Opération de rebranding dans le monde de la cybercriminalité : le gang de ransomware HelloKitty devient HelloGookie ! À cette occasion, des informations sensibles issues de précédentes piratages ont été publiées, ainsi que des clés de déchiffrement ! Faisons le point.

Le ransomware HelloKitty a été lancé en novembre 2020 et il est connu pour s'introduire dans le réseau d'entreprises dans le but de chiffrer les données et les systèmes, ainsi que voler de données. À l'origine de nombreuses cyberattaques, le ransomware HelloKitty est capable de chiffrer les machines virtuelles des hôtes VMware ESXi.

Désormais, HelloKitty va laisser sa place à HelloGookie ! C'est celui que l'on appelle "Gookee/kapuchin0" et qui prétend être le créateur du ransomware HelloKitty, qui a fait cette annonce il y a quelques jours. Un nouveau « site vitrine » a été mis en ligne pour le ransomware HelloGookie. À l'heure actuelle, ce site ne référence aucune victime. Malheureusement, cela risque d'évoluer...

Des données et des clés de déchiffrement divulguées !

Pour célébrer ce nouveau départ, Gookee a publié quatre clés de déchiffrement qui peuvent être utilisées pour récupérer des fichiers chiffrés lors de précédentes attaques ! Ceci devrait permettre à certaines victimes de déchiffrer leurs données, et ce gratuitement. Un outil de déchiffrement pourrait être publié dans les prochains jours.

Il a également publié des informations internes volées à l'entreprise Cisco, lors d'une attaque en 2022. Mais, ce n'est pas tout, puisqu'il a aussi mis en ligne des données issues du piratage de CD Projekt Red en 2021 : des mots de passe pour accéder au code source de Gwent, Witcher 3 et Red Engine.

À l'époque, cette cyberattaque avait fait beaucoup de bruit : les cybercriminels étaient parvenus à chiffrer les serveurs de l'entreprise CD Projekt Red, un studio de développement polonais à l'origine de plusieurs gros titres, dont Cyberpunk 2077.

Suite à la publication de ces données, un groupe de développeurs s'est penché sur le sujet. Ils sont parvenus à partager des captures d'écran et des vidéos de la version de développement de Witcher 3, après avoir réussi à compiler le jeu à partir du code source divulgué. C'est surtout pour le fun, car ce jeu est disponible depuis plusieurs années.

Source

The post Le ransomware HelloKitty change de nom, et publie des données et des clés de déchiffrement ! first appeared on IT-Connect.

Tout roule pour les membres du gang de ransomware Akira puisqu'ils seraient parvenus à voler la jolie somme de 42 millions de dollars grâce à la compromission de l'infrastructure de plus de 250 organisations. Il s'agit de chiffres publiés par plusieurs agences, dont le FBI.

Le FBI, la CISA, le Centre européen de lutte contre la cybercriminalité (European Cybercrime Centre) et le National Cyber Security Centre (NCSC) du Pays-Bas ont travaillé sur l'écriture d'un rapport complet au sujet de la menace Akira. Ce bulletin d'alerte disponible sur le site de la CISA montre la progression fulgurante de ce gang de ransomware apparu pour la première fois en mars 2023.

Le gang de ransomware a fait des victimes partout dans le monde, même si la majorité des organisations ciblées sont situées en Amérique du Nord, en Europe et en Australie. Au début, Akira s'en prenait principalement aux systèmes Windows, mais assez rapidement, les cybercriminels ont mis au point une variante pour Linux afin de chiffrer les machines virtuelles sur les serveurs VMware ESXi.

Ainsi, au 1er janvier 2024, le groupe de ransomwares avait touché plus de 250 organisations et volé environ 42 millions de dollars grâce aux victimes qui ont pris la décision de payer la rançon demandée.

Le mode opératoire du gang de ransomware Akira

Le rapport publié sur le site de la CISA fournit des informations intéressantes sur les techniques et méthodes employées par les cybercriminels d'Akira.

L'accès initial est notamment évoqué, et d'après le FBI, ils ciblent principalement les accès VPN, les accès RDP, le spear phishing et l'utilisation de comptes utilisateurs valides qu'ils ont en leur possession. Deux failles de sécurité, liées aux équipements Cisco, sont citées : CVE-2020-3259 et CVE-2023-20269.

Pour les différentes phases de l'attaque, notamment pour la persistance, la découverte et l'exfiltration des données, le gang de ransomware Akira utilisent différents outils dont certains que vous connaissez et utilisez probablement : Mimikatz, LaZagne, SoftPerfect et Advanced IP Scanner. À cela s'ajoutent des outils accessibles facilement et peut-être même déjà présents sur certaines machines : AnyDesk, MobaXterm, RustDesk, Ngrok, RClone, les protocoles FTP et SFTP ou encore le service de stockage de fichiers Mega.

Les conseils pour se protéger du ransomware Akira

Ce rapport contient également un ensemble de conseils et recommandations pour se protéger de cette menace.

Voici la liste de ces recommandations :

• Mise en œuvre d'un plan de reprise d'activité.
• Effectuer des sauvegardes déconnectées (hors ligne) des données.
• Effectuer des sauvegardes chiffrées et immuables.
• Exiger que tous les comptes soient protégés par des mots de passe conformes aux normes du NIST, et qui doivent être suffisamment long. "Envisagez de ne pas exiger de changements de mot de passe récurrents, car cela peut affaiblir la sécurité", peut-on lire.
• Exiger une authentification multifactorielle pour tous les services dans la mesure du possible.
• Maintenir tous les systèmes d'exploitation, les logiciels et les firmwares à jour.
• Segmenter les réseaux pour empêcher la propagation des ransomwares.
• Identifier, détecter et étudier les activités anormales et les mouvements potentiels du ransomware à l'aide d'un outil de surveillance du réseau.
• Filtrer le trafic réseau en empêchant des sources inconnues ou non fiables d'accéder à des services distants sur des systèmes internes.
• Installer, mettre à jour régulièrement et activer la détection en temps réel des logiciels antivirus sur tous les hôtes.
• Examiner les contrôleurs de domaine, les serveurs, les postes de travail et les annuaires actifs pour détecter les nouveaux comptes et/ou les comptes non reconnus.
• Auditer les comptes d'utilisateurs disposant de privilèges élevés et configurer les contrôles d'accès selon le principe du moindre privilège.
• Désactiver les ports inutilisés.
• Ajouter un avertissement aux e-mails dont l'expéditeur est externe à votre organisation.
• Désactiver les hyperliens dans les e-mails reçus.
• Mettre en place une politique Time-based Access (Zero Trust) basée sur la durée pour les comptes avec des privilèges élevés.
• Désactiver les activités et les autorisations relatives à la ligne de commande et aux scripts.

Source

The post Grâce à plus de 250 victimes, le gang de ransomware Akira a volé 42 millions de dollars ! first appeared on IT-Connect.

Nexperia, un important fabricant de semi-conducteurs néerlandais, a été victime d'une cyberattaque par ransomware lors de laquelle les pirates sont parvenus à exfiltrer des données de l'entreprise. Voici ce que l'on sait sur cet incident de sécurité !

Établie aux Pays-Bas, l'entreprise Nexperia est un fabricant de semi-conducteurs présents dans le monde avec 15 000 employés répartis en Europe, aux États-Unis et en Asie. L'entreprise Nexperia fabrique et expédie plus de 100 milliards de produits par an, et elle réalise un chiffre d'affaires annuel de plus de 2,1 milliards de dollars.

Vendredi 12 avril 2024, un communiqué de presse a été publié par Nexperia afin de confirmer publiquement qu'un groupe de cybercriminels était parvenu à s'introduire sur certains serveurs. Cette intrusion a eu lieu en mars 2024 et dès qu'elle a été détectée, les équipes de Nexperia sont intervenues : "Nous avons rapidement pris des mesures et déconnecté les systèmes concernés de l'internet afin de contenir l'incident et de mettre en œuvre des mesures d'atténuation importantes."

En parallèle, Nexperia a ouvert une enquête dans le but d'identifier la nature et les conséquences exactes de l'incident. Les investigations sont menées en collaboration avec une équipe de spécialistes de chez FoxIT, sollicités en réponse à cet incident.

1 To de données dans la nature ?

Le 10 avril 2024, le site d'extorsion "Dunghill Leak" a annoncé le vol de 1 To de données confidentielles sur les serveurs de Nexperia. Si la rançon n'est pas payée par le fabricant néerlandais, Dunghill menace de publier les données (ou de les revendre à un tiers malveillant) suivantes :

• 371 Go de données sur la conception et les produits, y compris le contrôle de qualité, les accords de confidentialité, les secrets commerciaux, les spécifications techniques, les schémas confidentiels et les instructions de production.
• 246 Go de données d'ingénierie, dont des documents correspondants à des études internes et des technologies de fabrication.
• 96 Go de données commerciales et de marketing, y compris des analyses de prix.
• 41,5 Go de données liées aux ressources humaines, aux données personnelles des employés, avec notamment des copies de passeports de salariés.
• 109 Go de données de clients et d'utilisateurs, parmi lesquelles des marques comme SpaceX, IBM, Apple et Huawei.
• 121,1 Go de fichiers et de données diverses, dont des fichiers relatifs aux e-mails.

En guise de preuves, une partie des données a été divulguée par Dunghill : des images de composants électroniques scannés au microscope, des passeports d'employés et des accords de non-divulgation. Pour le moment, Nexperia ne s'est pas exprimé au sujet de ces documents.

Source

The post Le fabricant de semi-conducteurs Nexperia victime d’une cyberattaque par ransomware ! first appeared on IT-Connect.

Un nouveau gang de ransomware surnommé SEXi est parvenu à compromettre l'infrastructure du fournisseur de services chilien IXMetro Powerhost ! Lors de cette attaque, les pirates ont chiffré des serveurs VMware ESXi ainsi que des sauvegardes ! Faisons le point.

PowerHost est un fournisseur de services spécialisés dans les centres de données et l'hébergement, implanté en Amérique du Sud, notamment avec sa division IXMetro présente au Chili, aux États-Unis, et en Europe.

Samedi 30 mars 2024, tôt en début de journée, IXMetro a subi une cyberattaque lors de laquelle les pirates sont parvenus à chiffrer plusieurs serveurs VMware ESXi notamment utilisés pour héberger des serveurs privés virtuels de clients (VPS). De ce fait, les services hébergés sont inaccessibles.

Les équipes d'IXMetro cherchent à restaurer les données de leurs serveurs et de leurs clients à partir de précédentes sauvegardes, mais la tâche ne s'annonce pas simple : les sauvegardes sont également chiffrées. Ricardo Rubem, le CEO de PowerHost, affirme qu'il a essayé de négocier avec les cybercriminels, car il a envisagé de payer la rançon : "J'ai négocié avec le pirate, qui a exigé un montant exorbitant de bitcoins par client : 2 BTC pour chacun, soit environ 140 millions de dollars.", précise-t-il.

Le ransomware SEXi

Le gang de ransomware SEXi serait une menace relativement récente et cette attaque serait son premier "gros coup" ! D'après le chercheur en sécurité Germán Fernández, lorsque des fichiers sont chiffrés par ce ransomware, l'extension ".SEXi" est utilisée, et ceux-ci sont accompagnés par une note de rançon nommée "SEXi.txt".

D'après le site BleepingComputer, ce gang mène des attaques depuis mars 2023, mais cela reste à confirmer. Ce qui est certain, c'est que les cybercriminels du groupe SEXi cible seulement les hyperviseurs VMware ESXi, ce qui en fait une menace supplémentaire pour les infrastructures de virtualisation basées sur la solution VMware by Broadcom.

Pour le moment, nous ignorons si ce gang de ransomware applique le principe de la double extorsion, car à l'heure actuelle, ce gang ne semble pas avoir de site dédié aux fuites de données.

The post Les serveurs VMware ESXi d’un hébergeur chiffrés par le nouveau ransomware SEXi ! first appeared on IT-Connect.

Du côté de la Suisse, le National Cyber Security Centre (NCSC) est revenu sur la fuite de données qui a fait suite à l'attaque par ransomware subie par l'entreprise Xplain. Les pirates ont bien mis en ligne des milliers de fichiers sensibles appartenant au gouvernement fédéral.

Pour information, en Suisse, le NCSC est l'équivalent de l'ANSSI en France.

Le 23 mai 2023, le célèbre gang de ransomware Play est parvenu à pirater l'infrastructure de Xplain, une entreprise importante en Suisse. Il s'agit du fournisseur de services informatiques des autorités nationales et cantonales. En juin 2023, le gang de ransomware Play avait mis en ligne sur le Dark Web les données volées, en affirmant qu'il s'agissait de données sensibles et confidentielles.

Ce jeudi 7 mars 2024, le gouvernement suisse a publié un nouveau rapport qui fait suite à l'analyse des données effectuées par le NCSC. Le gouvernement confirme que 65 000 documents gouvernementaux ont été divulgués par les cybercriminels. En fait, cela correspond à 5% de la totalité des données volées dans le cadre de cette cyberattaque, car il est question de 1,3 million de fichiers, au total.

En ce qui concerne ces 65 000 documents appartenant au gouvernement, il faut savoir que :

• 95 % de ces fichiers concernent les unités administratives du Département fédéral de justice et police (DFJP) : l'Office fédéral de la justice, l'Office fédéral de la police, le Secrétariat d'État aux migrations et le centre de services informatiques internes ISC-FDJP.
• 3 % de ces fichiers sont issus de deux entités faiblement impactées : le Département fédéral de la défense et la protection de la population et des sports (DDPS)
• Environ 5 000 documents contenaient des informations sensibles, que ce soit des données personnelles (noms, adresses électroniques, numéros de téléphone et adresses postales), des détails techniques, des informations classifiées et même des mots de passe de comptes.

Par ailleurs, le rapport précise : "En outre, 278 dossiers contenaient des informations techniques telles que de la documentation sur les systèmes informatiques, des documents sur les exigences logicielles ou des descriptions architecturales, 121 objets étaient classifiés conformément à l'ordonnance sur la protection de l'information et 4 objets contenaient des mots de passe lisibles." - Ceci représente probablement une véritable mine d'informations pour les cybercriminels qui ont pu mettre la main sur ces données.

L'analyse de ces données a nécessité plusieurs mois de travail, ce qui peut se comprendre compte tenu de la quantité de fichiers volés lors de cette cyberattaque.

Source

The post Ransomware Play : en Suisse, l’attaque de Xplain a permis de voler 65 000 documents gouvernementaux first appeared on IT-Connect.

Moins d'une semaine après l'opération Cronos menée par les forces de l'ordre, le gang de cybercriminels LockBit est déjà de retour avec une nouvelle infrastructure. LockBit se dit prêt à effectuer de nouvelles attaques et menace de s'en prendre aux entités gouvernementales. Voici ce que l'on sait.

Lundi 19 février 2024, Europol et les forces de l'ordre de plusieurs pays, dont la France, ont mené l'opération Cronos, qui a permis de porter un coup d'arrêt important aux activités du gang de ransomware LockBit. Les autorités sont parvenues à couper plusieurs sites, à récupérer 34 serveurs, mais également le code source du ransomware, des clés de déchiffrement, etc... Ce qui a permis de créer rapidement un outil de déchiffrement pour LockBit 3.0.

Samedi 24 février 2024, LockBit a mis en ligne un nouveau site vitrine associé à une nouvelle adresse en ".onion" et qui répertorie déjà 5 nouvelles victimes ! Comme à chaque fois, ceci est associé à un compte à rebours pour la publication des données volées.

PHP et la vulnérabilité CVE-2023-3824

LockBitSupp, qui est à la tête de LockBit en a profité pour donner son avis sur ce qu'il vient de se passer, mais également sur l'avenir. Les forces de l'ordre sont parvenues à pirater les serveurs grâce à une faille de sécurité PHP "parce que, après avoir nagé dans l'argent pendant cinq ans, je suis devenu très paresseux", précise-t-il. Effectivement, il indique qu'il a empoché 100 millions de dollars grâce à cette activité.

Il indique que les serveurs avec les interfaces d'administration et le chat n'ont pas été mis à jour, et qu'une version vulnérable de PHP était utilisée. D'après lui, le FBI a exploité la faille de sécurité critique "CVE-2023-3824" présente dans PHP 8.1.2 pour compromettre deux serveurs. Même s'il y a toujours un doute à ce sujet, et que le FBI pourrait avoir exploité une faille de sécurité zero-day.

LockBit estime que les forces de l'ordre ont pris la décision de s'attaquer à leur infrastructure pour éviter la fuite de certaines informations compromettante dans les affaires judiciaires de Donald Trump, et qui pourraient impacter les prochaines élections américaines. Ce qui donne des idées à LockBit : attaquer plus souvent les entités gouvernementales, pour voir dans quelle mesure le FBI est en mesure de riposter. Une manière de narguer les forces de l'ordre.

D'ailleurs, il est important de préciser qu'il utilise le terme "FBI" pour mentionner le FBI, mais également les forces de l'ordre des autres pays qui ont participé à l'opération Cronos : France, Suisse, Japon, Suède, Canada, etc.

LockBit veut renforcer la sécurité de son infrastructure

Les membres de LockBit semblent également bien décidés à renforcer la sécurité de leur infrastructure, notamment grâce à la décentralisation des informations et une meilleure gestion des clés de déchiffrement. L'objectif étant de rendre plus difficile la récupération des données même lorsque les forces de l'ordre parviennent à mettre la main sur des serveurs de LockBit.

Avec cette nouvelle infrastructure, le gang de ransomware souhaite "la protection maximale des déchiffreurs pour chaque entreprise (victime)."

Même si LockBit est de retour, l'opération Cronos reste un très joli coup ! Elle a forcément affaibli LockBit d'une certaine manière, rien qu'au niveau de la confiance entre LockBit et ses affiliés. Malgré tout, méfions-nous des "ripostes" dans les semaines et mois à venir....

Source

The post Ransomware : LockBit est déjà de retour et nargue les forces de l’ordre ! first appeared on IT-Connect.

L'énorme coup réalisé par les forces de l'ordre dans le cadre de l'opération Cronos se confirme : les clés de déchiffrement pour le ransomware LockBit sont entre les mains des autorités, ce qui va permettre de déchiffrer les données gratuitement !

• Ransomware : une opération internationale met à l’arrêt les serveurs de LockBit !

L'opération Cronos est véritablement un coup d'arrêt pour le gang de cybercriminels LockBit. Au-delà d'être parvenu à arrêter les serveurs associés au site vitrine des malfaiteurs, les autorités sont parvenues à récupérer le code source du ransomware LockBit. Cette information a été confirmée par la National Crime Agency (NCA) du Royaume-Uni.

Comme on pouvait s'y attendre, d'autres détails sur cette intervention commencent à être diffusés. Tout d'abord, il faut savoir que les autorités ont pu arrêter 2 membres de LockBit en Pologne et en Ukraine. À cela s'ajoutent le gel de 200 comptes de crypto-monnaie liés au groupe de cybercriminels.

Un outil de déchiffrement est disponible !

Les autorités ont pu arrêter 34 serveurs utilisés par le gang de ransomware LockBit, sur lesquels ils sont parvenus à obtenir plus de 1 000 clés de déchiffrement ! Il s'agit d'une information capitale ! En effet, les autorités sont parvenues à créer un outil de déchiffrement pour LockBit 3.0 !

Le rapport mis en ligne par Europol précise : "Avec le soutien d'Europol, la police japonaise, la National Crime Agency et le Federal Bureau of Investigation ont concentré leur expertise technique pour développer des outils de déchiffrement destinés à récupérer les fichiers chiffrés par le ransomware LockBit".

Cet outil de déchiffrement pour LockBit 3.0 est disponible sur le site "No More Ransom" ! Il doit permettre la récupération des données chiffrées par le ransomware LockBit 3.0 sans avoir à payer la rançon ! D'après un rapport d'Eurojust : "Les attaques de LockBit auraient touché plus de 2 500 victimes dans le monde entier."

Un énorme bravo aux forces de l'ordre !

Source

The post Opération Cronos – Ransomware LockBit 3.0 : un outil de déchiffrement est disponible ! first appeared on IT-Connect.

Nous ne sommes qu'au mois de février, et pourtant, il pourrait déjà s'agir du coup de l'année sur la scène de la cybersécurité ! Les autorités sont parvenues à mettre hors ligne le site de LockBit, qui est probablement le gang de cybercriminels le plus actif depuis plusieurs années. Faisons le point sur cette intervention !

Depuis le 19 février 2024, le site du gang de ransomware LockBit a été mis hors ligne ! Il était utilisé par les pirates comme vitrine puisqu'il servait à publier les noms des victimes, mais également les montants des rançons et les données volées dans le cadre des attaques.

Désormais, le site de LockBit ressemble à ceci :

La National Crime Agency du Royaume-Uni s'est exprimée sur le sujet : "La NCA peut confirmer que les services de LockBit ont été interrompus à la suite d'une action internationale. Il s'agit d'une opération en cours et en développement."

En effet, les forces de l'ordre et organismes de 11 pays sont à l'origine de cette opération, nommée officiellement l'opération Cronos et menée à l'internationale. En effet, la France a participé par l'intermédiaire de la Gendarmerie Nationale, mais elle n'était pas seule puisque le FBI était aussi de la partie, accompagné par l'Allemagne, le Japon, la Suède, le Canada, ou encore la Suisse.

D'après le membre LockBitSupp, qui serait à la tête de LockBit et qui s'est exprimé par l'intermédiaire du service de messagerie Tox, le FBI est parvenu à accéder aux serveurs de LockBit à l'aide d'un exploit PHP. Les forces de l'ordre sont également parvenues à mettre hors ligne l'interface dédiée aux affiliés de LockBit. Un message indique que le code source de LockBit a pu être saisi (celui du ransomware ?), ainsi que des conversations et des informations sur les victimes.

Pour rappel, le gang de ransomware LockBit est à l'origine de plusieurs grandes cyberattaques, y compris en France :

• Cyberattaque de l'Hôpital de Corbeil-Essonnes
• Cyberattaque de La Poste Mobile
• Cyberattaque de Thales
• Cyberattaque Les voyageurs du monde
• Etc...

Reste à savoir quel sera l'impact réel de cette opération sur les activités malveillantes menées par le gang de cybercriminels LockBit. N'oublions pas que LockBit est une véritable organisation criminelle, très bien organisée, avec des processus clairs, etc...

Les autorités devraient s'exprimer prochainement sur le sujet. Nous pouvons les féliciter pour cet excellent travail effectué dans la lutte contre le cybercrime !

Source

The post Ransomware : une opération internationale met à l’arrêt les serveurs de LockBit ! first appeared on IT-Connect.