Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierFlux principal

« On débarque dans cet état de panique », au cœur d’une cyberattaque contre une administration

9 mars 2024 à 20:02

Les cyberattaques par ransomware sont particulièrement redoutées compte tenu de leur effet destructeur dans une organisation. Une entreprise de cybersécurité nous raconte de l'intérieur l'attaque contre une collectivité territoriale.

« On débarque dans cet état de panique », au cœur d’une cyberattaque contre une administration

9 mars 2024 à 20:02

Les cyberattaques par ransomware sont particulièrement redoutées compte tenu de leur effet destructeur dans une organisation. Une entreprise de cybersécurité nous raconte de l'intérieur l'attaque contre une collectivité territoriale.

Un gang de pirates fait croire qu’il a été arrêté pour ne pas partager le magot avec les autres hackers

8 mars 2024 à 09:36

Des hackers du groupe BlackCat ont reçu une rançon d'environ 20 millions d'euros provenant d'une société d'assurance, puis ont disparu avec l'argent pour ne pas avoir à partager les gains avec les autres malfrats.

Un gang de pirates fait croire qu’il a été arrêté pour ne pas partager le magot avec les autres hackers

8 mars 2024 à 09:36

Des hackers du groupe BlackCat ont reçu une rançon d'environ 20 millions d'euros provenant d'une société d'assurance, puis ont disparu avec l'argent pour ne pas avoir à partager les gains avec les autres malfrats.

Ransomware Play : en Suisse, l’attaque de Xplain a permis de voler 65 000 documents gouvernementaux

8 mars 2024 à 07:40

Du côté de la Suisse, le National Cyber Security Centre (NCSC) est revenu sur la fuite de données qui a fait suite à l'attaque par ransomware subie par l'entreprise Xplain. Les pirates ont bien mis en ligne des milliers de fichiers sensibles appartenant au gouvernement fédéral.

Pour information, en Suisse, le NCSC est l'équivalent de l'ANSSI en France.

Le 23 mai 2023, le célèbre gang de ransomware Play est parvenu à pirater l'infrastructure de Xplain, une entreprise importante en Suisse. Il s'agit du fournisseur de services informatiques des autorités nationales et cantonales. En juin 2023, le gang de ransomware Play avait mis en ligne sur le Dark Web les données volées, en affirmant qu'il s'agissait de données sensibles et confidentielles.

Ce jeudi 7 mars 2024, le gouvernement suisse a publié un nouveau rapport qui fait suite à l'analyse des données effectuées par le NCSC. Le gouvernement confirme que 65 000 documents gouvernementaux ont été divulgués par les cybercriminels. En fait, cela correspond à 5% de la totalité des données volées dans le cadre de cette cyberattaque, car il est question de 1,3 million de fichiers, au total.

En ce qui concerne ces 65 000 documents appartenant au gouvernement, il faut savoir que :

  • 95 % de ces fichiers concernent les unités administratives du Département fédéral de justice et police (DFJP) : l'Office fédéral de la justice, l'Office fédéral de la police, le Secrétariat d'État aux migrations et le centre de services informatiques internes ISC-FDJP.
  • 3 % de ces fichiers sont issus de deux entités faiblement impactées : le Département fédéral de la défense et la protection de la population et des sports (DDPS)
  • Environ 5 000 documents contenaient des informations sensibles, que ce soit des données personnelles (noms, adresses électroniques, numéros de téléphone et adresses postales), des détails techniques, des informations classifiées et même des mots de passe de comptes.

Par ailleurs, le rapport précise : "En outre, 278 dossiers contenaient des informations techniques telles que de la documentation sur les systèmes informatiques, des documents sur les exigences logicielles ou des descriptions architecturales, 121 objets étaient classifiés conformément à l'ordonnance sur la protection de l'information et 4 objets contenaient des mots de passe lisibles." - Ceci représente probablement une véritable mine d'informations pour les cybercriminels qui ont pu mettre la main sur ces données.

L'analyse de ces données a nécessité plusieurs mois de travail, ce qui peut se comprendre compte tenu de la quantité de fichiers volés lors de cette cyberattaque.

Source

The post Ransomware Play : en Suisse, l’attaque de Xplain a permis de voler 65 000 documents gouvernementaux first appeared on IT-Connect.

Ransomware : LockBit est déjà de retour et nargue les forces de l’ordre !

26 février 2024 à 08:12

Moins d'une semaine après l'opération Cronos menée par les forces de l'ordre, le gang de cybercriminels LockBit est déjà de retour avec une nouvelle infrastructure. LockBit se dit prêt à effectuer de nouvelles attaques et menace de s'en prendre aux entités gouvernementales. Voici ce que l'on sait.

Lundi 19 février 2024, Europol et les forces de l'ordre de plusieurs pays, dont la France, ont mené l'opération Cronos, qui a permis de porter un coup d'arrêt important aux activités du gang de ransomware LockBit. Les autorités sont parvenues à couper plusieurs sites, à récupérer 34 serveurs, mais également le code source du ransomware, des clés de déchiffrement, etc... Ce qui a permis de créer rapidement un outil de déchiffrement pour LockBit 3.0.

Samedi 24 février 2024, LockBit a mis en ligne un nouveau site vitrine associé à une nouvelle adresse en ".onion" et qui répertorie déjà 5 nouvelles victimes ! Comme à chaque fois, ceci est associé à un compte à rebours pour la publication des données volées.

PHP et la vulnérabilité CVE-2023-3824

LockBitSupp, qui est à la tête de LockBit en a profité pour donner son avis sur ce qu'il vient de se passer, mais également sur l'avenir. Les forces de l'ordre sont parvenues à pirater les serveurs grâce à une faille de sécurité PHP "parce que, après avoir nagé dans l'argent pendant cinq ans, je suis devenu très paresseux", précise-t-il. Effectivement, il indique qu'il a empoché 100 millions de dollars grâce à cette activité.

Il indique que les serveurs avec les interfaces d'administration et le chat n'ont pas été mis à jour, et qu'une version vulnérable de PHP était utilisée. D'après lui, le FBI a exploité la faille de sécurité critique "CVE-2023-3824" présente dans PHP 8.1.2 pour compromettre deux serveurs. Même s'il y a toujours un doute à ce sujet, et que le FBI pourrait avoir exploité une faille de sécurité zero-day.

LockBit estime que les forces de l'ordre ont pris la décision de s'attaquer à leur infrastructure pour éviter la fuite de certaines informations compromettante dans les affaires judiciaires de Donald Trump, et qui pourraient impacter les prochaines élections américaines. Ce qui donne des idées à LockBit : attaquer plus souvent les entités gouvernementales, pour voir dans quelle mesure le FBI est en mesure de riposter. Une manière de narguer les forces de l'ordre.

D'ailleurs, il est important de préciser qu'il utilise le terme "FBI" pour mentionner le FBI, mais également les forces de l'ordre des autres pays qui ont participé à l'opération Cronos : France, Suisse, Japon, Suède, Canada, etc.

LockBit veut renforcer la sécurité de son infrastructure

Les membres de LockBit semblent également bien décidés à renforcer la sécurité de leur infrastructure, notamment grâce à la décentralisation des informations et une meilleure gestion des clés de déchiffrement. L'objectif étant de rendre plus difficile la récupération des données même lorsque les forces de l'ordre parviennent à mettre la main sur des serveurs de LockBit.

Avec cette nouvelle infrastructure, le gang de ransomware souhaite "la protection maximale des déchiffreurs pour chaque entreprise (victime)."

Même si LockBit est de retour, l'opération Cronos reste un très joli coup ! Elle a forcément affaibli LockBit d'une certaine manière, rien qu'au niveau de la confiance entre LockBit et ses affiliés. Malgré tout, méfions-nous des "ripostes" dans les semaines et mois à venir....

Source

The post Ransomware : LockBit est déjà de retour et nargue les forces de l’ordre ! first appeared on IT-Connect.

La police inflige une gifle à la réputation de Lockbit en discréditant son chef

23 février 2024 à 15:21

Les forces de l'ordre n'ont pas révélé l'identité du leader de Lockbit. Cependant, le dernier message des autorités apparaît comme une manœuvre pour discréditer LockbitSupp. L'opération Cronos, qui a fait tomber ce gang de ransomware, devrait encore produire d'importantes répercussions.

La police inflige une gifle à la réputation de Lockbit en discréditant son chef

23 février 2024 à 15:21

Les forces de l'ordre n'ont pas révélé l'identité du leader de Lockbit. Cependant, le dernier message des autorités apparaît comme une manœuvre pour discréditer LockbitSupp. L'opération Cronos, qui a fait tomber ce gang de ransomware, devrait encore produire d'importantes répercussions.

À quoi ressemblent les hackers de Lockbit, le groupe de pirates dont tout le monde parle

22 février 2024 à 14:25

Une opération internationale des forces de police, dont la Gendarmerie nationale, a permis de stopper le plus important groupe de hackers, Lockbit. Les visages de certains membres de ce gang sont connus publiquement.

Les deux hackers de Lockbit arrêtés par la Gendarmerie en Ukraine sont un père et son fils

22 février 2024 à 10:40

La police nationale ukrainienne et la Gendarmerie Nationale ont déclaré avoir arrêté deux membres du gang de hackers Lockbit dans une ville à l'ouest de l'Ukraine. Ils étaient en charge, entre autres, du blanchiment d'argent.

Une collaboration internationale solide face au groupe Lockbit

Par : UnderNews
20 février 2024 à 20:49

Le mardi 20 février, le site internet principal du groupe de ransomware influent LockBit a été fermé suite à une opération de police coordonnée de 11 pays. Ce cyber-gang, actif depuis 2020 et décrit comme « le plus prolifique et le plus dangereux au monde » par Europol, revendique plus de 1700 attaques depuis sa création. Communiqué […]

The post Une collaboration internationale solide face au groupe Lockbit first appeared on UnderNews.

Opération Cronos – Ransomware LockBit 3.0 : un outil de déchiffrement est disponible !

20 février 2024 à 14:40

L'énorme coup réalisé par les forces de l'ordre dans le cadre de l'opération Cronos se confirme : les clés de déchiffrement pour le ransomware LockBit sont entre les mains des autorités, ce qui va permettre de déchiffrer les données gratuitement !

L'opération Cronos est véritablement un coup d'arrêt pour le gang de cybercriminels LockBit. Au-delà d'être parvenu à arrêter les serveurs associés au site vitrine des malfaiteurs, les autorités sont parvenues à récupérer le code source du ransomware LockBit. Cette information a été confirmée par la National Crime Agency (NCA) du Royaume-Uni.

Comme on pouvait s'y attendre, d'autres détails sur cette intervention commencent à être diffusés. Tout d'abord, il faut savoir que les autorités ont pu arrêter 2 membres de LockBit en Pologne et en Ukraine. À cela s'ajoutent le gel de 200 comptes de crypto-monnaie liés au groupe de cybercriminels.

Europol - Arrêt ransomware LockBit - Février 2024

Un outil de déchiffrement est disponible !

Les autorités ont pu arrêter 34 serveurs utilisés par le gang de ransomware LockBit, sur lesquels ils sont parvenus à obtenir plus de 1 000 clés de déchiffrement ! Il s'agit d'une information capitale ! En effet, les autorités sont parvenues à créer un outil de déchiffrement pour LockBit 3.0 !

Le rapport mis en ligne par Europol précise : "Avec le soutien d'Europol, la police japonaise, la National Crime Agency et le Federal Bureau of Investigation ont concentré leur expertise technique pour développer des outils de déchiffrement destinés à récupérer les fichiers chiffrés par le ransomware LockBit".

Cet outil de déchiffrement pour LockBit 3.0 est disponible sur le site "No More Ransom" ! Il doit permettre la récupération des données chiffrées par le ransomware LockBit 3.0 sans avoir à payer la rançon ! D'après un rapport d'Eurojust : "Les attaques de LockBit auraient touché plus de 2 500 victimes dans le monde entier."

Un énorme bravo aux forces de l'ordre !

Source

The post Opération Cronos – Ransomware LockBit 3.0 : un outil de déchiffrement est disponible ! first appeared on IT-Connect.

Ransomware : une opération internationale met à l’arrêt les serveurs de LockBit !

20 février 2024 à 10:42

Nous ne sommes qu'au mois de février, et pourtant, il pourrait déjà s'agir du coup de l'année sur la scène de la cybersécurité ! Les autorités sont parvenues à mettre hors ligne le site de LockBit, qui est probablement le gang de cybercriminels le plus actif depuis plusieurs années. Faisons le point sur cette intervention !

Depuis le 19 février 2024, le site du gang de ransomware LockBit a été mis hors ligne ! Il était utilisé par les pirates comme vitrine puisqu'il servait à publier les noms des victimes, mais également les montants des rançons et les données volées dans le cadre des attaques.

Désormais, le site de LockBit ressemble à ceci :

Site LockBit hors ligne février 2024
Source : BleepingComputer

La National Crime Agency du Royaume-Uni s'est exprimée sur le sujet : "La NCA peut confirmer que les services de LockBit ont été interrompus à la suite d'une action internationale. Il s'agit d'une opération en cours et en développement."

En effet, les forces de l'ordre et organismes de 11 pays sont à l'origine de cette opération, nommée officiellement l'opération Cronos et menée à l'internationale. En effet, la France a participé par l'intermédiaire de la Gendarmerie Nationale, mais elle n'était pas seule puisque le FBI était aussi de la partie, accompagné par l'Allemagne, le Japon, la Suède, le Canada, ou encore la Suisse.

D'après le membre LockBitSupp, qui serait à la tête de LockBit et qui s'est exprimé par l'intermédiaire du service de messagerie Tox, le FBI est parvenu à accéder aux serveurs de LockBit à l'aide d'un exploit PHP. Les forces de l'ordre sont également parvenues à mettre hors ligne l'interface dédiée aux affiliés de LockBit. Un message indique que le code source de LockBit a pu être saisi (celui du ransomware ?), ainsi que des conversations et des informations sur les victimes.

Pour rappel, le gang de ransomware LockBit est à l'origine de plusieurs grandes cyberattaques, y compris en France :

Reste à savoir quel sera l'impact réel de cette opération sur les activités malveillantes menées par le gang de cybercriminels LockBit. N'oublions pas que LockBit est une véritable organisation criminelle, très bien organisée, avec des processus clairs, etc...

Les autorités devraient s'exprimer prochainement sur le sujet. Nous pouvons les féliciter pour cet excellent travail effectué dans la lutte contre le cybercrime !

Source

The post Ransomware : une opération internationale met à l’arrêt les serveurs de LockBit ! first appeared on IT-Connect.

Les polices de 11 pays, dont la France, abattent le site de Lockbit, le plus important gang de hackers

20 février 2024 à 05:00

Le site des hackers russophones de Lockbit a été mis hors-ligne par les forces de l'ordre de plusieurs pays, dont la Gendarmerie nationale. Ces pirates sont responsables de plusieurs cyberattaques, dont celles contre l'hôpital de Corbeil-Essonnes, la Poste Mobile et le département du Loiret.

Le ransomware RansomHouse s’appuie sur l’outil MrAgent pour automatiser les attaques sur VMware ESXi

15 février 2024 à 20:54

MrAgent, c'est le nom du nouvel outil mis au point par le gang de ransomware RansomHouse ! Son rôle ? Automatiser sa propagation d'un hyperviseur VMware ESXi à un autre pour chiffrer les machines virtuelles. Faisons le point sur cette menace.

Lancé en décembre 2021, RansomHouse est ce que l'on appelle un Ransomware-as-a-Service, et il a été utilisé pour cibler de grandes organisations tout au long de l'année 2023, d'après un rapport de Trellix. Il est capable de s'attaquer aux hyperviseurs VMware ESXi dans le but de chiffrer les machines virtuelles, et c'est loin d'être le seul ransomware à avoir cette capacité.

Et visiblement, les cybercriminels ont décidé de passer à la vitesse supérieure grâce à l'utilisation d'un outil baptisé MrAgent. Il a été découvert par les analystes de Trellix, suite à des investigations menées en réponse à des incidents de sécurité.

MrAgent agit en complément du ransomware et il reçoit des ordres de la part des pirates depuis un serveur C2 qui sert d'intermédiaire. Il a pour objectif d'identifier le système local, de désactiver le pare-feu, et de se propager sur d'autres hyperviseurs VMware ESXi dans le but de faire un maximum de dégâts. En effet, sur chaque hyperviseur où il parvient à se déployer, il va automatiquement chiffrer les machines virtuelles. Il va également surveiller l'activité de l'hyperviseur pour arrêter tous les processus qui pourraient interférer avec l'opération de chiffrement.

Les cybercriminels peuvent configurer MrAgent à distance pour planifier le chiffrement des machines virtuelles, pour ajuster les paramètres de chiffrement ou encore pour modifier le mot de passe de l'hyperviseur VMware.

Le rapport de Trellix précise : "Les efforts déployés pour automatiser (davantage) les étapes qui sont souvent exécutées manuellement montrent à la fois l'intérêt et la volonté de l'attaquant de cibler de grands réseaux." - Ceci correspond au fait que RansomHouse s'attaque en priorité aux grandes organisations.

Enfin, les analystes de Trellix ont également pu identifier une version de MrAgent compatible Windows. Ceci montre que le gang de ransomware RansomHouse a l'ambition d'automatiser ce processus aussi bien sur des machines Linux que des machines Windows.

Source

The post Le ransomware RansomHouse s’appuie sur l’outil MrAgent pour automatiser les attaques sur VMware ESXi first appeared on IT-Connect.

Un outil de déchiffrement est disponible pour le ransomware Rhysida !

13 février 2024 à 06:15

Des chercheurs en sécurité sont parvenus à identifier une vulnérabilité dans le fonctionnement du ransomware Rhysida ! Grâce à elle, ils ont pu mettre au point un outil de déchiffrement qui va permettre aux victimes de récupérer leurs données gratuitement !

Le ransomware Rhysida

C'est la première fois qu'un outil de déchiffrement est disponible pour le ransomware Rhysida. D'ailleurs, il est plutôt récent puisqu'il a été repéré pour la première fois en mai 2023. Ce gang de ransomware applique le principe de la double extorsion, comme beaucoup d'autres gangs, afin de mettre un maximum de pression sur les victimes.

En novembre 2023, aux Etats-Unis, ce gang de ransomware qualifié d'opportuniste, avait fait l'objet d'une alerte de sécurité émise conjointement par le FBI et la CISA.

Une vulnérabilité dans le processus de chiffrement

La semaine dernière, un outil de déchiffrement pour le ransomware Rhysida a été publié par un groupe de chercheurs de l'université Kookmin, située en Corée du Sud, en collaboration avec la KISA, à savoir l'agence coréenne spécialisée dans Internet et la sécurité.

Pour parvenir à mettre au point cet outil, les chercheurs en sécurité ont découvert une vulnérabilité dans le schéma de chiffrement du ransomware, et ils ont pu restaurer l'état du générateur de nombres pseudo-aléatoires cryptographiquement sécurisé (CSPRNG) pour obtenir une clé de déchiffrement.

En fait, ils expliquent que ce ransomware effectue un chiffrement partiel des données, comme d'autres ransomwares, et il s'appuie à un moment donné sur l'heure du système pour obtenir une valeur afin de générer la clé de chiffrement. Cette valeur n'est pas suffisamment sécurisée (entropie trop faible) et elle est prédictible, notamment en identifiant l'heure de l'infection.

Les chercheurs ont mis au point un outil capable de tester plusieurs valeurs. Une fois la bonne valeur trouvée, tous les nombres aléatoires utilisés par le ransomware pour chiffrer les données peuvent être prédits, ce qui permet de restaurer les données sans réellement avoir connaissance de la clé privée. Ainsi, l'opération de chiffrement est inversée.

La bonne nouvelle, c'est qu'il y a un outil de déchiffrement prêt à l'emploi, pour Windows, qui est disponible sur le site de l'agence KISA. En principe, vous pouvez utiliser cet outil pour restaurer les données chiffrées par le ransomware Rhysida.

Il s'avère que cette vulnérabilité dans le processus de chiffrement du ransomware Rhysida était déjà connue depuis plusieurs mois par des entreprises spécialisées dans la cybersécurité, ainsi que des entités gouvernementales, comme le CERT-FR. Elle a pu être utilisée en privé, sans qu'elle soit divulguée comme c'est le cas ici. Ainsi, de nombreuses entreprises n'ont jamais eu à payer la rançon pour récupérer leurs données. Un joli coup !

Source

The post Un outil de déchiffrement est disponible pour le ransomware Rhysida ! first appeared on IT-Connect.

Hyundai Motor Europe victime du ransomware Black Basta : 3 To de données volées !

9 février 2024 à 08:39

Hyundai Motor Europe, c'est le nom de la nouvelle victime du gang de ransomware Black Basta ! Les cybercriminels affirment qu'ils ont pu dérober 3 To de données lors de cette cyberattaque. Faisons le point.

Comme le nom l'indique, Hyundai Motor Europe, c'est le nom de la division européenne du géant de l'automobile Hyundai. Quant au gang de ransomware Black Basta, il a été lancé en avril 2022 et il est, en quelque sorte, l'héritier du gang de ransomware Conti. Ce groupe de cybercriminels est très actif depuis son lancement.

Pour le moment, Hyundai Motor Europe ne s'est pas exprimé publiquement sur cet incident de sécurité. Toutefois, le site Bleeping Computer a eu écho de cette cyberattaque et est parvenu à obtenir une confirmation auprès d'Hyundai : "Hyundai Motor Europe enquête sur un cas dans lequel un tiers non autorisé a accédé à une partie limitée du réseau de Hyundai Motor Europe." - Sans pour autant préciser l'origine de cette cyberattaque.

Pourtant, au mois de janvier, le gang de ransomware Black Basta a affirmé avoir volé 3 To de données à Hyundai Motor Europe, ce qui semble correspondre à cet incident de sécurité. Même si l'on ne sait pas quelles données ont été volées, cette attaque est réelle. D'après le site Bleeping Computer, qui a pu avoir un aperçu d'un échantillon de données, les noms des dossiers indiquent que les données appartiennent à différents départements de l'entreprise : service juridique, commercial, ressources humaines, comptabilité, et même l'informatique.

Pour Hyundai, c'est le deuxième incident de cybersécurité de l'année 2024. En janvier 2024, le compte X de Hyundai avait été piraté et utilisé à des fins malveillantes par un groupe de pirates. En 2023, il y avait eu également une fuite de données suite à la compromission d'un serveur, ce qui avait permis aux pirates de récupérer des données personnelles de clients français et italiens.

Source

The post Hyundai Motor Europe victime du ransomware Black Basta : 3 To de données volées ! first appeared on IT-Connect.

« Vos données ont été volées », le gang de hackers Lockbit fait savoir à tout le monde qu’il vous a piraté

8 février 2024 à 17:33

Le collectif de cybercriminels Lockbit a affiché un message sur le site de ses victimes pour créer la panique. Ces cybercriminels réutilisent une technique mobilisée depuis longtemps par les pirates.

❌
❌