FreshRSS

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierFlux principal

Augmentation des attaques contre les cryptomonnaies : origines et conséquences

26 novembre 2021 à 11:14
Par : UnderNews

Alors que les cybercriminels effectuent habituellement leur demande de rançon en cryptomonnaie, la plateforme d’échange BTC-Alpha a récemment révélé avoir été visée par un ransomware. Un outil de chiffrement appelé Babadeba, cible également les communautés crypto, NFT et DEFI.

The post Augmentation des attaques contre les cryptomonnaies : origines et conséquences first appeared on UnderNews.

4 raisons pour lesquelles la police a du mal à mesurer l’ampleur des ransomware

25 novembre 2021 à 16:58

Les services statistiques du ministère de l'Intérieur publient ce 24 novembre 2021 leur premier rapport sur les rançongiciels qui visent les entreprises et les institutions. Mais des faiblesses dans la mesure du phénomène interrogent. [Lire la suite]

Abonnez-vous à notre chaîne YouTube pour ne manquer aucune vidéo !

L'article 4 raisons pour lesquelles la police a du mal à mesurer l’ampleur des ransomware est apparu en premier sur Numerama.

4 raisons pour lesquelles la police a du mal à mesurer l’ampleur des ransomware

25 novembre 2021 à 16:50

Les services statistiques du ministère de l'Intérieur publient ce 24 novembre 2021 leur premier rapport sur les rançongiciels qui visent les entreprises et les institutions. Mais des faiblesses dans la mesure du phénomène interrogent. [Lire la suite]

Abonnez-vous à notre chaîne YouTube pour ne manquer aucune vidéo !

The post 4 raisons pour lesquelles la police a du mal à mesurer l’ampleur des ransomware appeared first on Cyberguerre.

Consommation et cybersécurité : Payer une rançon fait fuir les clients !

18 novembre 2021 à 14:33
Par : UnderNews

À l’approche du tant attendu Black Friday, dont le coup d’envoi sera donné vendredi 26 novembre prochain, les consommateurs se préparent à bénéficier des bons plans proposés par une multitude de marques.

The post Consommation et cybersécurité : Payer une rançon fait fuir les clients ! first appeared on UnderNews.

Cybersécurité – Pourquoi Emotet fait son retour

18 novembre 2021 à 14:10
Par : UnderNews

Le malware Emotet dont l’infrastructure avait été démantelée au mois de janvier est de retour. Voici l'avis de Justin Fier, Directeur Cyber Intelligence et Analytics de Darktrace à ce sujet.

The post Cybersécurité – Pourquoi Emotet fait son retour first appeared on UnderNews.

Rapport des menaces Avast – 3ème trimestre 2021 : un risque élevé de ransomwares et d’attaques de type cheval de Troie

18 novembre 2021 à 13:47
Par : UnderNews

Les chercheurs du Laboratoire des menaces Avast ont également observé une augmentation des activités des rootkits et de nouvelles approches dans les domaines des kits d'exploit et du cheval de Troie bancaire « Flubot ».

The post Rapport des menaces Avast – 3ème trimestre 2021 : un risque élevé de ransomwares et d’attaques de type cheval de Troie first appeared on UnderNews.

WordPress : des sites piratés, avec une demande de rançon à la clé !

17 novembre 2021 à 11:23

Depuis la semaine dernière, une nouvelle vague d'attaques touche les sites WordPress et elle aurait fait au moins 300 victimes jusqu'ici. Lorsque le site WordPress est hacké, une page s'affiche avec une demande de rançon de 0,1 bitcoin pour déchiffrer le contenu du site. Que se passe-t-il exactement ?

L'entreprise Sucuri a fait la découverte de cette nouvelle attaque à destination des sites WordPress, à la suite d'une sollicitation de la part d'un Webmaster victime de cette attaque.

Concrètement, certains webmasters ont eu la mauvaise surprise de découvrir une nouvelle page d'accueil sur leur site. En effet, le message "Site encrypted" s'affiche, accompagné par un compte à rebours de quelques jours et une adresse pour envoyer 0,1 Bitcoin afin de restaurer le site WordPress. Si l'on convertit cette somme en euros, cela correspond à un peu plus de 5 200 euros, ce qui n'est pas rien.

La bonne nouvelle, c'est que les équipes de chez Sucuri ont constaté que le site n'était pas chiffré ! À la place de ça, l'attaquant à simplement modifié le code d'un plug-in WordPress installé sur le site afin d'afficher la page d'alerte qui indique que le site est chiffré. En complément, l'ensemble des articles du site sont modifiés afin de définir l'état ("post_status") sur null, ce qui empêche l'affichage de l'article puisqu'il est dans un état inconnu.

En réalité, ce piratage  par un ransomware est une illusion dans le sens où le site n'est pas réellement chiffré, mais que le pirate cherche à tromper le Webmaster en l'incitant à payer la rançon de 0,1 Bitcoin. Sucuri estime qu'en supprimant le plug-in modifié par le pirate, en l'occurrence ici Directorist, et en exécutant une commande pour rectifier l'état des articles, le site peut revenir à son état normal.

En s'intéressant aux journaux du site, Sucuri a remarqué que le premier point où l'adresse IP de l'attaquant apparaissait était le panneau d'administration "wp-admin". On peut en déduire que l'attaquant s'est connecté en tant qu'admin sur le site, en réalisant une attaque par brute-force ou en achetant des identifiants via le dark web. Visiblement, l'attaquant n'a pas exploité une faille de sécurité dans un plug-in pour devenir admin du site. Quoi qu'il en soit, veillez à maintenir vos plug-ins et WordPress à jour.

Source

The post WordPress : des sites piratés, avec une demande de rançon à la clé ! first appeared on IT-Connect.

Ransomware REvil : 10M de dollars à celui qui aidera les USA à identifier les leaders

9 novembre 2021 à 07:36

Les États-Unis passent à la vitesse supérieure pour arrêter les leadeurs du groupe de hackers derrière le ransomware REvil. Une récompense pouvant atteindre 10 millions de dollars attend les personnes qui aideront les autorités à localiser ou identifier un ou plusieurs membres.

C'est par l'intermédiaire du Département d'État des États-Unis que l'on a pu apprendre cette nouvelle : une récompense pouvant atteindre 10 millions de dollars sera offerte pour toute information qui permettrait d'identifier ou de localiser toute personne ayant une position clé au sein du groupe criminel REvil, associé au ransomware du même nom.

Dans le même temps, le ministère a également déclaré qu'il offrait une récompense pouvant atteindre 5 millions de dollars, pour toute information menant à l'arrestation ou à la condamnation de tout individu participant à une attaque par ransomware avec une variante de REvil, notamment Sodinokibi.

Si vous parvenez à fournir des informations valides au sujet d'un membre, le montant de la récompense dépendra du rôle de cette personne dans l'organisation du groupe criminel. Les activités de REvil sont redoutables, et il y a déjà eu de nombreuses victimes, dont Kaseya, JBS, Coop, Travelex, GSMLaw, Kenneth Cole, et Grupo Fleury. C'est lui aussi qui a commencé à s'en prendre aux serveurs VMware ESXi, il y a quelques mois.

Il y a quelques jours, les États-Unis ont mis en place le même système de récompense en l'échange d'information au sujet des membres du groupe criminel DarkSide, par l'intermédiaire du FBI. En prime, nous avons le droit à une affiche digne des Westerns de l'époque.

Source

The post Ransomware REvil : 10M de dollars à celui qui aidera les USA à identifier les leaders first appeared on IT-Connect.

Démantèlement de REvil : deux nouveaux suspects du groupe de ransomware arrêtés en Roumanie

8 novembre 2021 à 18:39

Deux membres suspectés de faire parti du groupe de rançongiciel REvil ont été arrêtés en Roumanie. Une opération internationale chapeauté par Europol et Eurojust à laquelle la France a participé. Elle signe un revers de plus pour le groupe cybercriminel. [Lire la suite]

Abonnez-vous à notre chaîne YouTube pour ne manquer aucune vidéo !

The post Démantèlement de REvil : deux nouveaux suspects du groupe de ransomware arrêtés en Roumanie appeared first on Cyberguerre.

Le ransomware Babuk exploite les failles Exchange ProxyShell pour se propager

5 novembre 2021 à 08:34

Pour se propager et faire de nouvelles victimes, le ransomware Babuk exploite les vulnérabilités ProxyShell des serveurs de messagerie Microsoft Exchange. Si vous avez déjà fait le nécessaire, alors vous êtes protégé.

Cela fait plusieurs mois que les serveurs Exchange vulnérables sont la cible de différents groupes d'attaquants, notamment car il existe des exploits prêts à l'emploi pour les failles ProxyShell. Désormais, c'est un nouvel acteur surnommé Tortilla qui s'y met pour déployer le ransomware Babuk, d'après des chercheurs en sécurité de Cisco Talos.

En premier lieu, le processus de mise en place du ransomware Babuk commence par s'attaquer au serveur Exchange en injectant une DLL ou un EXE malveillant sur le serveur de messagerie. Ce binaire est ensuite chargé par le processus "w3wp.exe" associé à IIS, puis il exécute une charge malveillante sur le serveur, en l'occurrence une commande PowerShell, et il termine par exécuter une requête Web pour récupérer "tortilla.exe" qui sera là pour exécuter d'autres payloads. Enfin, c'est le ransomware Babuk qui est exécuté pour chiffrer et exfiltrer des données.

Source : Cisco Talos

La carte des victimes publiée par Cisco ne met pas en évidence de victimes en France. Néanmoins, il y en a dans de nombreux pays y compris en Europe : les États-Unis, le Brésil, la Thaïlande, l'Ukraine, le Royaume-Uni, la Finlande et l'Allemagne. L'origine des attaques est connue : Moscou, en Russie, mais pour autant le rapport publié par Cisco Talos n'attribue pas ces attaques à un groupe de hackers spécifique.

Source : Cisco Talos

Il existe un déchiffreur pour le ransomware Babuk mais il ne fonctionne pas avec toutes les attaques. En effet, il a été créé suite à la fuite d'une partie du code source du ransomware, mais depuis il utilise de nouvelles clés privées qui ne permettent plus au déchiffreur de fonctionner.

Cet article est l'occasion de faire une piqûre de rappel quant à l'importance de patcher votre serveur de messagerie Exchange contre les failles ProxyShell et ProxyLogon afin d'éviter d'être piraté par ce biais.

Source

The post Le ransomware Babuk exploite les failles Exchange ProxyShell pour se propager first appeared on IT-Connect.

Attaque DDoS contre des fournisseurs de service VoIP, la nouvelle forme des ransomwares

4 novembre 2021 à 14:12
Par : UnderNews

Une cyberattaque coordonnée sans précédent a frappé fin octobre plusieurs fournisseurs de services de voix sur IP (VoIP) basés au Royaume-Uni. Ce type d’attaque par déni de service distribué (DDoS) fonctionne en inondant un site Web de trafic Internet dans le but de le mettre hors ligne, ou de le rendre inaccessible. La campagne malveillante récente visait les fournisseurs de VoIP qui offrent des services téléphoniques aux entreprises britanniques, y compris les services d'urgence.

The post Attaque DDoS contre des fournisseurs de service VoIP, la nouvelle forme des ransomwares first appeared on UnderNews.

Arrivé en fanfare, le rançongiciel BlackMatter arrête son activité sous la pression des autorités

3 novembre 2021 à 12:51

la fin the end

À sa création pendant l'été, le gang spécialisé dans les rançongiciels vantait son ambition et ses capacités. Il a annoncé le 1er novembre 2021 cesser ses activités, sous la pression des autorités. [Lire la suite]

Voitures, vélos, scooters... : la mobilité de demain se lit sur Vroom ! https://www.numerama.com/vroom/vroom//

The post Arrivé en fanfare, le rançongiciel BlackMatter arrête son activité sous la pression des autorités appeared first on Cyberguerre.

Le ransomware Hive s’attaque à Linux et FreeBSD

2 novembre 2021 à 13:37

En plus des machines sous Windows, le ransomware Hive est désormais capable de chiffrer des machines sous Linux et FreeBSD, mais cette nouvelle variante, ne semble pas tout à fait au point. Explications.

Le ransomware Hive, codé en Golang (Go), s'attaque déjà à Windows depuis quelque temps. Le groupe de hackers Hive est actif au moins depuis juin 2021 et il y a déjà eu au moins une trentaine d'entreprises touchées, sans compter celles qui ont payé la rançon.

Désormais, une nouvelle variante, elle aussi codée en Golang, s'en prend aux machines sous Linux et FreeBSD. Cela prouve une fois de plus que les ransomwares s'intéressent de plus en plus à Linux. D'ailleurs, il y a quelques mois on apprenait que le ransomware REvil s'en prenait aux serveurs VMware ESXi.

D'après les chercheurs de chez ESET, qui ont pu analyser précisément cette nouvelle variante du ransomware Hive, tout n'est pas encore au point. Le module de chiffrement est toujours en phase de développement et il lui manque certaines fonctionnalités vis-à-vis de la version Windows. Pour le moment, Hive sous Linux ou FreeBSD supporte un seul commutateur au moment de l'exécution (-no-wipe). Alors que sur la version existante pour Windows, il y a 5 options différentes pour personnaliser l'exécution du ransomware, notamment pour tuer les processus, outrepasser les fichiers inutiles, etc.

Difficile de savoir à quel point les versions Windows et Linux sont proches puisque les noms des paquets et des fonctions ont été obfusqués, probablement avec l'outil gobfuscate, pour rendre le code incompréhensible. Même si pour le moment la version Linux semble bancale, ce n'est qu'une question de temps avant qu'elle devienne pleinement opérationnelle et exploitable par les pirates.

#ESETresearch has identified Linux and FreeBSD variants of the #Hive #Ransomware. Just like the Windows version, these variants are written in #Golang, but the strings, package names and function names have been obfuscated, likely with gobfuscate. 1/6 pic.twitter.com/dBw0E5pj6r

— ESET research (@ESETresearch) October 29, 2021

Source

The post Le ransomware Hive s’attaque à Linux et FreeBSD first appeared on IT-Connect.

Est-il vraiment possible de négocier avec les gangs de ransomware?

31 octobre 2021 à 11:13

Négocier permet de gagner du temps, mais le paiement de la rançon soulèvent des questions, notamment sur le plan éthique. [Lire la suite]

Voitures, vélos, scooters... : la mobilité de demain se lit sur Vroom ! https://www.numerama.com/vroom/vroom//

The post Est-il vraiment possible de négocier avec les gangs de ransomware ? appeared first on Cyberguerre.

Un homme soupçonné d’être un cybercriminel de premier plan du groupe REvil identifié par la police

29 octobre 2021 à 14:52

Des enquêteurs allemands révèlent avoir identifié ce qu’ils pensent être un pirate important du groupe REvil, spécialisé dans les attaques rançongiciel. Le suspect vit toujours en Russie et affiche son train de vie luxueux sur les réseaux sociaux. [Lire la suite]

Abonnez-vous à notre chaîne YouTube pour ne manquer aucune vidéo !

The post Un homme soupçonné d’être un cybercriminel de premier plan du groupe REvil identifié par la police appeared first on Cyberguerre.

Avast publie des outils de déchiffrement pour LockFile, Atom Silo et Babuk !

28 octobre 2021 à 07:59

L'éditeur de solutions de sécurité Avast a publié des outils de déchiffrement pour récupérer ses données chiffrées par les ransomware LockFile, Atom Silo ou Babuk. Une bonne nouvelle pour les victimes qui vont pouvoir récupérer leurs données gratuitement, sans devoir payer la rançon.

Un premier outil de déchiffrement est mis à disposition par Avast afin de déchiffrer les données, mais il peut échouer sur certains fichiers. Comme l'explique l'équipe d'Avast Threat Intelligence, cet outil peut ne pas être en mesure de déchiffrer certains fichiers dont le format est inconnu, propriétaire ou qu'il n'y a pas de format. Lors de son exécution, vous pouvez déchiffrer des disques complets.

Cet outil de déchiffrement fonctionne avec deux ransomwares : LockFile et Atom Silo car ils sont similaires, même si les méthodes d'attaques utilisées par les groupes de hackers sont différentes. Il a été créé par l'équipe d'Avast en collaboration avec Jiří Vinopal du RE-CERT. Pour rappel, LockFile est un ransomware qui s'appuie sur les failles de sécurité ProxyShell (Exchange) et PetitPotam pour faire des victimes et il chiffre les fichiers en laissant l'extension ".lockfile".

Dans le même temps, Avast a publié un autre outil de déchiffrement qui s'applique à un autre ransomware nommé Babuk. Pour sa part, lorsqu'il chiffre les données de sa victime, il utilise les extensions suivantes : .babuk, .babyk, et .doydo.

Voilà une bonne nouvelle puisque les victimes de ces trois ransomwares ont désormais une solution gratuite pour tenter de récupérer leurs données. Une belle initiative de la part d'Avast.

Source

The post Avast publie des outils de déchiffrement pour LockFile, Atom Silo et Babuk ! first appeared on IT-Connect.

Après SolarWinds, Nobellium lance une nouvelle offensive sur la supply chain

27 octobre 2021 à 17:34
Par : UnderNews

Microsoft a récemment publié un rapport inquiétant sur une nouvelle vague de cyberattaques visant des entreprises du secteur informatique. Nobellium, un groupe de Hacker affilié à la Russie à l’origine de l'attaque de Solarwinds serait derrière cette campagne.

The post Après SolarWinds, Nobellium lance une nouvelle offensive sur la supply chain first appeared on UnderNews.

Ransomwares : faut-il payer la rançon ?

27 octobre 2021 à 15:47
Par : UnderNews

Tandis que l’on note une recrudescence des attaques ransomwares, la députée Valéria Faure-Muntian prévoit d’arrêter le paiement des rançons par les assurances.

The post Ransomwares : faut-il payer la rançon ? first appeared on UnderNews.
❌