Archives par mot-clé : pirate

Cybersécurité, Entreprise

Grande braderie chez les pirates d’accés aux entreprises

Ventes massives d’accès à des entreprises par des pirates informatiques proposant leurs infiltrations entre 100 et 150 000 euros.

Sur un forum Russe particulièrement connu dans la communauté des malveillants numériques, les ventes d’accès à des entreprises Américaines, Britanniques, Australiennes, Etc. se sont accélérés ces derniéres semaines. En cause ? Le besoin de liquidité par les pirates, la hausse des failles et des fuites orchestrées grâce au social engineering, le phishing en tête.

Sur une centaine de « messages » publicitaires mis en ligne dans ce forum, ces commerçants pas comme les autres proposent l’accès à une centaine d’entreprises d’une vingtaine de secteurs différents. Parmi ces secteurs, on retrouve la défense, les télécommunications, la santé, les médias et les services financiers, allant de la banque, en passant par des cabinets de comptables ou d’assurances.

Le blog ZATAZ, une référence en la matière d’actualité liée à la lutte contre cyber criminalité, expliquait, il y a peu, comment un pirate informatique commercialisait, pour 130 000€ l’accès à une entreprise japonaise spécialisée dans le high tech santé.

Un pirate commercialise l’accès à un groupe d’agences immobilières américaines. Une vente aux enchères.

Accéder à une radio pour diffuser des informations malveillantes

À titre d’exemple, acheter l’accès à un média peut permettre à un malveillant politique, mais il peut aussi s’agir de blackmarket comme j’ai pu vous le montre ici, de diffuser n’importe quel message de son choix, à l’antenne.

L’accès proposé dans ce forum pirate russophone parle « d’un accès privilégié à une station de radio américaine« . Si le pirate peut accéder à la programmation, aux fichiers MP3 des publicités, des jingles, des musiques, il pourrait y rajouter n’importe quel message de son choix.

Certaines ventes aux enchères, comme ici un accès « militaire », débutent à 800 $

Le prix varient de 100 à 150 000 euros, moins d’un tiers des offres sont proposées moins de 1 000 euros. L’accès le plus coûteux (soit 120 000 dollars) est lié à un réseau d’une grande maison de vente aux enchères mondialement connue. Selon le vendeur, l’acheteur de ce lot obtiendra un accès privilégié en tant qu’administrateur aux enchères d’articles de collection, notamment des violons Stradivarius et des voitures de collection.

Toujours dans les ventes « étonnantes », un important « shop » européen avec plus de 20 000 cartes de crédit piratées en stock a été mis en vente, avec un prix de départ de 60 000 dollars ou encore 6 000 numéros de cartes de crédit de canadiens, avec une validation de 50 %, sont proposés à la vente pour 10 000 dollars américains.

backdoor, Cybersécurité

Piratage : emplois via LinkedIn, attention danger !

Des hackers nord-coréens visent des spécialistes de la cybersécurité en leur proposant des emplois via LinkedIn.

Des experts ont remarqué que les pirates nord-coréens ont concentré leur attention sur les spécialistes de la sécurité de l’information. Les attaquants tentent d’infecter les chercheurs avec des logiciels malveillants dans l’espoir d’infiltrer les réseaux des entreprises pour lesquelles les cibles travaillent.

La première campagne date de juin 2022. Elle ciblait une entreprise technologique américaine. Ensuite, les pirates ont tenté d’infecter la cible avec trois nouvelles familles de logiciels malveillants (Touchmove, Sideshow et Touchshift).

Peu de temps après, il y a eu une série d’attaques contre les médias américains et européens par le groupe UNC2970. Une cyber attaque reliée par la société Mandiant à la Corée du Nord. Pour ces attaques, l’UNC2970 a utilisé des courriers électronique d’hameçonnage déguisés en offres d’emploi dans le but de contraindre leurs cibles à installer le logiciel malveillant.

Changement de tactique

Les chercheurs affirment que l’UNC2970 a récemment changé de tactique et est désormais passé de l’utilisation de phishing à l’utilisation de faux comptes LinkedIn prétendument détenus par les Ressources Humaines (RH). De tels récits imitent soigneusement l’identité de personnes réelles afin de tromper les victimes et d’augmenter les chances de succès de l’attaque.

Après avoir contacté la victime et lui avoir fait une « offre d’emploi intéressante », les attaquants tentent de transférer la conversation sur WhatsApp, puis utilisent soit le messager lui-même, soit un courriel pour livrer le logiciel piégé. Mandiant a appelée l’outil malveillant Plankwalk.

Plankwalk et d’autres logiciels malveillants du groupe utilisent principalement des macros dans Microsoft Word. Lorsque le document est ouvert et que les macros sont activées, la machine cible télécharge et exécute la charge utile malveillante à partir des serveurs des pirates (principalement des sites WordPress piratés).

En conséquence, une archive ZIP est livrée à la machine cible, qui contient, entre autres, une version malveillante de l’application de bureau à distance TightVNC (LIDSHIFT). L’un des documents utilisés usurpe l’identité du journal New York Times.

Etonnante méthode, donc, de penser que des spécialistes de la cybersécurité vont cliquer sur des fichiers inconnus ! (Mendiant)

Cybersécurité, Justice

Comment le Parti communiste chinois vole les travaux scientifiques

Des chercheurs de la société Avago, basée aux États-Unis et à Singapour, ont mis plus de 20 ans à développer une technologie capable d’améliorer les communications sans fil. Mais un employé a volé le fruit de leurs travaux au profit du gouvernement chinois. Les responsables américains voient dans ce vol un exemple de « l’approche extensive » du Parti communiste chinois qui consiste à voler des technologies et de la propriété intellectuelle. Son but ? Accroître sa puissance militaire et économique, et asseoir sa domination scientifique dans le monde.

La « fusion militaro-civile » s’inscrit dans cette logique. La FMC fait intervenir l’ensemble de la société : toutes les entreprises, toutes les personnes sont amenées à participer à la modernisation de l’armée chinoise, que ce soit en leur offrant des incitations, en les recrutant ou en leur forçant la main.

Voilà qui pose des problèmes considérables à tous ceux — universités, entreprises privées et pays — qui seraient prêts à travailler en collaboration avec leurs homologues chinois.

En mai, le président Trump a publié une proclamation visant à limiter la capacité du PCC à faire un usage abusif des visas d’étudiant pour acquérir indûment des technologies émergentes à l’appui de la FMC. En outre, les organes fédéraux d’application de la loi mènent plus d’un millier d’enquêtes sur le vol possible de technologies américaines, y compris pour les besoins de la FMC.

Le PCC a plusieurs cordes à son arc pour s’approprier les travaux de recherche d’autres pays. Il recrute des ressortissants chinois, paie secrètement des scientifiques étrangers pour qu’ils recréent leurs recherches en Chine et envoie des militaires à l’étranger en les faisant passer pour des civils. Le but est toujours le même : voler des technologies et des informations afin de faire progresser les objectifs militaires et de développement économique de la RPC.

Christopher Wray, le patron du FBI, a déclaré le 7 juillet que le PCC faisait « tout son possible pour exploiter l’ouverture » des démocraties afin de voler des données scientifiques.

Voici, par exemple, comment il s’y prend :

Le piratage d’entreprises étrangères

Dans un cas récent, deux pirates informatiques, en lien avec le ministère chinois de la Sécurité de l’État, ont ciblé des industries de haute technologie* dans 11 pays. Certaines développent des vaccins et des traitements contre la COVID-19.

Leur campagne de piratage, qui a duré plus de dix ans, a notamment ciblé les secteurs de la fabrication de haute technologie et de la défense ainsi que l’industrie pharmaceutique aux États-Unis, en Australie, en Allemagne, au Japon, en Espagne, en Corée du Sud, en Suède et au Royaume-Uni.

Le recrutement de citoyens chinois

En outre, pour faire avancer les objectifs militaires et de développement économique de la RPC, le PCC dispose de nombreux programmes de recrutement et de motivation de ressortissants chinois à l’étranger qui ont accès à des technologies et des informations sensibles.

Hongjin Tan, citoyen chinois et résident légal aux États-Unis, a postulé au programme de recrutement du PCC, le Plan des Mille Talents, et s’est engagé à « compiler » et à « absorber » la technologie américaine, a déclaré M. Wray.

Lorsqu’il a quitté son emploi dans une société pétrolière basée dans l’Oklahoma en décembre 2018, il a emporté des secrets industriels d’une valeur de plus d’un milliard de dollars. M. Tan a plaidé coupable de vol* et de transmission de secrets industriels, et a été condamné à 24 mois de prison.

En juin, Hao Zhang, un citoyen chinois de 41 ans, a été reconnu coupable d’espionnage économique* et de complot avec un ancien employé d’Avago, Wei Pang, en vue du vol de secrets industriels.

Les offres aux experts étrangers

Dans certains cas, Beijing a encouragé des scientifiques étrangers à recréer leurs recherches en Chine — alors qu’ils étaient financés simultanément par le gouvernement américain pour les mêmes travaux.

Selon des procureurs fédéraux, le programme des Mille talents du PCC s’est engagé à verser 50 000 dollars par mois à Charles Lieber, un chercheur à Harvard, et lui a accordé 1,5 million de dollars* pour établir un laboratoire de recherche à l’université de technologie de Wuhan. M. Lieber a accepté ce financement du gouvernement chinois sans les divulguer à Harvard ni à son bailleur de fonds, le département de la Défense, ce qui constitue une infraction aux règles et à la loi américaine.

M. Lieber est accusé d’avoir fait une déclaration fausse, fictive et frauduleuse.

Une enquête récente des Instituts nationaux de la santé (NIH) a révélé que 54 scientifiques ont été licenciés ou ont démissionné parce qu’ils n’avaient pas divulgué leurs liens financiers avec des gouvernements étrangers. Sur les 189 scientifiques visés par l’enquête, 93 % avaient des liens avec la RPC.

Yanqing Ye (FBI)

La dissimulation des affiliations militaires

Yanqing Ye, lieutenante dans l’Armée de libération du peuple, a envoyé des documents en Chine pendant qu’elle faisait des études dans la section de physique, chimie et génie biomédical de l’Université de Boston (BU), affirment des procureurs.

Elle s’est fait passer pour une étudiante sur sa demande de visa et a caché son affiliation militaire. L’un des chefs d’accusation retenus contre elle est d’être une agente d’un gouvernement étranger.

Communiqué de presse, Cybersécurité, Securite informatique

Cyberattaques DDoS et DNS : les opérateurs en première ligne

À n’en pas douter, nous allons continuer de subir des cyberattaques toujours plus nombreuses et sophistiquées. Dans ce contexte, les opérateurs sont aujourd’hui une cible de choix pour les pirates.

Cyber-attaques ! De manière générale, de nombreuses études estiment que les opérateurs sont confrontés à plusieurs milliers d’attaques chaque jour. Parmi ces dernières, se distinguent notamment les attaques DDoS, et plus particulièrement celles qui ciblent les infrastructures DNS.

Particulièrement préjudiciables, elles peuvent fortement impacter la disponibilité de leurs services et donc par ricochet ceux de leurs clients… Il est donc plus que jamais nécessaire que les opérateurs, et pas uniquement les acteurs importants, prennent ces sujets à bras le corps. Ils doivent mettre en place des moyens leur permettant de lutter contre ces menaces.

Comment faire pour prendre les bonnes orientations face à des cyberattaques

Pouvoir identifier instantanément. Isoler les flux malveillants ciblant un service. Préserver l’écoulement des flux légitimes. Pour ce faire il faut détecter les anomalies protocolaires, comportementales, et celles des sessions applicatives. La neutralisation des flux malveillants doit s’appuyer sur une logique de « filtrage intelligent » qui permet de protéger les systèmes d’information tout en préservant les utilisations légitimes et la continuité de service globale.

Au-delà des fonctions de filtrage, il est aussi nécessaire de bénéficier de statistiques détaillées d’usage de ses services, identifiant les sources malveillantes. L’ensemble de ces informations doit être consultable en temps réel ainsi qu’au travers d’alertes spécifiques. Enfin, il faut répondre au besoin de l’exploitant de consulter des rapports d’incidents ou des tableaux de bord périodiques.

La poussée du Cloud et des nouveaux usages, autant de vulnérabilités

Avec la forte poussée du Cloud et l’externalisation du SI hors des murs de l’entreprise, et notamment chez les opérateurs, les attaques vont continuer de gagner en force et en fréquence. Nous pouvons également ajouter à ces éléments l’émergence de nouveaux usages et applications éphémères qui viennent créer de nouveaux challenges pour les sécuriser contre les attaques DDoS. Nous sommes donc dans une situation où les opérateurs sont des cibles centrales et parfois vulnérables.

L’état d’urgence de la sécurisation des SI et plateformes des opérateurs est donc un axe majeur à prendre en compte. C’est à cette condition qu’il sera possible de lutter efficacement contre les attaques DDoS qui sont parmi les plus contraignantes et gênantes pour l’ensemble des entreprises. (par Fabrice Clerc, C.E.O de 6cure)

BYOD, Cyber-attaque, Cybersécurité, DDoS, Entreprise, IOT, Piratage, Propriété Industrielle, Securite informatique

Prison pour un vendeur de DDoS

Un tribunal de Londres vient de condamner un pirate informatique Israélo-Britannique. Il vendait des attaques de DDoS.

Daniel Kaye, 30 ans, qui se faisait appeler dans l’underground « BestBuy » et « Popopret » vient d’écoper de deux ans et huit mois de prison ferme pour avoir lancé des attaques de type DDoS. Des Dénis Distribués de Service qui ont visé, entre autres, Lonestar Cell MTN, une société de télécommunication basée au Libéria.

Des DDoS qui ont perturbé l’Internet du pays et aurait causé des dizaines de millions de dollars de dommages.

Pour réussir ses malveillance, Popopret a exploité le botnet malveillant Mirai. Parmi les autres cibles de ce pirate : Lloyds Bank, Bank of Scotland et la banque Barclays.

Mirai comme arme numérique

À partir de septembre 2016, Kaye a utilisé son propre réseau de robots Mirai, constitué d’un réseau de caméras de sécurité Dahua infectées, pour mener des attaques sur Lonestar.

En novembre 2016, le trafic généré par le botnet de Kaye était si important que l’accès Internet à travers le Libéria a été totalement désactivé.

Un mandat d’arrêt européen a été émis contre Kaye et à son retour au Royaume-Uni en février 2017, il a été arrêté par des agents de la NCA. Il sera dans la foulée extradé à la demande de l’Allemagne. Il sera condamné à de la prison avec sursis pour des attaques similaires à l’encontre de Deutsche Telekom (novembre 2016).

Embauché par un concurrent !

Selon la National Crime Agency (NCA), les cyber-limiers du Royaume-Uni, Kaye a été embauché par un concurrent de Lonestar, Cellcom. Contre de l’argent, Daniel Kaye a lancé de multiples blocages.

C’est à la suite de sa condamnation allemande que Popopret a été extradé au Royaume-Uni. Kaye aurait commercialisé son réseau à d’autres pirates. Le pirate était aussi un utilisateur de stresser pour commercialiser ses actions malveillantes.

Communiqué de presse, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Logiciels, Microsoft, Mise à jour, Patch, Piratage, Securite informatique

Une exploit 0-Day pour Internet Explorer utilisée in the wild

Un commentaire

Fin avril 2018, un exploit inconnu jusqu’alors détécté. Après analyse, il s’avère que cet exploit utilise une vulnérabilité zero-day CVE-2018-8174 pour Internet Explorer. L’exploit a été utilisé dans des attaques ciblées. Depuis le 8 mai, Microsoft propose la contre-mesure de sécurité.

Il est intéressant de noter que l’exploit Internet Explorer a été téléchargé au sein d’un document Microsoft Word. C’est la première fois que l’on note l’utilisation d’une telle technique. A noter également qu’une version de Microsoft Word entièrement patchée a été exploitée avec succès. Après cette découverte, Microsoft diffuse un patch disponible ici, depuis mardi 8 mai.

Un exploit est une forme de logiciel qui se sert des bugs ou des vulnérabilités d’autres logiciels pour infecter des victimes avec un code malveillant. Les exploits sont utilisés très largement par les cybercriminels à la recherche de profits mais aussi par des acteurs plus sophistiqués, qui disposent de soutiens étatiques, dans un but malveillant.

Dans ce cas particulier, l’exploit identifié se base sur le code malveillant exploitant la vulnérabilité zero-day – un bug typique « use-after-free » quand un code exécutable légitime, comme celui d’Internet Explorer, comporte une logique de traitement de la mémoire incorrecte. Cela conduit à la communication d’un code avec de la mémoire disponible. Alors que dans la plupart des cas, cela débouche sur un simple crash du navigateur, l’exploit permet aux attaquants de prendre le contrôle de l’appareil.

Des analyses approfondies de l’exploit ont permis de mieux comprendre la chaine d’infection :

  • La victime reçoit un document Microsoft Office RTF malveillant
  • Après avoir ouvert le document malveillant, la seconde phase de l’exploit est téléchargée – une page HTML avec un code malveillant
  • Le code déclenche un bug UAF de corruption de la mémoire
  • Le shellcode qui télécharge la charge malveillante est alors exécuté.

« Cette technique, jusqu’à ce qu’elle soit corrigée, permettait aux criminels de forcer le chargement d’Internet Explorer, peu importe le navigateur habituellement utilisé par la victime. Cela démultiplie le potentiel de l’attaque, pourtant déjà énorme. Heureusement, la découverte proactive de la menace a permis à Microsoft de sortir un patch correctif dans les temps. Nous invitons les organisations et utilisateurs à installer les patchs les plus récents immédiatement après leur disponibilité, car il ne faudra pas beaucoup de temps avant que les exploits de cette vulnérabilité ne trouvent leur place dans des kits d’exploits populaires et soient utilisés non seulement par les acteurs de menaces sophistiqués, mais également par des cybercriminels de plus petit calibre », explique Anton Ivanov, Security Researcher, Kaspersky Lab

APT, backdoor, Communiqué de presse, Cyber-attaque, Cybersécurité, Leak, Mise à jour, Piratage, Securite informatique

Infy : Prince of Persia persiste et signe

En février 2017, l’Unit42, unité de recherches de Palo Alto Networks a observé une évolution du malware “Infy” que nous avons appelée « Foudre ». Les acteurs concernés semblent avoir tiré les enseignements suite à notre démantèlement et notre sinkholing (redirection vers un serveur que nous contrôlons) de leur infrastructure de commande et de contrôle (C2). En effet, Foudre intègre désormais de nouvelles techniques anti-démantèlement censées éviter que ses domaines C2 ne soient détournés vers un site sinkhole comme nous l’avions fait en 2016.

L’Unit42 a documenté ses travaux de recherche originels sur cette campagne vieille de dix ans en utilisant le malware Infy en mai 2016. Un mois après la publication de ces travaux, l’Unit42 a donné une description détaillée de notre démantèlement et de notre sinkholing des serveurs C2 de l’acteur. En juillet 2016, au congrès Blackhat U.S.A, Claudio Guarnieri et Collin Anderson ont présenté des preuves montrant qu’un sous-ensemble des domaines C2 redirigés vers notre sinkhole avaient été bloqués par falsification DNS et filtrage HTTP par la Telecommunication Company of Iran (AS12880), empêchant l’accès depuis le territoire national iranien à notre sinkhole.

Voici les modifications apportées au malware dans ce blog post dédié, quelques informations et précisions ci-dessous. L’Unit42 en profite également pour mettre en avant certaines erreurs courantes, et explique comment elle les a exploitées pour en savoir plus sur cette campagne.
Cartographie des victimes

L’Unit42 avait prévu l’un des noms de domaine DGA et l’avait enregistré avant que l’adversaire ne puisse le faire.

Les victimes ont tenté de se connecter à un C2 dans ce domaine, mais, ne possédant pas la clé privée RSA, l’Unit42 n’a pas pu vérifier son domaine auprès d’elles. Cependant, elle a pu établir une cartographie géolocalisant les victimes à l’aide de GeoIP (voir pièce jointe).

On remarque la prépondérance des victimes sur le territoire national iranien, ce qui rappelle fortement les campagnes d’Infy. Les attaques menées contre les États-Unis et l’Irak sont aussi familières. Ici encore, le très petit nombre de cibles fait penser à une motivation non financière.

L’une des victimes en Irak utilise une adresse IP dans le même réseau de classe C que l’une des victimes Infy déjà observées, ce qui laisse à penser que l’adversaire cible la même organisation, voire le même ordinateur.

Même si, en l’absence de la clé privée RSA, l’Unit42 n’a pas réussi à établir la communication avec les victimes, elle a découvert qu’en envoyant un fichier de signature non valide à la victime, du fait de l’absence de validation en entrée du contenu/de la taille de ce fichier, elle arrive à faire échouer le processus rundll32 qui exécute la DLL malveillante de Foudre. Cela permet de désactiver l’infection jusqu’à ce que la victime réinitialise sa machine.
Conclusion

Dans son post, blog Prince of Persia, l’Unit42 avait indiqué que cette campagne durait depuis au moins une dizaine d’années. Ainsi, elle a poursuivi le sujet avec son blog Prince of Persia: Game Over, qui documente son démantèlement et son sinkholing de l’infrastructure C2 de l’adversaire.

En ce qui concerne les actions de la Telecommunication Company of Iran en vue d’empêcher les C2 d’être redirigés vers notre sinkhole, Guarnieri et Anderson font observer que « la politique de filtrage indique que les autorités iraniennes sont intervenues spécialement pour bloquer l’accès aux domaines de commande et de contrôle d’une campagne d’intrusion visant l’État, au niveau national. »

L’Unit42 s’attend à voir Infy faire son retour : dans les grandes lignes, ce sera toujours le même malware, ciblant les mêmes victimes.

Les acteurs ont compris qu’ils avaient besoin d’une infrastructure C2 plus robuste pour empêcher l’infiltration et le démantèlement. L’algorithme DGA apporte une dose de résilience, mais n’est pas invulnérable à un démantèlement.

Toutefois, l’utilisation de la signature numérique constitue un dispositif de défense contre un C2. Sans accès aux clés privées, il n’est pas possible d’usurper l’identité d’un C2 même si un domaine DGA est enregistré par un chercheur. Il se peut que les clés privées résident localement sur le serveur C2, mais sans accès au C2, nous ne pouvons pas confirmer cette vulnérabilité potentielle de leur infrastructure.

Décidément, Prince of Persia persiste et signe.

Base de données, Cybersécurité, Emploi, Entreprise, Fuite de données, Propriété Industrielle, Securite informatique

2 employés sur 10 pirateraient leur entreprise

21 % des employés de bureau britanniques pirateraient leur entreprise s’ils avaient les compétences requises. Une enquête révèle les informations susceptibles d’être piratées par les employés : leurs salaires, leurs jours de congés, les commérages, les informations RH sensibles.

L’entreprise CyberArk, spécialiste de la protection d’organisations face aux cyberattaques ayant réussi à pénétrer dans le périmètre réseau, a dévoilé les résultats d’une enquête révélant ce que les employés feraient s’ils étaient capables d’accéder anonymement aux données sensibles de leur entreprise, notamment les salaires, les jours de congé ou des informations confidentielles liées aux ressources humaines. Ce sondage rappelle l’importance de contrôler les accès aux comptes à privilèges, afin d’éviter que les cyber-pirates internes et externes ne puissent obtenir un accès libre et illimité aux actifs les plus précieux de l’entreprise.

Cette enquête, réalisée auprès de 1 000 employés de bureau britanniques dans des entreprises de plus de 250 salariés, révèle que les informations les plus convoitées sont le salaire des collègues (26 %), les conversations à leur sujet (22 %) et des informations sensibles détenues par les RH (20 %). Si les employés pouvaient modifier des informations dans le système de leur entreprise sans encourir de risque, près d’un tiers (31 %) s’accorderait une augmentation de salaire, et près d’un employé sur cinq (19 %) s’octroierait des jours de congé supplémentaires.

« Les équipes de sécurité savent depuis longtemps que l’une des techniques les plus prisées des hackers souhaitant accéder à des données critiques consiste à se faire passer pour un utilisateur légitime, et à exploiter des identifiants à privilèges pour se déplacer latéralement dans un réseau et pour effectuer une reconnaissance sans être détecté virtuellement, explique Matt Middleton-Leal, Vice-Président Régional pour le Royaume-Uni, l’Irlande et l’Europe du Nord chez CyberArk. Si cette enquête révèle les méfaits que les employés pourraient perpétrer en l’absence de contrôles adéquats, elle rappelle avant tout que les menaces internes, ou les pirates se faisant passer pour des collaborateurs internes, représentent pour chaque organisation l’une des principales menaces de sécurité actuelles. »

La bonne nouvelle pour les employeurs britanniques est que la plupart des employés interrogés sont satisfaits de leur emploi actuel et n’ont donc pas d’envie et ne pirateraient leur entreprise que dans leurs rêves ! Cependant, les personnes très mécontentes seraient deux fois plus enclines à exploiter les données de leur entreprise, comparé à leurs collègues très satisfaits (61 % contre 29 %). Après s’être alloué des avantages salariaux plus avantageux (33 %) et avoir recherché les anecdotes croustillantes de bureau à répandre (27 %), les employés mécontents choisiraient de dévoiler les pratiques douteuses et frauduleuses de leur entreprise (20 %) et de dénoncer les membres malhonnêtes ou fainéants de leur organisation (18 %).

La principale raison pour laquelle les employés ne piratent pas les ordinateurs de leur employeur repose sur la croyance que cela n’est pas moral (40 %). Toutefois, un peu plus d’un quart des interrogés (27 %) affirme que les répercussions, s’ils sont pris, sont rédhibitoires, et une personne sur cinq (21 %) invoque son manque de compétences techniques. Ceci suggère que bon nombre d’employés seraient tentés d’accéder ou d’exploiter des données d’entreprise s’ils savaient comment agir sans être attrapés.

Que feraient les employés s’ils étaient sûrs de ne pas être pris ? Ils pirateraient leur entreprise !

Plus de la moitié (51 %) des interrogés déclarent qu’ils seraient prêts à s’immiscer dans les systèmes ou les comptes en ligne d’autres entreprises, mais uniquement s’ils étaient certains de ne pas être repérés. Il pirateraient leur entreprise sans problème ! Les réponses les plus courantes ont trait à des avantages personnels, comme par exemple augmenter son nombre de jours de congé (23 %), transférer des fonds sur son propre compte bancaire (23 %), faire du shopping en ligne sans rien débourser (20 %) et rembourser son emprunt (14 %). Certains affichent également des réactions plus politiques, en indiquant par exemple qu’ils bloqueraient les activités de certaines entreprises immorales (14 %), rechercheraient des renseignements nationaux confidentiels (11 %) ou modifieraient certaines lois (5 %).

« Les cybercriminels se montrent de plus en plus agressifs dans leurs attaques, raison pour laquelle celles-ci causent des dommages plus rapidement qu’auparavant, comme ce fut le cas avec le ransomware WannaCry, poursuit Matt Middleton-Leal. Les pirates sont de plus en plus doués et parviennent à se dissimuler derrière des identifiants valides afin d’opérer sans être décelés et stoppés. C’est pourquoi les entreprises doivent être plus vigilantes que jamais afin de pouvoir surveiller et bloquer l’activité des personnes internes mal intentionnés et ainsi protéger leurs données les plus sensibles. »

Hacking

Un pirate russe recherché par le gouvernement Américain arrêté à Prague

Le pirate informatique du réseau Linkedin, en 2012, aurait été arrêté à Prague. Il serait aussi à l’origine des attaques informatiques à l’encontre de la Convention Nationale Démocrate.

Tiens donc ! Elle est ou cette super mega armée de pirates informatiques, à la solde de la Russie, s’attaquant à l’informatique de l’Oncle Sam. A première vue, et comme dans la majorité des cas, cette cyber armée est forte… de quelques adolescents. Dans la nuit du 18 octobre dernier, un pirate informatique russe a été arrêté à Prague par la police tchèque.

Une arrestation en coopération avec le FBI, le Federal Bureau of Investigation. Le suspect serait impliqué dans les cyber-attaques menées contre des cibles aux États-Unis, et notamment dans les hacks de la Convention Nationale Démocrate. L’individu est également soupçonné d’être responsable des attaques massives contre le réseau social professionnel LinkedIn en 2012. « Même les pirates de renom font des erreurs, et il est parfois possible pour les autorités de les pister jusqu’à leur adresse IP d’origine. Puisque ce pirate informatique était prétendument impliqué dans une série d’attaques sur des systèmes de base de données électorales en Arizona et dans l’Illinois plus tôt cette année, il aurait pu être suivi à travers les journaux d’accès aux serveurs. » indique l’un des enquêteurs.

Si les pirates ont utilisé un proxy dans l’attaque, les autorités auraient pu collaborer avec les victimes propriétaires des ordinateurs hébergeant ce serveur mandataire, et obtenir ainsi l’accès aux informations qui y étaient stockées. Par ailleurs, après avoir déterminé l’adresse IP du pirate, les autorités auraient pu également demander au fournisseur de service internet le nom de l’utilisateur. Puis, une fois le suspect transféré dans un pays coopérant avec le gouvernement Américain, les autorités locales auraient été en mesure d’arrêter le pirate. (Michal Salat, Directeur du Service de Renseignements sur les Menaces Informatiques chez Avast)

Chiffrement, cryptage, Cybersécurité, Mise à jour, Patch

Contrer les cyber menaces qui ont le vent en poupe

Entre malware, vols de mots de passe et hameçonnage, les menaces en ligne sont de plus en plus nombreuses et sophistiquées. Les experts révèlent d’ailleurs que le marché des logiciels de cyber-sécurité génèrera près de 7 milliards de dollars en Europe de l’Ouest d’ici 2020, en partie pour contrer la multiplication des attaques.

Toutefois, bien que les utilisateurs puissent compter sur des outils performants, la sensibilisation et la vigilance peuvent également aider à éviter certaines menaces présentes sur le web. Les cyber risques prennent différentes formes et sont conçus pour piéger les gens. C’est pourquoi il est impératif de prendre de bonnes habitudes préventives contre certaines attaques répandues. De cette façon, les internautes peuvent apprendre à reconnaitre les menaces et ainsi réduire les risques de se faire pirater.

« L’expansion des technologies nous incite à utiliser davantage les services en ligne au quotidien : effectuer un virement depuis notre compte bancaire, réserver un billet d’avion ou encore télécharger une application, commente Par Michal Salat, Directeur du Service de Renseignements sur les Menaces Informatiques chez Avast. Tout cela est bien pratique, mais expose aussi davantage l’utilisateur aux attaques s’il n’est pas attentif et n’applique pas quelques bonnes pratiques pour se protéger.« 

Attention aux données partagées publiquement
Les nombreuses plateformes de réseaux sociaux nous poussent à mettre en avant nos moments de joie, nos sentiments, les endroits dans lesquels nous sortons et les personnes que nous fréquentons. Alors que ce sont des choses agréables à partager avec nos amis et notre famille, ces informations peuvent devenir dangereuses en tombant entre de mauvaises mains. Les hackers sont en mesure de collecter les données personnelles exposées publiquement qui leur permettront non seulement d’en savoir le plus sur nous, mais également de deviner un mot de passe ou de personnaliser des attaques ciblées. Par exemple, les utilisateurs ne se méfient pas lorsqu’ils révèlent qui ils sont sur Facebook, mais ils oublient à quel point il est facile de trouver le nom de jeune fille de leur mère – qui est souvent une question posée lorsque l’on veut réinitialiser son mot de passe. C’est pourquoi il faut absolument faire attention au type d’informations personnelles que nous mettons en ligne, aux personnes que nous autorisons à voir ces données que nous postons et éviter de poster celles qui pourraient permettre aux hackers de « deviner » nos identifiants et s’en servir à des fins malhonnêtes. Pour limiter ce risque, les utilisateurs doivent tout d’abord régulièrement vérifier les paramètres « vie privée » de leurs réseaux sociaux et savoir exactement qui voit leurs posts. De plus, les utilisateurs doivent s’efforcer de choisir des mots de passe aléatoires, longs, complexes, et composés de lettres, de chiffres et de caractères spéciaux. Il est également conseillé de créer un mot de passe différent pour chaque compte et de les changer régulièrement.

Les arnaques au phishing
Cette tactique, qui découle directement de l’ingénierie sociale, est fréquemment utilisée par les hackers. Une fois que le pirate a récolté des informations personnelles, il peut créer des arnaques si personnalisées qu’elles trompent facilement la confiance des utilisateurs. En utilisant ces données ainsi que les codes visuels d’organisations telles que les banques, les pirates cherchent en général à accéder aux comptes bancaires, ou encore à infecter les appareils dans le but d’obtenir les informations de connexion et de dérober de l’argent. La première chose fondamentale dont il faut se rappeler est que la majorité des organismes officiels et notamment les établissements bancaires ne demandent jamais à leurs clients d’envoyer leurs identifiants ou mots de passe par email. Par ailleurs, si le message contient un lien ou un fichier suspect, dans le doute, mieux vaut ne pas les ouvrir, supprimer immédiatement l’email par précaution et se renseigner auprès d’interlocuteurs fiables afin de vérifier de vive voix ce qu’il en est réellement.

Des logiciels malveillants bien trop présents
En termes de menaces en lignes, les malwares sont également légions. Ils sont partout, dans les sites web piratés, les publicités, les démos de jeux, des photos ou encore des fichiers musicaux frauduleux. Les hackers utilisent ces malwares à de nombreuses fins, mais principalement par appât du gain. La méthode ransomware est très populaire en ce moment, et surtout la pire de toutes ! Une fois qu’ils ont infiltré le système, les cybercriminels accèdent aux informations personnelles, chiffrent ces données ou verrouillent complètement l’appareil et demandent une rançon à la victime pour les rendre de nouveau accessibles. Pour s’en préserver, deux astuces imparables : ne pas ouvrir de pièces jointes ou de liens provenant d’expéditeurs inconnus et télécharger des jeux, musiques et autres applications depuis des sites officiels uniquement. Il est également impératif de s’équiper d’outils capables de détecter et de supprimer les malwares, et de mettre régulièrement à jour son antivirus, son routeur ou sa box Wifi, ainsi que les systèmes d’exploitation de ses appareils afin de mettre toutes les chances de son côté pour ne pas tomber dans les pièges.

C’est une chance d’avoir accès à des solutions de sécurité de qualité, mais ce n’est malheureusement pas toujours suffisant. Prendre l’habitude de suivre ces quelques conseils peut faire toute la différence et permettre de protéger ses données personnelles mais également de préserver ses deniers !

Chiffrement, cryptage, Cybersécurité, Entreprise, Mise à jour, ransomware, Social engineering

Le ransomware : une histoire de business criminel

Le ransomware est un modèle économique criminel, et non un problème de malware.

L’Unité 42 publie sa dernière analyse en date sur les ransomware, qui représentent l’une des cybermenaces les plus sérieuses auxquelles sont aujourd’hui confrontées les entreprises aux quatre coins du monde. Véritable modèle économique, le ransomware, ou rançongiciel, se révèle extrêmement efficace pour enrichir les cybercriminels tout en causant un préjudice opérationnel significatif aux entités touchées. Il ne fait pas de distinction entre ses victimes, sévit partout dans le monde et frappe les principaux marchés verticaux. Petites structures, grandes entreprises, particuliers : tous sont des cibles potentielles.

Si les rançongiciels existent, sous diverses formes, depuis plusieurs décennies, les criminels en ont perfectionné les principaux aspects au cours de ces trois dernières années. Résultat : les nouvelles familles de malware se sont multipliées, rendant cette technique particulièrement redoutable, et de nouveaux acteurs prennent aujourd’hui part à ces procédés très lucratifs.

Pour mener à bien une attaque de ce type, un pirate doit se conformer à la procédure suivante :
1.     Prendre le contrôle d’un système ou d’un équipement.
2.     Empêcher le propriétaire de l’équipement contrôlé d’y avoir accès, en partie ou en totalité.
3.     L’avertir que l’accès à son équipement lui sera restitué, moyennant le versement d’une rançon, et lui préciser les modalités de règlement de celle-ci.
4.     Accepter le paiement effectué par le propriétaire de l’équipement.
5.     Restituer au propriétaire un accès intégral à son équipement une fois le paiement perçu.

Si le pirate néglige l’une de ces étapes, il ne parviendra pas à ses fins. Bien que le concept de ransomware existe depuis plusieurs décennies, la technologie et les techniques requises pour s’acquitter de ces cinq étapes à grande échelle étaient encore inaccessibles il y a quelques années. La déferlante d’attaques imputables à l’exploitation de cette procédure a eu des répercussions sur les entreprises du monde entier qui, pour nombre d’entre elles, n’étaient pas préparées à les esquiver.

Multiplication des plates-formes
Les rançongiciels ont d’ores et déjà migré de Windows à Android, et un cas sous Mac OS X a été recensé. Aucun système n’est à l’abri de ce genre d’attaques, et tout équipement susceptible d’être détourné pour faire l’objet d’une demande de rançon sera une cible à l’avenir. Ce phénomène s’affirmera encore avec l’essor de l’Internet des objets (IoT). Si un pirate est en mesure d’infecter un réfrigérateur connecté à Internet, peut-être est-il plus délicat de monnayer cette intrusion. Pourtant, le modèle économique du ransomware peut s’appliquer à ce cas de figure, et plus largement, à partir du moment où le pirate est en mesure de s’acquitter des cinq étapes citées pour mener à bien ce type d’attaque. Une fois le réfrigérateur infecté, le pirate en question pourrait parfaitement désactiver à distance le circuit de refroidissement et ne le réactiver qu’en contrepartie d’un petit pécule versé par la victime.

Rançons très élevées
Dans le cadre d’attaques mono systèmes de type ransomware, des rançons allant de 200 à 500 $ sont exigées, mais les montants peuvent être nettement plus élevés. Si des pirates réalisent avoir compromis un système stockant de précieuses informations, et que l’entité infectée a les moyens de payer, ils reverront à la hausse le montant de leurs exigences. Nous avons d’ores et déjà constaté ce phénomène avec plusieurs attaques ultra-médiatisées dirigées contre des hôpitaux en 2016 : les rançons acquittées dépassaient largement les 10 000 $.

Attaques ciblées avec demande de rançon
Une intrusion ciblée sur un réseau s’avère intéressante pour un pirate à plus d’un titre. La revente ou l’exploitation d’informations dérobées est une technique usuelle, mais qui nécessite souvent une infrastructure « back-end » supplémentaire et des préparatifs pour pouvoir les monnayer. Les attaques ciblées avec ransomware représentent un réel potentiel pour ces pirates susceptibles de ne pas savoir comment autrement monétiser leur intrusion. Une fois le réseau infiltré, rien ne les empêche d’isoler des fichiers très lucratifs, bases de données et systèmes de sauvegarde, puis de crypter simultanément l’ensemble de ces données. De telles attaques, qui font appel au logiciel malveillant SamSa, ont d’ores et déjà été observées et se sont révélées très rentables pour les adversaires les exécutant.

Argent, Banque, Bitcoin, Cybersécurité, Justice, Particuliers

Pirate de données bancaires arrêté en Pologne

Un pirate de données bancaires Polonais, recherché depuis 6 mois, arrêté après avoir volé plus de 100.000 €. Il en avait 800.000 en réserve.

Selon les autorités polonaises, Mateusza C., un internaute de 35 ans originaire de Varsovie, est accusé de piratage bancaire. Lui et un complice [Polsilverem], ce dernier a été arrêté en octobre 2015, auraient réussi à s’infiltrer dans des banques locales pour orchestrer des virements illicites. 100.000 euros ont pu être dérobés et transformés en bitcoin, la crypto monnaie. Les pirates avaient encore la main sur 800.000 euros qu’ils n’ont pu transférer. Connu sur la toile sous le pseudonyme de Pocket, le pirate risque 10 ans de prison. Pendant ce temps, en Russie, le gouvernement de Vladimir Poutine se penche à punir les utilisateurs « malveillants » de Bitcoin. Des peines d’amendes et de prisons sont proposés dans une loi qui doit être votée le mois prochain.

Argent, Arnaque, backdoor, Base de données, Chiffrement, Cyber-attaque, Cybersécurité, Entreprise, Fraude au président, Fuite de données, Leak, Particuliers, Piratage, pourriel, Social engineering, spam

Poseidon : un groupe de pirates informatiques opérant sur terre, dans les airs et en mer

Poseidon, une campagne de piratage ciblant des établissements financiers ainsi que des opérateurs de télécommunications, des fabricants, des compagnies d’énergie et des groupes médias. La France visée par l’attaque.

L’équipe GREaT (Global Research & Analysis Team) de Kaspersky Lab annonce la découverte du groupe Poseidon, une menace avancée active dans des opérations internationales de cyber espionnage depuis au moins 2005. L’originalité de Poseidon est qu’il s’agit d’une entité commerciale, dont les attaques font appel à des malwares personnalisés, signés numériquement avec des certificats pirates et déployés dans le but de dérober des données sensibles aux victimes et de les racketter. En outre, le malware est conçu pour fonctionner spécifiquement sur les machines Windows en anglais et en portugais brésilien, une première pour une attaque ciblée.

Au moins 35 entreprises victimes ont été identifiées, les principales cibles étant des établissements financiers et des administrations, des opérateurs de télécommunications, des fabricants, des compagnies d’énergie et d’autres réseaux de services collectifs, ainsi que des groupes médias et des agences de relations publiques. Les experts ont également détecté des attaques contre des sociétés proposant leurs services à des cadres supérieurs. Les victimes du groupe Poseidon se trouvent dans les pays suivants :

  • Etats-Unis
  • France
  • Kazakhstan
  • Emirats Arabes Unis
  • Inde
  • Russie

Cependant, la répartition des victimes penche très nettement vers le Brésil, où bon nombre d’entre elles réalisent des opérations via des joint-ventures ou des partenaires.

L’une des caractéristiques du groupe Poseidon réside dans l’exploration active des réseaux d’entreprise sur la base des noms de domaine. Selon le rapport d’analyse consulté par DataSecurityBreach.fr, Poseidon recourt à des e-mails de spear-phishing accompagnés de documents RTF/DOC, comportant généralement un appât sur le thème des ressources humaines, qui installent un fichier binaire malveillant dans le système cible lorsque le destinataire clique dessus. Un autre trait marquant est la présence de chaînes de caractères en portugais du Brésil. La prédilection du groupe pour les systèmes lusophones, comme le révèlent les échantillons, est une pratique inédite.

Une fois un ordinateur infecté, le malware rend compte à des serveurs de commande et de contrôle, avant d’entamer une phase complexe de déplacements latéraux à l’intérieur du réseau de l’entreprise. Cette phase fait souvent intervenir un outil spécialisé qui collecte automatiquement et systématiquement un grand nombre d’informations (identifiants, règles de sécurité, voire journaux système) afin de mieux cibler les attaques suivantes et d’assurer la bonne exécution du malware. De la sorte, les auteurs des attaques savent quelles applications et commandes utiliser sans alerter l’administrateur du réseau pendant leur exploration et leur exfiltration.

Les informations rassemblées sont ensuite exploitées par une organisation de façade pour racketter les entreprises victimes en les contraignant à engager Poseidon comme consultant en sécurité, sous peine de voir utiliser les informations dérobées dans une série de transactions louches au profit du groupe.

« Le groupe Poseidon est une équipe de vétérans intervenant sur tous les théâtres d’opérations : terre, air et mer. Certains de ses centres de commande sont implantés chez des fournisseurs d’accès Internet desservant des navires en mer, des connections sans fil ou encore des opérateurs classiques », commente Dmitry Bestuzhev, Directeur de l’équipe GREaT de Kaspersky Lab en Amérique latine. « En outre, plusieurs de ses implants présentent une durée de vie très courte, ce qui a permis à ce groupe de sévir aussi longuement sans se faire repérer. »

Le groupe Poseidon étant en activité depuis au moins 10 ans, les techniques de conception de ses implants ont évolué, ce qui complique pour de nombreux chercheurs la mise en corrélation des indicateurs et l’assemblage des pièces du puzzle. Cependant, en réunissant soigneusement tous les indices, en étudiant la signature de la menace et en reconstituant la chronologie des attaques, les experts ont pu établir vers la mi-2015 que des traces détectées précédemment mais non identifiées appartenaient bien à la même menace, c’est-à-dire le groupe Poseidon.

Base de données, BYOD, Chiffrement, Cybersécurité, Entreprise, IOT, Sauvegarde, Social engineering

Un ours et une montre connectés diffusaient les infos privées des enfants

Les objets connectés, véritable plaie pour nos vies privées. Un nouvel exemple avec l’ours connecté Smart Bear de Fisher-Price, et une montre connectée pour les moins de 12 ans.

Le fabriquant de jouets Fisher-Price vient de corriger une fuite de données concernant un de ses jouets connecté, l’ours Smart Bear. Comme pour Vtech, plusieurs failles avaient été découvertes entre l’application connectée, l’ours et le serveur de gestion des données enregistrées par les parents/enfants. A la différence de Vtech, aucun pirate n’a été se servir dans les données.

La fuite, découverte par Rapid7, n’en n’était pas moins inquiétante. Dans les données qu’un malveillant aurait pu intercepter : l’identité et la date de naissance de l’enfant, son sexe et la langue parlait. Il y a de forte chance que l’ensemble des informations enregistrées étaient accessibles.

Toujours dans la grande famille des objets connectés, le GPS HereO avait un problème avec sa plateforme de gestion des données envoyées par la montre destinée aux 3-12 ans. Ici aussi, les données pour les enfants étaient accessibles. Faille corrigée.

Bref, parents, arrêtez de rentrer les vraies informations de vos enfants sur Internet ou via ces jouets connectés. Vous créez une identité numérique de votre môme que vous ne pourrez plus contrôler.

BYOD, Cloud, Cyber-attaque, Cybersécurité, Entreprise, Espionnae, Leak, Logiciels, Microsoft, Particuliers, Piratage, Social engineering

Dropbox utilisé par des pirates Chinois

Des pirates Chinois utiliseraient DropBox dans leurs attaques informatiques. Loin d’être une nouveauté, Dropbox est apprécié par les malveillants pour sa simplicité « cloudesque » !

La société américaine FireEye a annoncé avoir découvert une nouvelle attaque phishing lancée par un groupe de pirates Chinois. Ces derniers, comme des pirates que zataz a pu vous indiquer provenant d’Afrique ou de plusieurs pays de l’Est, utilisent Dropbox dans leur attaque.

Ces pirates utilisent le service de stockage pour sauvegarder leurs outils malveillants. Ils diffusent ensuite les liens Dropbox à leurs cibles. FireEye explique que depuis Août, ce « phishing » exploitant Dropbox aurait visé des militants tibétains, ainsi que des dizaines d’organisations basées au Bangladesh, au Népal, et au Pakistan.

Les pirates utilisent, entre autres, le RAT (logiciel espion) Poison Ivy. Dropbox a fait disparaître, depuis, les logiciel incriminés.

Argent, Cybersécurité, Entreprise, Fuite de données, Justice, Paiement en ligne, Particuliers

Piratage : Vladimir Drinkman plaide coupable pour le vol de 160 millions de CB

Vladimir Drinkman, 34 ans, est un pirate russe qui aura fait courir la justice américaine durant plusieurs années. Il vient de plaider coupable du piratage de 160 millions de numéros de cartes bancaires.

Selon les documents de la justice, Drinkman et quatre co-accusés ont piraté les réseaux informatiques d’entreprises engagées dans des transactions financières. Parmi les cibles, NASDAQ, 7-Eleven, Carrefour, JCP, Hannaford, Heartland, Wet Seal, Commidea, Dexia, JetBlue, Dow Jones, Euronet, Visa Jordanie, Diners Singapour et Ingenicard.

Drinkman était déjà passé par la case justice dans l’affaire des données piratées avec Albert Gonzalez, 34 ans, de Miami.  Ils s’étaient attaqués au système de paiement d’Heartland Paiement Inc. Drinkman a été arrêté à la demande des États-Unis lors d’un voyage aux Pays-Bas, le 28 Juin 2012. Kalinin, Kotov et Rytikov, les collègues du moscovites sont toujours en fuite. Ils ont compromis plus de 160 millions de numéros de cartes de crédit et a entraîné des centaines de millions de dollars de pertes.

La bande s’était spécialisée dans les injections SQL qui leurs permettaient de mettre la main sur des bases de données. Ils revendaient leurs données dans le black market. Il aurait facturé environ 10 $ pour chaque numéro de carte de crédit américaine volée ; environ 50 $ pour chaque numéro européen ; et environ 15 $ pour chaque numéro canadien. Intéressant, dans le document du Département de la Justice Américaine, on découvre qu’ils revendaient aussi des données qui étaient encodées sur des cartes bancaires vierges. Ici, du piratage à la sauce skimming, les boitiers qui permettent de copier la bande magnétique d’une carte bancaire.  (DoJ)

Argent, Arnaque, Contrefaçon, Cybersécurité, Entreprise, escroquerie, Mise à jour, Particuliers, Patch, Sécurité, Smartphone, Social engineering

Les cybercriminels ciblent aussi les gamers

A l’occasion de la Gamescom, G DATA a donné quelques conseils afin de ne pas tomber dans les pièges qui ciblent les joueurs.

Le secteur du jeu vidéo a généré en France un chiffre d’affaires de 1,592 milliards d’euros (hors matériel et accessoires) en 2014, selon l’AFJV (Agence Française pour le Jeu Vidéo). Avec 45 % des achats de jeu vidéo qui se réalisent sur des plateformes dématérialisées, les cybercriminels disposent d’un vivier pour leurs tentatives de vols et d’arnaques. Hameçonnage, fausses offres spéciales, malware dédiés au vol d’identifiants de jeu, les pièges ne manquent pas. À l’occasion de la Gamescom de Cologne, G DATA fait un point sur les attaques les plus courantes et donne ses conseils pour les éviter.

« Les cybercriminels se concentrent de plus en plus sur le trafic de clés de jeu vidéo illégales », explique Ralf Benzmüller, directeur du G DATA SecurityLabs, « des malware et campagnes d’hameçonnage dédiés sont utilisés pour voler les données d’accès des plateformes de jeu en ligne. Les joueurs doivent être prudents et vérifier toutes les offres sur Internet avec attention. De plus, il est nécessaire d’utiliser une solution de sécurité. »

Commerce de licences de jeu achetées illégalement

Grâce aux plateformes de jeu telles que Steam ou Origin, les ventes de jeu sur ordinateur sont entrées depuis longtemps dans l’ère de la dématérialisation. L’arnaque la plus courante chez les cybercriminels consiste à acheter des clés d’enregistrement pour les jeux du moment en utilisant des données de cartes bancaires volées. Ces clés sont ensuite vendues moins cher sur des sites de vente entre particuliers ou des sites d’enchères. Mais la joie des joueurs ne sera que de courte durée, car les fournisseurs couperont l’accès après un certain temps.

Les comptes en ligne Xbox Live, PlayStation Network ou encore iTunes n’échappent pas non plus à ce type d’arnaque. À titre d’exemple, il est possible de trouver sur le marché noir cybercriminel des crédits PSN moitié moins chers que leur valeur réelle.

Les exclusivités comme appât

Les gamers sont toujours à la recherche des avant-premières et des dernières captures des jeux en développement. Les cybercriminels le savent et attirent les joueurs vers des sites voués à infecter leur système et voler leurs données de jeu. Actuellement, des noms des jeux à venir tels que Fallout 4, Star Citizen ou Star Wars : Battlefront sont particulièrement ciblés par les attaques.

Jeux sur mobile : des risques nouveaux

Les jeux sur tablette et smartphone connaissent une forte croissance. Avec eux apparaissent de nouveaux risques, notamment liés aux publicités in-app. De nombreux jeux gratuits utilisent la publicité insérée dans le jeu pour se financer. Mais toutes les applications derrière ces publicités ne sont pas bonnes à prendre. Applications faussement gratuites ou infectées sont de la partie. Les paiements in-app sont aussi à prendre en compte, surtout lorsque les appareils sont utilisés par les enfants.

Comment les joueurs peuvent-ils se protéger ?

– Correctifs non officiels et modifications : il est important de n’installer que les mises à jour officielles provenant des fournisseurs de jeu. Une mise à jour venant d’un fournisseur tiers peut se révéler être un malware.
– Spam et emails infectés : les cybercriminels connaissent les jeux attendus et les utilisent pour attirer les gamers. Il faut bien entendu éviter de cliquer sur des liens ou des pièces jointes douteuses.
– Solution de sécurité active : pour optimiser les performances, la tentation de désactiver la solution de sécurité pendant le jeu est grande. C’est justement ce qu’attendent les attaquants !
– Des logiciels mis à jour : Le système d’exploitation et tous les logiciels utilisés doivent être constamment maintenus à jour. Cela empêche les cybercriminels d’utiliser les failles de sécurité.
– Authentification forte : les comptes Steam et Origin proposent des systèmes d’authentification à deux facteurs qu’il est conseillé de mettre en place afin de sécuriser efficacement ces comptes contre le vol.
– Privilégier les plateformes officielles : les gamers doivent opter pour les plateformes de vente officielles. Des tarifs trop bas sur des sites exotiques doivent alerter l’acheteur.

backdoor, Cyber-attaque, Cybersécurité, DDoS, Justice, Leak, loi, Piratage

13 ans de prison pour un pirate informatique

Un ressortissant vietnamien condamné à 13 ans de prison pour avoir mis en place un groupe international de pirates informatiques. Il s’était spécialisé dans le vol d’identité.

Un ressortissant vietnamien a été condamné, aux USA, à 13 ans de prison pour le piratage de centaines d’ordinateurs d’entreprises américaines. But avoué par le pirate, mettre la main sur un maximum d’informations personnelles, les fameux PII américains. Ses attaques, qu’il orchestrait avec une bande de malveillants 2.0 qu’il avait recruté sur Internet, auraient visé environ 200 millions de citoyens américains. Des actions menées entre 2007 et 2013.

Hieu Minh Ngo, 25 ans, a été condamné par la Cour du district du New Hampshire pour ces agissements. HMN passait par des forums et sites de black market, dont Darkode, pour vendre les millions d’identités qu’il avait volé, les fullz (identités, données bancaires, …). Il a été découvert que le pirate possédait un porte feuille d’un millier de « clients » dispersés à travers le monde. Ngo possédait plusieurs sites Internet dont superget.info et findget.me.

La grande majorité des 200 millions de données volées provenaient du piratage d’une entreprise basée dans le New Jersey. Il aurait gagné sur une période de 6 ans, 2 millions de dollars. 13 673 citoyens américains, dont la PII a été volée et revendue, aurait été touché par des dépôts et des retraits  d’argent frauduleux à hauteur de 65 millions de dollars, dixit l’Internal Revenue Service.

Hieu Minh Ngo a été pourchassé par les Services Secrets, le FBI, et les services informatiques de plusieurs divisions de lutte contre le crime informatique de nombreux pays et de la section de la propriété intellectuelle des États-Unis.

Pendant ce temps…

L’Université de Miami piratée. La rédaction de DataSecurityBreach.fr a pu constater sur un site de diffusion de document, les identifiants de connexion de plusieurs centaines d’enseignants : logins, mots de passe (chiffrés, NDR) et adresses mails. Le pirate, qui semble Russe, a mis en ligne dans la foulée l’accès et les identifiants de connexion au WordPress de l’établissement. Les motifs évoqués par le pirate sont puériles « Depuis de nombreuses années, nous vous regardons. explique le pirate qui signe d’un dragon crachant du feu. Les gens se réveillent. Nous allons vous détruire. » Ce que ne dit pas le pirate est que sa base de données volée n’a pu être revendue dans le blackmarket en raison des mots de passe inutilisables. Bilan, une mise en pâture d’informations privées et personnelles à défaut d’en tirer quelques bitcoins.

Argent, Banque, Cybersécurité, Entreprise, Fuite de données, Justice, loi, Paiement en ligne, Particuliers

Un pirate informatique arménien condamné à de la prison ferme

Davit Kudugulyan, la tête pensante d’une groupe de pirates informatiques arméniens condamné à de la prison ferme pour piratage de données bancaires.

Davit Kudugulyan était le chef d’une petite bande de pirates informatiques qui aura occasionné plusieurs millions de pertes financières aux banques américaines. L’homme a été accusé, et condamné, pour le vol d’informations financière appartenant à des centaines de personnes aux USA.

Davit a plaidé coupable devant un tribunal du comté de New York, mercredi. En Mars 2015, Kudugulyan et trois autres suspects, Garegin Spartalyan, Hayk Dzhandzhapanyan et Aram Martirosian, étaient arrêtés à New York après avoir utilisé des centaines de clones de cartes bancaires piratées.

Après avoir plaidé coupable, Kudugulyan a été condamné à neuf ans de prison et payer 750.000 dollars d’amende. Lors de son arrestation dans un hôtel de New-York, les policiers vont retrouver 200.000 $ dans la chambre de Kudugulyan. (TH)

Cyber-attaque, DDoS, escroquerie, Leak, Particuliers, Piratage, Vie privée

Vivez-vous à côté d’un cybercriminel ?

Le rapport de sécurité trimestriel de ThreatMetrix met en lumière une rupture dans la localisation géographique et le comportement des cyber-assaillants. L’Europe commence à mener des attaques de plus en plus sophistiquées contre ses propres pays membres. La majorité du cybercrime est aujourd’hui devenue locale !

ThreatMetrix, acteur dans le domaine de la prévention des fraudes et l’un des plus grands réseaux d’identités numériques mondial, révèle à DataSecurityBreach.fr les résultats de son rapport de sécurité ThreatMetrix Cybercrime Report pour le premier trimestre 2015, désignant l’Europe comme la nouvelle scène de la cybercriminalité internationale. S’appuyant sur les incidents de sécurité détectés et analysés par le Réseau ThreatMetrix Digital Identity d’octobre 2014 à mars 2015 sur des milliards de transactions mondiales, le rapport démontre que la plus grande cyber-menace ayant pesé sur les entreprises françaises durant cette période aurait pour origine l’hexagone.

En rupture par rapport aux tendances dominantes où la grande majorité des cyberattaques avaient pour source la Russie, l’Asie ou l’Afrique, ce phénomène semble se généraliser à toute l’Europe : 72% des actes cybercriminels au Royaume-Uni proviennent d’Irlande et d’Angleterre, 81% en Allemagne, près de la moitié (54%) aux Pays-Bas, 94% en Italie et 85% en Russie, ont également été perpétrés à l’intérieur des frontières de ces mêmes pays.

Autre point singulier dans le classement des attaques mondiales : la croissance des réseaux de cybercriminalité en Amérique du sud et notamment l’arrivée du Mexique comme seconde source de cyber attaques visant l’Angleterre ; le Nigéria arrivant à la troisième place suivi de près par l’Allemagne et les États-Unis. Du point de vue du e-commerce, la France et l’Italie se situent dans le Top 5 en terme de volume d’attaques contre les entreprises britanniques.

 LA FRAUDE A L’IDENTITE : NOUVEAU PROCEDE FRUCTUEUX POUR LES HACKERS

Selon le rapport, les techniques d’usurpation d’identité (spoofing) sont aujourd’hui les menaces les plus courantes. Plus de 11.4 millions de tentatives de transactions frauduleuses ont été identifiées par le Réseau mondial ThreatMetrix au cours de la seule période des fêtes de fin d’année 2014. Face à des logiciels criminels de plus en plus sophistiqués, le Réseau pointe du doigt une croissance de la fraude à l’identité. Ceci est particulièrement vrai lors de nouvelles créations de comptes au cours desquels les hackers utilisent des identités volées pour escroquer les entreprises. La fraude sur les téléphones mobiles augmente également de manière exponentielle avec la hausse des transactions sur ces périphériques. L’usurpation d’identité sur périphériques mobiles est devenue aujourd’hui le vecteur d’attaque le plus usité.

LES ENTREPRISES ONT DU MAL A IDENTIFIER UN CLIENT LEGITIME D’UN CYBERCRIMINEL

Aujourd’hui, l’ensemble des pays européens profite des transactions records et des opportunités en fortes croissance générées par le mobile et le web. Mais paradoxalement, c’est du e-commerce et du m-commerce que proviennent les plus fortes menaces pour les entreprises car elle peinent à différencier une transaction frauduleuse d’une commande authentique.

De plus, la fraude à la carte de paiement sur Internet ayant représenté £2.92 milliards au Royaume-Uni en 2014, l’abandon des paniers pour cause de processus d’authentification de sécurité plus lourds et onéreux est aujourd’hui 10 fois plus coûteux que le cyber fraude elle-même.

COMMENT LES ENTREPRISES PEUVENT T’ELLES SE PREPARER ?

Tony Larks, Directeur de la Recherche et de la Communication EMEA de ThreatMetrix commente : “La confiance dans la marque est un élément fondamental pour le e-commerce. Mais aujourd’hui, la confiance doit être réciproque, les entreprises ayant également besoin de s’assurer de la légitimité du client. Les sociétés adaptent une approche trop uniforme et généraliste en matière de sécurité alors qu’elles devraient déployer des stratégie de défense sur mesure intégrant des informations de sécurité environnementales. Les sites de e-commerce craignent aujourd’hui l’exaction de leurs bases de données client et des pertes inhérentes pouvant s’élever à plusieurs millions d’euros. Nous sommes convaincus que la clé pour lutter contre la cybercriminalité est la collaboration entre les entreprises et le partage de renseignements sur les menaces. Cela veut dire, partager de l’information de manière anonyme sur des personnes ou des faits au moment où l’attaque se passe ».

Parmi les autres résultats marquants de ce rapport :

– Le mobile a progressé comptant pour plus de 30% de toutes les transactions mondiales

– Un plus grand nombre de périphériques Android a été identifié durant cette période. Une tendance qui va continuer à croitre selon ThreatMetrix, comme les marchés émergents profitent de plus en plus de périphériques mobiles à moindre coût.

– Les périphériques iOS ont représenté 2/3 des transactions mobiles.

– Le coût de la cybercriminalité a couté £27 milliards au Royaume-Uni en 2014 et 95% des entreprises britanniques ont subi une violation de sécurité au cours de cette année.

– Selon IMRG, 12% de l’ensemble des transactions à la carte de crédit sur Internet ont été refusées sur la base d’activités supposées suspectes ou frauduleuses.

Argent, Banque, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fuite de données, Justice, Leak, loi, Paiement en ligne, Particuliers, Piratage, Vie privée

25 pirates arrêtés dans une opération internationale

Les autorités roumaines ont arrêté vingt-cinq cybercriminels qui s’apprêtaient à s’attaquer aux données bancaires de millions de personnes.

Les pirates présumés agissaient en Roumanie, mais aussi en Belgique, Canada,  Colombie, République dominicaine, Égypte, Estonie, Allemagne, Indonésie, Italie, Lettonie, Malaisie, Mexique, Pakistan, Russie, Espagne, Sri Lanka, Thaïlande, Ukraine, Émirats arabes unis, Royaume-Uni, Etats-Unis. Data Security Breach a appris que la France a été concernée par ce « gang », sans en avoir pour le moment, la confirmation officielle.

Les présumés pirates s’attaquaient aux banques et fabriquaient des clones de cartes bancaires. Ils auraient retiré plus de 15 millions de dollars via des transactions frauduleuses effectués dans 24 pays différents. Si 25 membres de cette équipe ont été arrêtés, il en resterait 27 dans la nature. C’est la Direction des enquêtes sur la criminalité organisée et le terrorisme (DIICOT), le FBI roumain. Pour éviter la détection, les pirates accéléraient le processus en faisant plusieurs petites transactions sur une courte période, généralement le week-end.

En 2013, par exemple, les pirates ont pu retirer 9 millions de dollars via des guichets automatiques situés dans tout l’archipel du Japon. Le 2 décembre 2013, 42000 transactions, via des Distributeurs de billets automatiques, dans 15 villes roumaines différentes, pour un montant de 5 millions de dollars en espèces.

Dimanche 26 avril, les autorités roumaines ont exécuté 42 mandats de perquisition à travers six villes, saisissant des ordinateurs portables, des téléphones mobiles, et 150,000€ en en espèces, des lingots d’or et des peintures. Une opération qui fait suite à l’annonce des services secrets américains à l’encontre de la campagne CyberHeist qui avait permis à des pirates de mettre la main sur 45 millions de dollars en janvier 2013. En mai 2013, 8 pirates (qui semblent liés à gang roumain) se retrouvaient dans les mains de la justice américaine. Ils avaient retiré 2,8 millions de dollars en quelques heures, via des distributeurs de billets de New-York.

Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Justice, Leak, loi, Mise à jour, Paiement en ligne, Piratage, Sécurité

Mot de passe inchangé : les sociétés de maintenance responsables

2 commentaires

Pour ne pas avoir formé et informé son client sur la bonne gestion de ses mots de passe, une société de maintenance condamnée en France.

Le site Legalis est revenu, dernièrement, sur l’arrêt de la cour d’appel de Versailles et du tribunal de commerce de Nanterre. Ce dernier a jugé qu’une société en charge de la maintenance informatique d’une entreprise avait pour obligation de sensibiliser son client à la sécurité informatique et à la bonne gestion de ses mots de passe. Le professionnel de l’informatique n’avait pas sensibilisé son client à la nécessité de changer le mot de passe de son PABX (Private Automatic Branch eXchange), un standard  téléphonique informatisé.

Bilan, le tribunal a considéré qu’il y avait une faute par négligence. Le client était dans une situation de grande vulnérabilité en raison d’un mot de passe faible. Tout avait débuté après le piratage d’un loueur de véhicules. Son standard avait été piraté. Le PABX avait été exploité par un pirate après avoir trouvé le mot de passe de ce dernier, un mot de passe usine (0000) qui n’avait jamais été changé. 12,208€ avaient ainsi été perdus par le loueur.

Le tribunal a obligé la société de maintenance à payer la somme. « Il revient à l’utilisateur de gérer la sécurité de son matériel, à condition toutefois qu’il ait été informé de cette nécessité et qu’on lui ait montré comment procéder » indique Legalis. Il incombait au prestataire des missions d’information, d’assistance et de formation ainsi qu’une visite annuelle de vérification de l’état de sécurisation de l’installation téléphonique, et donc de faire changer, régulièrement le dit mot de passe.

Des attaques fréquentes
Début février 2015, des pirates informatiques, spécialisés dans la téléphonie (des phreakers, NDR), avaient utilisé ce fameux mot de passe usine pour piéger le standard de la mairie de Licques. Le pirate avait ensuite permis à des tiers de téléphones vers l’île de l’Ascension, au sud de l’Équateur. En 2013, ce fût la Mairie de Pessac à se retrouver avec une facture de 15.000€. Dans le Nord de la France, l’école de musique municipale d’une ville de la banlieue de Lille se retrouvait, elle aussi, avec une fuite téléphonique dés plus couteuse. Même sanction pour une entreprise du Pays châtelleraudais. Début mars 2015, la société a découvert, via sa facture téléphonique, qu’un malveillant était passé dans ces autocommutateurs afin d’obtenir un accès gratuit au réseau téléphonique. Les Cyber Gendarmes enquêtent.

 

Cyber-attaque, Cybersécurité, Justice, Leak

Le Ninja Chinois vivait au Canada

2 commentaires

La police canadienne vient de mettre la main sur un présumé piraté informatique Chinois. Ce dernier est accusé par les services secrets américains d’avoir visité, sans autorisation, les systèmes informatiques de Boeing.

Ce pirate informatique aurait réussi à mettre la main et la souris sur des dossiers traitant du Boeing C-17 et des Lockheed Martin F-22 et F-35. Bref, si cela est vrai, nous pouvons constater cinq choses. Les « IP made in China » que l’on nous affiche dans les logs sont en grande partie des leurres; que les pirates Chinois sont plus efficace hors de chez eux; que les géants de l’industrie ont des trous partout;  qu’ils n’ont pas l’air d’être choqué quand, toujours dans les logs, des centaines de gigas octets de dossiers s’envolent dans la nature; que le chiffrement n’a pas l’air d’être important.

Le présumé pirate, Su Bin, vit au Canada. Il était le patron d’une société spécialisée dans l’aéronautique. Avec deux complices, basés en Chine, ils auraient collecté des informations sur les nouveautés de Boeig (C17, F22 et F35). L’Oncle Sam affirme que les informations ont été transmises au gouvernement Chinois et que le Y20, clone du C17, serait la résultance de ce piratage… durait depuis 2009. Bref, « Y-a-t-il un pilote dans l’avion ?« . Une seconde annonce de piratage chinois au moment ou le secrétaire d’Etat américain John Kerry et le secrétaire au Trésor Jacob Lew visent le gouvernement Chinois pour parler business.

Pendant ce temps…

Qendrim Dobruna, un Albanais de 27 ans qui évoluait sur la toile sous les pseudonymes de « cl0sEd » et « cL0z », arrêté en Allemagne en 2012 et extradé aux USA vient de plaider coupable de fraude bancaire. C’est devant le tribunal de New York, vendredi, que l’homme a affiché son envie de ne pas finir en prison durant les 100 prochaines années. Il est accusé d’avoir participé au vol de 14 millions de dollars, en 2011, via des centaines de distributeurs de billets basés dans 18 pays et quelques 15.000 retraits frauduleux. En février 2011, ce brave garçon avait eu le courage d’attaquer le système de paiement en ligne mis en place pour la Croix rouge américaine. Il connaitra son sort le 24 octobre prochain. Il risque 1 million de dollars, la confiscation de ses biens. Il découvrira aussi si les 30 prochaines années il les passera dans une prison fédérale. Le Secret Service américain a travaillé en étroite collaboration avec le ministère de la Justice et INTERPOL pour mettre la main sur le pirate et ses amis.

Argent, Banque, Justice, Paiement en ligne, Piratage

Un pirate informatique Moldave jugé en Suisse

Un pirate informatique Moldave, qui avait piraté une banque américaine de Floride, vient d’être condamné par la justice Suisse.

L’homme âgé de 38 ans vient d’écoper d’une amende de 1,5 millions de francs Suisses, de quelques mois de prison et se retrouve avec une expulsion vers les Etats-Unis qui risquent de lui coûter encore plus cher. A noter que la justice a pu saisir 12 millions de francs (plus de 9 ,8 millions d’euros) que le pirate possédait sur six comptes bancaires qu’il possédait.

Avec 6 passeports en poche, le voleur numérique aurait, via ses actes de piratages et ses complices, transféraient quelques 200 millions de francs Suisse (+164 millions €). Il avait réussi à pirater des comptes bancaires de la Warrington Bank en piégeant une caissière, via un mail malveillant. Il lui avait dérobé ses identifiants de connexion qui avaient permis par la suite à opérer des dizaines de paiements frauduleux. (Le Matin)

Cyber-attaque, Leak, Piratage

Libellule, l’insecte qui s’attaque à Internet

Un commentaire

Une campagne de cyber espionnage qui serait toujours en cours a été révélée par l’éditeur de solution de sécurité informatique Symantec.

D’après l’entreprise américaine, cette attaque informatique vise principalement le secteur de l’énergie. Derrière ces malveillances économiques, un groupe de pirates baptisé Dragonfly (Libellule ; Energetic Bear). L’analyse indique que des opérations de sabotages et d’espionnages ont été orchestrées contre les victimes basées aux États-Unis, Espagne, France, Italie, Allemagne, Turquie et Pologne.

Parmi les objectifs de libellule, les gestionnaires de réseaux d’énergie, de grandes entreprises de production d’électricité, les exploitants de pipelines de pétrole, et les fournisseurs d’équipements industriels de l’industrie de l’énergie. Le groupe de libellule semble être bien doté en ressources, avec une gamme d’outils de logiciels malveillants à sa disposition.

Cette campagne s’inscrit dans la lignée de Stuxnet, qui a été la première grande campagne connue de malware à cibler les systèmes d’ICS. Alors que Stuxnet  ciblé le programme nucléaire iranien, un code malveillant signé par les américains, libellule semble avoir une portée beaucoup plus large d’espionnage et de s’ouvrir des accès permanent aux objectifs qui pourraient être sabotés. En plus de compromettre le logiciel ICS, libellule a utilisé des campagnes de pourriels (spams) ainsi que des outils malveillants. Bref, étonnant que des pirates si professionnels utilisent des vecteurs d’attaques comme le spam. Spam qui, du coup, se contre avec des outils de sécurité informatique que commercialise Symantec. Les pirates utilisent la backdoor Oldrea et sa variante, Karagany (5% des infiltrations). Le groupe Libellule semble agir depuis au moins 2011 et commercialise ses codes malveillants dans le blackmarket.

Des pirates fonctionnaires ?
Marrante, l’analyse de Symantec explique que le désassemblage des codes malveillants a permis de définir que Libellule travaille la plupart du temps entre le lundi et le vendredi, avec une activité principalement concentrée dans une période de neuf heures qui correspondrait entre 9h et 18h, sur quatre 4 fuseau horaire. Bref, des Chinois qui ont un petit parfum de pays de l’Est !

Argent, Banque, Chiffrement, cryptage, Cybersécurité, Fuite de données

Le bitcoin dans la ligne de mire des pirates

La monnaie virtuelle bitcoin traverse depuis ce début d’année 2014 une crise sans précédents. Après la faillite de la plateforme d’échange MtGOX et la fermeture de Flexcoins, intermédiaire spécialisé dans l’échange et le stockage de bitcoins, Poloniex, autre plateforme d’échange de crypto-monnaies, a annoncé le détournement de 12,3% des fonds qu’elle stockait. En un mois à peine, les principales bourses d’échange pour détenteurs de bitcoins ont été la cible de pirates informatiques, provoquant un véritable marasme au sein de l’écosystème de cette monnaie dématérialisée.

Pour comprendre ce phénomène de vaste piratage informatique, le laboratoire de recherche de LogRhythm s’est intéressé aux failles de sécurité existantes de bitcoin. L’équipe de chercheurs a ainsi récemment analysé un type de malware relativement nouveau qui cible plus particulièrement les utilisateurs sur les plateformes d’échange et de stockage de bitcoins.

Jean-Pierre Carlin, Directeur Europe du Sud chez LogRhythm, explique que ce malware arrive sous forme d’un fichier exécutable sous Windows (driveprice.exe) prétendant que l’exécution de ce logiciel augmentera le prix des bitcoins sur le marché, et entrainera ainsi une hausse de la valeur des bitcoins déjà détenus. Comme le dit l’adage, « Si cela semble trop beau pour être vrai, cela l’est probablement ». Ce logiciel n’est pas une exception et les créateurs du malware se servent de l’attrait pour l’argent et ciblent systématiquement les utilisateurs de plateforme d’échanges de bitcoins en misant sur le fait qu’ils téléchargeront et exécuteront ce logiciel dans le but de faire grimper la valeur globale des bitcoins.

Une fois que le logiciel s’exécute, il entraine de nombreux et importants changements au sein du système, tentant à la fois de rester invisible et d’établir une connexion permanente avec le serveur de contrôle et de commande. Le malware s’installe tout seul de manière à se lancer automatiquement lors de l’utilisation de Windows Registry, processus légitime de Windows déguisé, utilise un code injecté pour masquer l’activité du réseau, et finit par détourner tous les navigateurs disponibles sur le système. Une fois que ce dernier est infecté, le malware envoie un signal au serveur de contrôle et de commande et attend les directives du hacker. Tout en étant à l’intérieur du navigateur, le malware attend que les utilisateurs se connectent à la plateforme d’échange de bitcoins et procède ensuite au vol de leurs identifiants qui seront utilisés plus tard pour extraire la totalité des bitcoins stockés sur leur compte en ligne.

Le bitcoin, monnaie virtuelle au succès grandissant, attire l’attention de plus en plus de cybercriminels. La chute successive de deux acteurs principaux, MtGOX et Flexcoins, ainsi que l’attaque de Poloniex montre aujourd’hui un besoin urgent de sécurisation des transactions et plus largement de tout l’écosystème bitcoin. En visite début mars dans les locaux de Tracfin (Traitement du Renseignement et Action contre les Circuits FINanciers clandestins), Pierre Moscovici, Ministre de l’Economie et des Finances, a appelé à une concertation européenne sur la régulation des monnaies virtuelles comme le bitcoin, un enjeu majeur pour définir un cadre légal et limiter les pertes financières qui pourraient avoir de lourdes conséquences au niveau international. Espérons que le projet Ethereum soit un de ces possibilités de sécurisation.

 

Android, ios, Sécurité, Smartphone

Un pirate dans votre smartphone

Les 7 signaux d’alerte indiquant une possible infection d’un Smartphone… et les 7 façons de les éviter. Avec six fois plus de malwares sur la plate-forme Android qu’il y a un an, les smartphones deviennent des appareils vulnérables aux malwares. En effet, 22 750 nouvelles modifications de programmes malveillants pour appareils mobiles ont été détectées, soit plus de la moitié du total de modifications détectées sur l’ensemble de l’année 2012 selon le rapport « Développement des menaces informatiques au premier trimestre 2013 » de Kaspersky Lab. Alors comment savoir si un téléphone est infecté et surtout que faire pour s’en protéger, DataSecurityBreach.fr vous propose quelques clés pour repérer si vous êtes victimes d’une possible infection.

1.     Publicités indésirables : Les fenêtres pop-up et d’autres types de publicités intempestives dépassant le comportement normal d’une application peuvent indiquer qu’un adware s’est probablement installé.

2.     Pics de consommation Internet : certains malwares augmentent la consommation de données en forçant le téléphone à se connecter à de multiples reprises à un site Web, à cliquer sur une publicité, à télécharger des fichiers volumineux ou à envoyer des messages.

3.     Factures anormalement élevées : souvent, un téléphone infecté par un malware passe des appels ou envoie des SMS vers des numéros surtaxés, qui viennent gonfler la facture de son propriétaire.

4.     Présence d’applications non voulues : certains malwares achètent des applications sur Google Play ou une autre boutique Android. Il faut donc se méfier si des applications inhabituelles apparaissent sur un téléphone.

5.     Applications utilisant des fonctions superflues : souvent un malware se fait passer pour une application légitime. Pour le détecter, la fausse application demande une autorisation ou utilise une fonction sans rapport avec sa finalité.

6.     Activités inhabituelles sur les comptes en ligne : Les données ne sont pas seulement menacées par les risques d’infection d’un ordinateur. Les malwares mobiles récents, particulièrement polyvalents et retors, sont capables de dérober des mots de passe, des identifiants et d’autres informations conservés sur un smartphone.

7.     Une application exige un paiement pour déverrouiller l’appareil : aucune entité légitime ne bloquera un téléphone et ne réclamera ensuite de l’argent en échange de son déverrouillage.

Pour réduire le risque d’infection au minimum, voici les principaux conseils de sécurité pour Android :

1.     S’abstenir de « rooter » son téléphone. Malgré les avantages qu’offre cette alternative, elles sont généralement au détriment de la sécurité.

2.    Définir un code PIN autre que 0000 ou 123456 ou un mot de passe, pour verrouiller l’écran Android et ainsi empêcher un tiers d’accéder à l’appareil en cas de perte ou de vol.

3.     Ne télécharger des applications qu’auprès de sources dignes de confiance. Des logiciels légitimes en apparence mais provenant de sources non fiables peuvent en effet présenter des risques.

4.     Ne pas passer par des réseaux Wi-Fi publics pour effectuer des transactions privées, par exemple des virements bancaires ou des achats en ligne.

5.     Vérifier systématiquement les autorisations demandées par une application. Si l’une d’elles ne  semble pas nécessaire, par exemple l’accès aux SMS ou aux contacts personnels, ne pas installer l’application.

6.     Ne pas conserver des données confidentielles sur son téléphone et prendre le soin de sauvegarder régulièrement le contenu de l’appareil.

7.     Activer les fonctions intégrées de contrôle parental afin de protéger les enfants sur Internet et compléter celles-ci avec des applications de sécurité fournies par un éditeur réputé.