et de nombreux systèmes de refroidissement éco énergétiques qui répondent aux exigences les plus pointues. Pour avoir croisé l’une de ses baies, les poignées et options de fermeture peuvent transformer votre espace informatique en baie qui ferait pâlir de jalousie 007 : poignées électroniques et surveillance de ces dernières à distance. Je vous passe les portes pleines et blindées et câblage spécial et protégé (une base obligatoire). Pour en savoir plus cliquez ici.

Base de données, Cybersécurité, Entreprise, Fuite de données, Justice, Securite informatique

Amendes pour UBER après une fuite de données

La société Américaine UBER écope de plusieurs amendes après la fuite de données personnelles dont avaient été victimes plusieurs millions d’utilisateurs.

UBER, la société de taxi urbain vient d’écoper de plusieurs amendes infligées par la Grande-Bretagne et les Pays-Bas. Deux amendes à la suite de la fuite de données personnelles que la société américaine avait tentée de cacher. Cette fuite date de 2016. 57 millions d’utilisateurs impactés dans le monde.

Aux Pays-Bas, 174.000 clients et chauffeurs. En Grande-Bretagne, 2,7 millions de clients et plus de 80 000 chauffeurs.

En France, tout comme en Belgique, plusieurs dizaines de milliers d’utilisateurs avaient été touchés. Au RU, une amende de 434 000 euros. D’autres pays Européens pourraient suivre et infliger une amende à UBER. Aux USA, la société de transport a déjà déboursé plus de 150 millions de dollars pour stopper des class actions à son encontre. Pour rappel, l’américain avait payé le pirate derrière cette fuite d’informations personnelles 100 000 dollars.

Antivirus, Communiqué de presse, Cybersécurité, Entreprise, Fuite de données, Logiciels, Mise à jour, Patch, Propriété Industrielle, Securite informatique, Virus

L’intelligence artificielle pour lutter contre la cybercriminalité

L’éditeur allemand G DATA, annonce l’intégration de DeepRay dans ses solutions de sécurité.

Avec la nouvelle technologie de détection DeepRay basée sur l’apprentissage machine et l’intelligence artificielle, les solutions de sécurité de G DATA disposent d’une capacité de détection accrue face aux menaces connues et inconnues. G DATA fut, il y a plus de 30 ans, l’un des premiers éditeurs de solutions antivirus. Aujourd’hui, l’entreprise démontre une fois de plus sa force d’innovation en présentant DeepRay, une nouvelle technologie qui utilise le machine learning pour évaluer et détecter la dangerosité des codes malveillants.

Réseau neuronal en action

Les solutions de sécurité G DATA pour les particuliers utilisent désormais un réseau neuronal composé de modèles mathématiques de type « Perceptron » pour identifier et analyser les processus suspects. Ce réseau fonctionne avec un algorithme continuellement amélioré par l’apprentissage adaptatif et l’expertise des analystes G DATA. Les différents types de fichiers exécutables sont catégorises à l’aide d’indicateurs, tel que par exemple le rapport entre la taille du fichier et le type de code exécutable, la version du compilateur utilisée ou encore le nombre de fonctions système importées.

Analyse des processus en mémoire

Si DeepRay définit un fichier comme suspect, une analyse approfondie se lance dans la mémoire du processus correspondant. Il s’agit alors d’identifier le fonctionnement du fichier et de le rapprocher à un modèle de familles de logiciels malveillants connus ou à un comportement malveillant en général. Grâce à DeepRay, les solutions de sécurité G DATA détectent bien plus tôt les fichiers malveillants dissimulés et préviennent ainsi des dommages qu’ils peuvent causer au système.

« Avec DeepRay, nous changeons les règles du jeu. Grâce à cette nouvelle technologie, nous pouvons regarder au-delà de la dissimulation des logiciels malveillants et repousser efficacement les campagnes d’infection à développement rapide. La protection de nos clients est considérablement augmentée« , déclare Andreas Lüning, fondateur et CEO de G DATA Software AG.

Chiffrement, cryptage, cryptomonnaie, Cybersécurité, Entreprise, Fuite de données, ransomware, Securite informatique, Social engineering

Un tiers des directeurs informatiques français seraient prêts à payer un ransomware pour éviter les amendes liées au RGPD

Un directeur informatique sur trois préfère payer un ransomware en raison du coup de réinstallation.

Une étude commandée par Sophos a révélé qu’un tiers (33%) des directeurs informatiques français seraient «vraiment» prêts à payer les rançons demandées par des cybercriminels, qui auraient volé leurs données professionnelles, plutôt que de signaler la violation aux autorités et de devoir payer une amende plus lourde, dans le cadre du Règlement Général sur la Protection des Données (RGPD) de l’UE.

De plus, 43% des responsables informatiques en France, ont déclaré qu’ils envisageraient «éventuellement» de payer la rançon demandée par les hackers si elle était inférieure à l’amende prévue en cas d’infraction suite à une violation. Seulement 20% des personnes interrogées ont complètement exclu de payer leurs agresseurs.

Les directeurs informatiques français sont plus enclins à payer que leurs homologues belges

Un quart (24%) des directeurs informatiques belges ont déclaré qu’ils seraient «vraiment» prêts à payer une rançon pour éviter d’être exposés à une amende plus lourde, imposée par les autorités. Parmi les pays d’Europe Occidentale, mentionnés dans l’étude, les directeurs informatiques britanniques et néerlandais étaient les plus susceptibles de payer une rançon. Près de la moitié (47%) des personnes interrogées au Royaume-Uni et plus d’un tiers (38%) aux Pays-Bas étaient «vraiment» disposées à payer. Avec seulement 19%, les responsables informatiques irlandais étaient les moins susceptibles de se considérer «vraiment» prêts à payer leurs agresseurs.

La taille de l’entreprise impacte le paiement des ransomwares

Dans toute l’Europe Occidentale, les petites entreprises étaient les moins susceptibles d’envisager le paiement d’une rançon. Plus de la moitié (51%) des directeurs informatiques des entreprises de moins de 250 employés ont complètement exclu de payer leurs agresseurs. Ce chiffre à comparer aux 20% des directeurs informatiques des entreprises de 250 à 499 employés. 13% pour 500 à 750 employés.

Michel Lanaspèze chez Sophos a déclaré: « Les entreprises qui paient une rançon peuvent peut-être bien récupérer l’accès à leurs données, mais c’est loin d’être une garantie à 100% et c’est surtout une fausse économie si elles le font pour éviter une sanction. Elles doivent signaler la violation aux autorités. « .

Il est surprenant de voir que les grandes entreprises semblent être les plus susceptibles de payer une rançon. Faire confiance aux pirates ou attendre qu’ils restituent sagement les données est une grave erreur. Notre conseil ? Ne payez pas la rançon. Informez rapidement la police/Gendarmerie (Soyons honnête, la chance d’arrêter les auteurs est proche de 0, NDR). Prenez les mesures nécessaires pour réduire les risques d’une nouvelle attaque réussie.

« Le meilleur moyen de ne pas avoir à payer une rançon est de toujours garder une longueur d’avance sur les cybercriminels. Les pirates ont tendance à utiliser des emails de phishing, des logiciels non patchés et des portails d’accès à distance pour pénétrer dans vos systèmes. Assurez-vous donc que vos systèmes et vos utilisateurs soient à même de détecter les signaux annonciateurs d’une attaque. Installez les correctifs le plus tôt et le plus souvent possible, sécurisez les points d’accès distants avec des mots de passe appropriés et enfin mettez en œuvre une authentification multi-facteurs ».

Seuls quatre directeurs informatiques français sur dix pensent être en conformité avec le RGPD

L’étude de Sophos a également montré que seulement 37% des directeurs informatiques français étaient confiants dans une conformité totale de leur entreprise avec les règles du RGPD. Ce chiffre est supérieur à celui des directeurs informatiques en Belgique (30%) et en République d’Irlande (35%), mais inférieur à celui observé au Royaume-Uni (46%) et aux Pays-Bas (44%). Seulement un quart (24%) des directeurs informatiques français ont déclaré avoir mis en place des outils permettant de prouver leur conformité en cas de violation. Seules les entreprises néerlandaises (27%) semblent « ok » vis à vis de ce point particulier. Plus de la moitié des entreprises françaises ont migré leurs données vers le cloud suite à l’entrée en vigueur du RGPD : 59% des personnes interrogées ont déclaré avoir davantage utilisé le cloud computing comme conséquence directe de l’entrée en vigueur du RGPD.

Communiqué de presse, Cybersécurité, Securite informatique

Détecter et prévenir la menace interne

Qu’il s’agisse d’utilisateurs malveillants, négligents ou exploités, il est communément admis que le plus grand risque pour toute entreprise provient de la menace interne. Rappelez-vous également que presque toutes les attaques externes finissent par ressembler à des attaques internes.

Selon le Data Breach Investigations Report 2018 de Verizon, l’utilisation d’informations d’identification internes compromises par un attaquant externe constitue la menace la plus courante dans les violations de données. C’est pourquoi il est important d’identifier les menaces internes le plus tôt possible.

Le risque zéro n’existe pas, mais il y a un moyen de réduire significativement les risques potentiels.

Alors, de quelle façon les organisations peuvent-elles identifier la menace interne, de préférence avant qu’une action ait lieu ?

Se contenter de surveiller toute l’activité réseau n’est pas suffisant pour protéger une organisation contre les activités malveillantes ou imprudentes. Il faut donc rechercher des indicateurs avancés d’un comportement inapproprié, malveillant ou négligent des employés.

Pour cela, il est important de concentrer vos efforts sur la partie de l’attaque qui ne peut être contournée – la connexion.

DÉTECTER ET PRÉVENIR LES MENACES INTERNES

Presque chaque action de menace interne nécessite une connexion à l’aide d’identifiants internes. Il s’agit de l’action la plus simple et commune pour les attaques internes.

L’accès aux points de terminaison, le mouvement latéral entre les points de terminaison, l’accès externe via VPN, l’accès au bureau à distance, etc., ont tous en commun la sollicitation d’une connexion.

Il faut donc surveiller la connexion pour diminuer le risque. Le concept de gestion de la connexion se structure autour de quatre fonctions essentielles qui agissent ensemble pour maintenir un environnement sécurisé :

  • Politique et restrictions – Établit qui peut se connecter quand, depuis où, pendant combien de temps, combien de fois et à quelle fréquence (sessions simultanées). On peut également limiter les types d’ouverture de session spécifiques (tels que les connexions basées sur la console ou RDP).
  • Surveillance en temps réel et reporting – Chaque connexion est surveillée et testée par rapport aux stratégies existantes pour déterminer si une connexion doit être autorisée. Le reporting aide à obtenir des informations détaillées pour toute enquête.
  • Alertes pour l’informatique et l’utilisateur final – Informe le service informatique et l’utilisateur de l’activité de connexion inappropriée et des tentatives infructueuses.
  • Réponse immédiate – Permet au service informatique d’interagir avec une session suspecte, de verrouiller la console, de déconnecter l’utilisateur ou même de les empêcher de se connecter ultérieurement.

Finalement, la gestion des connexions fait de la connexion elle-même un événement scruté et protégé.

Le but d’avoir une solution de gestion des connexions en place est de pouvoir détecter immédiatement une tentative d’accès anormale grâce aux stratégies de connexion personnalisées et granulaires définies pour ce compte particulier (employé). Cette même solution pourra ensuite agir en conséquence – soit en refusant, soit en approuvant la connexion – et en informant le service informatique (ou l’utilisateur lui-même) si cela est stipulé.

La gestion de la connexion est un moyen simple, efficace et rentable de contrecarrer les menaces internes potentielles. Elle fournit une couche de protection à la connexion, qui existe logiquement avant que l’action ne se produise, pour arrêter complètement la menace. Autrement dit, aucune connexion, aucune menace.

Parmi les scénarios de menaces internes potentiels qui sont actuellement contrecarrés, citons :

  • Les connexions authentiques mais compromises d’utilisateurs exploités sont désormais inutiles pour les employés malveillants ou les attaquants potentiels.
  • Les comportements imprudents de l’utilisateur, tels que le partage de mot de passe, les postes de travail partagés laissés déverrouillés ou des connexions simultanées à plusieurs ordinateurs, sont maintenant éradiqués.
  • L’accès à toute donnée / ressource est désormais toujours identifiable et attribué à un utilisateur individuel. Cette responsabilité décourage un employé d’agir avec malveillance et rend tous les utilisateurs plus attentifs à leurs actions.
  • Une activité suspecte est alertée pour permettre à l’équipe informatique de réagir instantanément.
  • Les utilisateurs sont avertis par un message et des alertes sur mesure, y compris des alertes sur leur propre accès sécurisé. Les employés informés représentent une autre ligne de défense.

 STOPPER LES MENACES INTERNES

La menace interne est réelle. Elle est présente sur votre réseau. Ce sont les employés avec lesquels vous travaillez tous les jours, où leur passage au statut d’attaquant interne peut dépendre d’une simple relation brisée, une promotion passée ou des difficultés personnelles. Ainsi, il est essentiel de disposer d’une solution proactive et économique pour faire face aux menaces internes. C’est aussi important que la protection de vos points de terminaison, les pares-feux et la passerelle de messagerie.

Le facteur commun à chaque scénario d’attaque interne est la connexion. Avec les connexions en tant que votre indicateur clé de menace interne :

  1. Vous identifiez le potentiel de menace très tôt dans le processus.
  2. Les faux positifs sont évités grâce à des stratégies granulaires (par compte, si nécessaire) qui définissent ce qui est et n’est pas « normal ».
  3. La connexion est refusée, arrêtant la menace.

En tirant parti de la gestion des connexions, vous placez la détection et la réponse aux menaces internes bien au-delà des actions malveillantes qui pourraient avoir lieu, arrêtant ainsi tout risque interne, avec un contrôle total de l’équipe informatique.

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Mise à jour, Particuliers, RGPD, Sauvegarde, Sécurité, Securite informatique, Smartphone, Téléphonie

Des millions de SMS retrouvés dans un cloud de la société Voxox

Un chercheur en sécurité révèle que la société Voxox a exposé des dizaines de millions de SMS en le stockant sur un serveur cloud non protégé.

Voxox est une société de communication VoIP. Une sorte de Skype allemand. Voxox a oublié les bases de la sécurité du cloud. Bilan, ce fournisseur de services vocaux et SMS a exposé des données sensibles telles que les codes 2FA, les mots de passe en texte clair, les numéros de téléphone, les codes de réinitialisation de mot de passe, les notifications d’expédition et les codes de vérification à un accès public. C’est un chercheur en sécurité basé à Berlin, Sébastien Kaul, qui a découvert la faille via le moteur de recherche spécialisé dans la sécurité informatique, Shodan. La base de données de messages SMS identifiée par Kaul est facilement accessible. Elle offre une vue presque en temps réel des informations transitant par la passerelle SMS de Voxox. Comment est-ce possible ? La société américaine n’a pas protégé son serveur … avec un mot de passe. No comment !

Avant sa fermeture, plus de 26 millions de messages texte stockés dans la base de données. Cependant, il semble tout à fait probable que le chiffre soit plus important. Le volume de messages étant énorme, chaque minute. Il est à noter que chaque enregistrement a été étiqueté et détaillé avec précision. Il incluait le numéro de contact du destinataire, le client Voxox qui avait envoyé le message et le contenu du message. (TechCrunch)

Base de données, Cybersécurité, Entreprise, Fuite de données, IOT, loi, Mise à jour, RGPD, Securite informatique

Microsoft confronté au RGPD en raison d’une collecte de données via Word, Excel, PowerPoint et Outlook

Le gouvernement néerlandais vient de rendre public un rapport commandité à la Privacy Company et ayant pour mission de montrer du doigt la collecte de données appartenant aux utilisateurs de Word, Excel, PowerPoint et Outlook.

Selon le rapport de The Privacy Compagny, Microsoft, via Office 365 et Office 2016, collecterait des données sans l’autorisation de ses utilisateurs. Commandité par le gouvernement néerlandais, l’enquête a eu pour mission de démontrer une sauvegarde d’informations personnelles sur des serveurs américains, ce qu’interdit le Règlement Général de la Protection des Données. Seconde plainte, les utilisateurs dans l’ignorance de cette collecte. De plus, Microsoft refuse d’indiquer le contenu de cette collecte via Word, Excel, PowerPoint ou encore Outlook.

« Microsoft collecte systématiquement et à grande échelle des données sur l’utilisation individuelle de Word, Excel, PowerPoint et Outlook. Indique The Privacy Company. Et elle le fait en catimini, sans en avertir les utilisateurs. Microsoft ne précise absolument pas la quantité de données. L’entreprise ne permet pas non plus la désactivation. De savoir quelles informations sont collectées, car le flux des données est chiffré. ». Selon l’enquête, le géant américain mettrait à jour entre 23 000 et 25 000 « events » (sic!). 20 à 30 équipes d’ingénieurs travailleraient avec ces données. Windows 10 ne collecterait « que » 1 000 à 1 200 events.

Microsoft a rappelé qu’il existait une version d’Office sans le moindre transfert de données. Une mise à jour, prévue en avril 2019, doit corriger la collecte incriminée par TPC.

Chiffrement, Communiqué de presse, cryptage, Cybersécurité, Entreprise, Fuite de données, ransomware, Securite informatique

Observation de l’évolution des tactiques de diffusion des ransomwares

Il y a quatre ans de cela, les criminels envoyaient des mails à des millions d’adresses, diffusant des variantes de logiciels rançonneurs, via des liens infectés ou des documents Word, sans logique ou ciblage apparent. Aujourd’hui, les ransomware se professionnalisent !

Lorsque les logiciels rançonneurs ont commencé à chiffrer les ressources disponibles sur les réseaux, les entreprises ont commencé à y prêter un peu plus attention. Cette étape de l’évolution des logiciels rançonneurs a vu la méthode de diffusion éparpillée précédemment mentionnée se combiner au chiffrement de fichiers disponibles aussi bien sur le serveur local que sur les serveurs d’entreprise. Le chiffrement du serveur de fichiers d’une infrastructure ou de son système de stockage en réseau entraîne plus de dommages pour l’entreprise que le chiffrement d’un poste de travail individuel. Dans ce contexte, la hotline de notre équipe d’intervention a commencé à recevoir plus d’appels, au cours desquels les administrateurs informatiques des systèmes touchés par des logiciels rançonneurs ont commencé à se poser des questions très sérieuses sur les conséquences associées au paiement des rançons.

Cette tendance des ransomwares à chiffrer les partages réseau, et l’attention accrue qui en résulte, est probablement à l’origine des phases suivantes de leurs techniques de déploiement.

Frappes de précision : l’essor du protocole RDP (Remote Desktop Protocol)

En 2016, nous avons commencé à constater des infections massives de logiciels rançonneurs au cours desquelles plusieurs actifs essentiels de l’environnement des victimes étaient simultanément infectés, et avons donc constaté davantage d’interactions entre les agresseurs et leurs victimes (en raison de l’impact de leurs logiciels rançonneurs sur l’environnement des victimes). La communauté de sécurité s’est livrée à des enquêtes plus poussées qui ont confirmé ces soupçons : des cybercriminels utilisaient le protocole RDP, un protocole propriétaire conçu par Microsoft, pour fournir aux utilisateurs l’interface graphique d’un système distant, afin de s’introduire dans l’environnement des victimes.

Une fois en place, les agresseurs déployaient généralement des outils permettant de rechercher et d’exploiter des relations utilisateur/groupe/administrateur mal configurées ou non intentionnelles. Les paramètres Active Directory mal configurés ou non intentionnels sont les meilleurs alliés des cybercriminels, en leur permettant d’accéder aux privilèges de l’administrateur du domaine. Dès que le compte de ce dernier est compromis, les hackers ont la possibilité d’effectuer une reconnaissance du réseau pour identifier les actifs les plus critiques et les infecter.

Après avoir identifié les serveurs critiques et les systèmes de sauvegarde dans l’environnement, les hackers peuvent désormais utiliser les outils d’administration système intégrés à Windows pour déployer largement leurs logiciels rançonneurs.

A ce stade, les agresseurs n’essayaient donc plus d’envoyer un email à chaque personne présente sur le web. Avec le protocole RDP, ils savaient exactement qui et quoi cibler, en infectant simultanément des ressources critiques grâce à leur nouvel accès à l’environnement des victimes.

La prochaine étape des logiciels rançonneurs : les botnets

La tactique consistant à utiliser le RDP comme base initiale pour ces déploiements de logiciels rançonneurs en volume, interactifs, programmés ou manuels, était devenue si courante qu’elle faisait l’objet de nos premières questions lors de la prise en charge de nouveaux incidents. Cependant, pour les cas récents tels que le logiciel rançonneur Ryuk [1], nous assistons à une autre évolution des tactiques de diffusion. Lorsque nous enquêtons sur les victimes pour déterminer si elles sont exposées au niveau du RDP, nous pouvons constater que ce protocole n’est pas activé, ou que l’accès se fait via VPN. Dans cette mesure, il n’expose pas directement les victimes sur Internet.

Ces cas nécessitent des enquêtes plus approfondies. Dans plusieurs cas récents, nous découvrons des infections de bots corrélées à la chronologie des infections de logiciels rançonneurs.

Au cours du mois dernier, nous avons observé des infections de TrickBot, d’Emotet et d’AdvisorsBot qui correspondent parfaitement au moment du déploiement des logiciels rançonneurs. Ces infections par bots sont généralisées dans l’environnement des victimes, et tirent également parti des relations d’approbation mal configurées dans Active Directory pour se répandre latéralement. Cette tendance à l’utilisation des bots pour s’implanter ne fait qu’augmenter.

Dans ces cas, nous constatons que des e-mails de phishing contenant des documents Word malveillants sont le vecteur de diffusion des bots. Ces documents Word malveillants contiennent un contenu exécutable appelé macros. Lors de nos analyses des infections par TrickBot et AdvisorsBot relatives aux logiciels rançonneurs, nous constatons que les victimes ont ouvert le mail. Ouvert les documents joints. Permis aux macros de s’éxecuter.

À ce stade, le contenu exécutable dans les macros installe un bot ou contacte le serveur de commande et de contrôle du botnet pour obtenir du code malveillant supplémentaire, qui est finalement le véritable logiciel malveillant.

C’est une évolution des tactiques de déploiement des logiciels rançonneurs. La tendance observable de diffusion des ransomwares, allant de l’email de phishing opportuniste jusqu’à l’implantation et la reconnaissance via une configuration RDP compromise, se poursuit aujourd’hui par une implantation avancée au cœur du réseau grâce à des infections par bots qui se propagent latéralement.

En conclusion, la tendance d’implantation des bots pour propager des logiciels rançonneurs continuera à se développer. A l’avenir, différents bots seront utilisés simultanément. Mais le fait qu’ils offrent une persistance et facilitent le déploiement de logiciels malveillants supplémentaires en font un choix évident en matière d’implantation malveillante.

Conseil de l’équipe d’intervention Check Point

Au cours des différentes enquêtes, il a été découvert que la plupart des victimes avaient involontairement autorisé l’accès RDP au réseau depuis Internet en raison de la configuration des règles de sécurité sur le pare-feu, autorisant trop de ports ou configurant incorrectement l’IP/le masque réseau. La fonctionnalité « Packet Mode » de R80.10 [1] nous permet de vérifier rapidement si les ports RDP sont exposés sur Internet. Les règles de la blade Compliance (conformité) peuvent également être configurées pour émettre une alerte en cas d’exposition accidentelle de RDP. (Par l’équipe d’intervention de Check Point).

APT, backdoor, Chiffrement, Communiqué de presse, cryptage, Cybersécurité, Mise à jour, Securite informatique

Sofacy, un groupe de pirates omniprésent sur la toile

L’Unité42, unité de recherches de Palo Alto Networks, dévoile aujourd’hui une nouvelle étude sur le groupe Sofacy et le nouveau malware utilisé par le groupe pour mener des attaques de cyber-espionnage contre différentes agences gouvernementales partout dans le monde.

Sofacy continue ses attaques mondiales et sort un nouveau cheval de Troie « Cannon ». Découverte d’un nouveau malware « Canon », un cheval de Troie pour donner un accès distant (RAT pour Remote Access Trojan) : ce nouveau malware a été utilisé par Sofacy pour mener des attaques de cyber-espionnage. Ce groupe continue aussi à utiliser Zebrocy (un RAT déjà connu) dans leurs attaques. Utilisation de diverses techniques pour éviter d’être détecté et analysé : 1) au lieu d’inclure le code malicieux en pièce jointe, Sofacy le télécharge à distance à l’ouverture du document, 2) le groupe utilise des courriels pour envoyer et recevoir des instructions et 3) le groupe utilise également des macros spécifiques pour détourner les tentatives d’analyse du code malicieux. Ingénierie sociale : Sofacy a utilisé le récent crash aérien affectant Lion Air comme leurre dans l’une de leurs attaques — ce qui est un exemple de leur volonté permanente d’utiliser l’ingénierie sociale pour déployer leur malware.

Sofacy, l’ogre à données piratées

Depuis la fin du mois d’octobre 2018, Unit 42 a intercepté une série de documents vérolés en utilisant une technique qui fait appel à des modèles de mise en page distants contenant des macros dangereuses. Ce genre de document infecté n’est pas rare.

Les systèmes d’analyses automatisés ont plus de mal à les identifier comme dangereux en raison de leur nature modulaire. La particularité de cette technique est la suivante : si le serveur C2 (ou C&C pour Command and Control, le serveur utilisé par les cybercriminels pour finaliser l’infection et contrôler les machines infectées) n’est pas disponible au moment de l’exécution, le code malicieux ne peut être récupéré, et les documents délivrés sont alors sans danger.

Documents infectés

Ensuite, ces documents infectés ciblaient différentes agences gouvernementales à travers le monde, y compris en Amérique du Nord, en Europe, ou dans un des États de l’ancienne URSS. Heureusement, les serveurs C2 de plusieurs de ces documents étaient encore opérationnels, ce qui a permis de retrouver les macros dangereuses et les téléchargements qui y sont liés. L’analyse a révélé que le premier téléchargement lié était le cheval de Troie bien connu Zbrocy. D’autres données collectées ont dévoilé un deuxième téléchargement que l’Unit42 a surnommé « Canon ». Enfin, canon n’avait jusqu’ici pas encore agi via le groupe Sofacy, il contient une nouvelle voie de communication avec les serveurs C2 en passant par la messagerie électronique.

crash list(Lion Air Boeing 737).docx

Pour conclure, l’activité concerne plus précisément deux documents infectés bien spécifiques qui partage des données communes comme une adresse IP commun pour le serveur C2, un nom d’auteur commun, et des tactiques communes. Des données complémentaires ont révélé une campagne d’attaque importante associée avec le cheval de Troie Canon sur lequel l’Unit42 reviendra dans un prochain billet de blog. Un des aspects les plus intéressants des documents les plus récents utilisés par l’adversaire pour son infiltration était le nom du fichier : crash list(Lion Air Boeing 737).docx. Ce n’est pas la première fois qu’un groupe ennemi utilise les événements récents comme un leurre. Il est intéressant de voir que ce groupe essaie de miser sur des événements catastrophiques pour lancer leurs attaques. (U42)

Biométrie, Chiffrement, cryptage, Cybersécurité, Entreprise, IOT, Mise à jour, Securite informatique, Téléphonie

DeepMasterPrints : Des chercheurs réussissent à hacker des systémes biométriques

DeepMasterPrints : Des chercheurs de la New York University et de l’Université du Michigan ont trouvé le moyen de piéger des systèmes biométriques à partir de 6 000 empreintes digitales existantes.

DeepMasterPrints, le doigt dans l’œil de la biométrie. Des chercheurs (New York University et Université du Michigan) trouvent le moyen de piéger des systèmes biométriques. Comment ? à partir de 6 000 empreintes digitales existantes. Les étudiants ont créé à partir de ces 6 000 vraies empreintes, des empreintes digitales artificielles. Elles ont pu tromper les systèmes de sécurité proposés dans les ordiphones (smartphones). Une attaque baptisée « DeepMasterPrints ».

L’étude explique que les empreintes digitales inventées pour l’occasion font illusion une fois sur cinq. Leur « passe-partout » est capable d’usurper plusieurs personnes à la fois, alors que la biométrie est sensée être unique pour chaque individu. La société Counterpoint Research explique que 50% des smartphones vendus 2017 étaient équipés d’un systéme biométrique. 7 téléphones sur 10 seront « biométrie » d’ici la fin d’année 2018. Soit plus d’un milliard de téléphones portables intelligents.

La société expliquait l’année dernière que la fiabilité du capteur d’empreintes digitales était un problème majeur. « la plupart des capteurs d’empreintes digitales capacitifs sont faillibles.« . Cependant, avec les derniers capteurs d’empreintes digitales, avec une détection directe des doigts ou utilisant la technologie de détection par empreinte digitale à ultrasons pour créer une image 3D des empreintes digitales sont potentiellement plus efficace.

DeepMasterPrints

Pour fonctionner, les DeepMasterPrints tirent parti de deux propriétés des systèmes d’authentification par empreintes digitales. La première est que, pour des raisons ergonomiques, la plupart des lecteurs d’empreintes digitales ne lisent pas l’ensemble du doigt en même temps, mais plutôt la numérisation de la partie du doigt qui touche le scanner.

La seconde est que certaines caractéristiques des empreintes digitales sont plus courantes que d’autres. Cela signifie qu’une fausse empreinte contenant de nombreuses caractéristiques très communes est plus susceptible de correspondre à d’autres empreintes digitales que le pur hasard ne le laisserait penser.

Petites entreprises, grandes menaces : restez informés, restez protégés

Quitter la version mobile