FreshRSS

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
Hier — 26 janvier 2022Flux principal

Les API – les bons élèves de la transformation digitale des entreprises

26 janvier 2022 à 17:46
Par : UnderNews

Les interfaces de programmation d'applications (API) sont au cœur de presque toutes les expériences numériques modernes et leurs performances et leur sécurité sont essentielles pour séduire les clients et accroître les bénéfices.

The post Les API – les bons élèves de la transformation digitale des entreprises first appeared on UnderNews.

PwnKit : vieille de 12 ans, cette faille Linux permet de devenir root !

26 janvier 2022 à 09:35

La commande pkexec de Polkit contient une faille de sécurité qui permet à l'attaquant de devenir "root" sur une machine Linux. Associée à la référence CVE-2021-4034, cette vulnérabilité a été baptisée PwnKit.

L'équipe de chercheurs en sécurité de Qualys a détecté une vulnérabilité de type "corruption de mémoire" au sein de pkexec, une commande associée à Polkit (PolicyKit). Pour rappel, Polkit est un composant intégré par défaut à Linux et qui va permettre de gérer les règles d'autorisation pour permettre la communication entre des processus non privilégiés et des processus privilégiés. En s'appuyant sur pkexec, Polkit peut être utilisé pour exécuter des commandes avec des privilèges élevés.

En exploitant la vulnérabilité PwnKit, un utilisateur local standard de la machine Linux peut obtenir les droits "root". Cette faille de sécurité est exploitable sur différentes distributions Linux. Les chercheurs de Qualys ont pu devenir "root" sur Ubuntu, Debian, Fedora et CentOS à partir d'une installation par défaut. Ils précisent également que d'autres distributions Linux sont surement vulnérables à cette faille de sécurité. En fait, cette vulnérabilité existe dans Polkit depuis plus de 12 ans et elle affecte toutes les versions de pkexec depuis sa première version en mai 2009.

Si l'annonce de cette faille de sécurité tombe aujourd'hui, ce n'est pas un hasard : Qualys a découvert cette vulnérabilité en 2021 et a remonté l'information le 18 novembre 2021 dernier. Cela fait plusieurs semaines que les équipes de développement des différentes distros Linux ont entre leurs mains les informations nécessaires pour patcher cette faille sur leur système.

Par exemple, Ubuntu dispose déjà de mises à jour pour Polkit afin de patcher la faille PwnKit, au sein de plusieurs versions d'Ubuntu : 14.04 et 16.04 ESM (Extended Security Maintenance) mais aussi pour les versions plus récentes : 18.04, 20.04, et 21.04. Après avoir mis à jour le système (de façon classique), il ne restera plus qu'à redémarrer la machine.

Par ailleurs, il existe une manière de se protéger en modifiant les droits sur le binaire "pkexec" de cette façon :

chmod 0755 /usr/bin/pkexec

L'équipe de chercheurs de Qualys n'a pas publié de PoC permettant d'exploiter cette faille de sécurité, et pourtant quelques heures ont suffi pour qu'un PoC public soit disponible. Cela est la preuve que cette faille est facile à exploiter, même si cela requiert un accès sur la machine via un utilisateur local.

Ce n'est pas la première fois qu'une faille présente depuis plusieurs années est découverte au sein de Polkit : l'année dernière, la CVE-2021-3560 avait été découverte et elle touchait aussi plusieurs distributions Linux.

Source

The post PwnKit : vieille de 12 ans, cette faille Linux permet de devenir root ! first appeared on IT-Connect.

Le malware Trickbot est capable de détecter les analyses des chercheurs

26 janvier 2022 à 08:34

Le malware Trickbot est présent sur le devant de la scène depuis plusieurs années, et il continue d'être amélioré par ses créateurs, notamment pour que les chercheurs en sécurité aient plus de mal à analyser son code, son comportement.

Pour rappel, Trickbot est un logiciel malveillant qui permet aux attaquants de réaliser divers types d'activités malveillantes, en fonction de la charge utile qui sera déployée. Par exemple, Trickbot peut être utilisé pour dérober des informations bancaires, mais il est aussi utilisé dans le cadre d'attaques par ransomware notamment par le groupe Conti. Bien souvent, Trickbot infecte une machine par l'intermédiaire d'un e-mail de phishing et d'une pièce jointe malveillante.

Suite à l'analyse d'échantillons de Trickbot, les chercheurs en sécurité d'IBM Trusteer ont publié un rapport qui contient des informations intéressantes. Le moins que l'on puisse dire, c'est que les développeurs de Trickbot souhaitent challenger les chercheurs en sécurité ! Autrement dit, les chercheurs en sécurité ne sont pas les bienvenus. 🙂

Tout d'abord, et c'est une méthode classique, Trickbot s'appuie sur différentes couches d'encodage en base64 et d'obfuscation pour rendre le code illisible. Cela passe par la minification du code (suppression de tous les espaces inutiles et sauts de lignes), suppression et remplacement de caractères, intégration de dead code (bout de code qui n'affecte pas le fonctionnement global du script mais qui complexifie sa compréhension), etc. Avec Trickbot, c'est la multitude de couches utilisées pour répéter ces actions qui rend la tâche difficile... Mais ce n'est pas tout.

Ensuite, lors de l'injection de scripts malveillants au sein de pages Web pour voler des informations d'identification, les ressources locales de la machine ne sont pas utilisées puisque tout repose sur les serveurs distants des attaquants. Des communications chiffrées par HTTPS sont utilisées pour ces communications. À cause de ce mode de fonctionnement, les chercheurs ne peuvent pas récupérer d'éléments en mémoire pour les analyser.

Enfin, Trickbot intègre un script anti-debug dans le code JavaScript. Qu'est-ce que cela signifie ? En se basant sur différents paramètres, notamment la résolution de l'écran, Trickbot peut déterminer si une analyse est en cours, et si c'est le cas, il fait planter le navigateur sur le poste. Il est capable de voir également s’il y a un embellissement du code, c'est-à-dire s'il y a eu un travail pour décoder le code afin de le rendre compréhensible par un humain. Là encore, s'il détecte ce type de manipulation, le navigateur plante afin de mettre fin à l'analyse.

Source

The post Le malware Trickbot est capable de détecter les analyses des chercheurs first appeared on IT-Connect.
À partir d’avant-hierFlux principal

75 % des prestataires de santé utilisent des équipements au système d’exploitation obsolète

25 janvier 2022 à 14:14
Par : UnderNews

Selon le dernier rapport de Kaspersky sur le secteur de la santé, seulement 20 % des prestataires de santé européens – et 10 % des Français – assurent que leurs équipements utilisent les dernières versions logicielles. Pire encore : en France, 50 % des sondés ont conscience d’utiliser des systèmes obsolètes et 40 % ne savent pas si leur système d’exploitation est à jour ou non. Une situation qui constitue une vulnérabilité supplémentaire vis-à-vis des risques cyber.

The post 75 % des prestataires de santé utilisent des équipements au système d’exploitation obsolète first appeared on UnderNews.

LibreOffice, Mastodon : l’UE offre 200 000 € pour sécuriser certains logiciels libres

24 janvier 2022 à 16:19

LibreOffice

La Commission européenne met en place un programme de chasse aux bugs pour certains logiciels libres que ses services utilisent fortement.  [Lire la suite]

Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/

LibreOffice, Mastodon : l’UE offre 200 000 € pour sécuriser certains logiciels libres

24 janvier 2022 à 16:19

LibreOffice

La Commission européenne met en place un programme de chasse aux bugs pour certains logiciels libres que ses services utilisent fortement.  [Lire la suite]

Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/

Les recommandations de Yubico en matière de cybersécurité pour 2022

24 janvier 2022 à 14:54
Par : UnderNews

L’année 2021 a été marquée par une augmentation du nombre de failles de sécurité très médiatisées, dont beaucoup se sont soldées par des attaques de ransomware dévastatrices. Les cybercriminels ont ainsi frappé des cibles traditionnellement plus faciles à atteindre - comme les hôpitaux, les écoles et les collectivités locales - tout en continuant à s’intéresser à la supply chain.

The post Les recommandations de Yubico en matière de cybersécurité pour 2022 first appeared on UnderNews.

En France, les décideurs manquent de ressources cyber

24 janvier 2022 à 11:10
Par : UnderNews

En France, plus de la moitié des décideurs dans les entreprises manquent de ressources pour engager des experts en sécurité.

The post En France, les décideurs manquent de ressources cyber first appeared on UnderNews.

Une attaque supply chain cible WordPress : 93 thèmes et plugins infectés !

24 janvier 2022 à 09:21

C'est une attaque massive de type "supply chain" qui touche les webmasters de sites WordPress ! Au total, 93 thèmes et plugins sont infectés et contiennent une porte dérobée ajoutée par les pirates informatiques. Environ 360 000 sites actifs seraient vulnérables !

Une porte dérobée intégrée à 93 thèmes et plugins

Cette attaque a été découverte par les créateurs du célèbre outil Jetpack pour WordPress et voici ce qu'ils ont trouvé : une porte dérobée PHP ajoutée à de nombreux thèmes et de nombreux plugins attribués au développeur AccessPress. D'après Jetpack, le site d'AccessPress aurait été compromis afin de permettre l'ajout de la porte dérobée aux fichiers d'installation des différents plugins et thèmes.

Suite à cette attaque, les pirates informatiques ont pu compromettre 40 thèmes et 53 plugins WordPress développés par AccessPress. Au total, il y aurait environ 360 000 sites actifs qui s'appuient sur les thèmes ou plugins d'AccessPress, ce qui les rend vulnérables.

WordPress : une backdoor intégrée à 93 plugins et thèmes

La version infectée par la backdoor d'un plugin ou d'un thème peut être récupérée lors d'une mise à jour ou lors de l'installation initiale sur son site WordPress. Suite à cela, un nouveau fichier nommé "initial.php" est mis en place à la racine du thème et il est chargé via le fichier "functions.php" principal. Le fichier "initial.php" contient un bout de code encodé en base64 et correspondant à un webshell, ce dernier étant déployé ensuite au sein du fichier "./wp-includes/vars.php". Le webshell permet à l'attaquant de prendre le contrôle du site WordPress !

D'après les chercheurs de Sucuri, les pirates utilisent les sites infectés pour rediriger les visiteurs vers des sites malveillants, où sont distribués des malwares.

Mon site est-il infecté ?

Pour tous les propriétaires de sites WordPress, la même question : mon site est-il infecté ? Pour le savoir, commencez par regarder la liste des thèmes et plugins infectés sur le site Jetpack. Si vous utilisez un ou plusieurs éléments de cette liste, effectuez les mises à jour immédiatement pour récupérer une version saine. S'il n'y a pas de mises à jour disponibles, il faut songer à remplacer le thème/plugin par un autre (même si c'est facile à dire !).

Ce qui peut être fait également, c'est vérifier le contenu du fichier "wp-includes/vars.php" afin de voir si la fonction "wp_is_mobile_fix" contient du code obfusqué.

L'origine de l'attaque : septembre 2021

C'est en septembre 2021 que l'équipe de Jetpack a découverte la porte dérobée pour la première fois. À partir du 15 octobre, le portail de téléchargement officiel ne permettait plus de télécharger les différents thèmes et plugins, puisque l'enquête a permis d'identifier que c'était lui qui était compromis.

Depuis le 17 janvier 2022, AccessPress a mis en ligne des versions nettoyées et saines de quasiment tous les plugins ! Par contre, ce n'est pas encore le cas pour les thèmes... ce qui met les webmasters dans une situation embarrassante : prendre le risque d'attendre une mise à jour du thème ou changer immédiatement de thème.

Source

The post Une attaque supply chain cible WordPress : 93 thèmes et plugins infectés ! first appeared on IT-Connect.

Le malware MoonBounce persiste après un formatage du disque !

24 janvier 2022 à 08:39

Le malware MoonBounce est particulièrement furtif et difficile à supprimer puisqu'il se cache dans la puce du BIOS ! Cette méthode lui permet de persister sur la machine même après une réinstallation du système d'exploitation, le formatage du disque dur, voire même un remplacement de disque dur !

Pour persister sur la machine, le malware est mis en place directement au sein de la puce du BIOS, au niveau de la mémoire flash SPI (Serial Peripheral Interface) de la carte mère. Même si la méthode pourrait sembler nouvelle, ce n'est visiblement pas le cas. L'éditeur Kaspersky précise que ce n'est pas le premier logiciel malveillant à persister sur une machine via la mémoire flash SPI. Avant MoonBounce, d'autres malwares comme LoJax et MosaicRegressor ont suivi le même chemin.

Malgré tout, Kaspersky avoue que MoonBounce va plus loin et montre une avancée significative, notamment parce que son flux d'attaque est plus complexe, et qu'il serait capable d'infecter une machine à distance. Sur la machine, il parvient à détourner certaines fonctions afin que la souche malveillante soit chargée au démarrage du système d'exploitation. Lorsque Windows est démarré, le malware se retrouve injecté dans un processus svchost.exe, ce qui le rend d'autant plus invisible et difficile à détecter.

Que fait le malware une fois qu'il est en place sur une machine ? Bien sûr, les chercheurs de Kaspersky se sont posé la question et pour l'instant, c'est assez flou. En fait, MoonBounce cherche à se connecter à une URL distante pour récupérer une charge utile afin de l'exécuter en mémoire. Néanmoins, cet appel n'aurait pas abouti et comme il semble travailler uniquement en mémoire, sans s'appuyer sur des fichiers, l'analyse est plus difficile. Suite à cet échec, on pourrait même croire que le malware était en phase de test lorsqu'il a été détecté.

Toujours d'après Kaspersky, ce serait le groupe APT41 qui serait à l'origine du malware MoonBounce. D'après les nombreux signalements, le groupe APT41 s'exprimerait en chinois, ce qui est indicateur quant à sa provenance.

Afin de vous protéger, Kaspersky recommande de veiller à ce que le firmware UEFI de votre machine soit bien à jour, d'activer la puce TPM, et d'autres fonctions de sécurité comme Boot Guard chez Intel.

Source

The post Le malware MoonBounce persiste après un formatage du disque ! first appeared on IT-Connect.

La liste des flux Twitch 100% Infosec

23 janvier 2022 à 09:00
Par : Korben

Si vous êtes un passionné de cybersécurité et que vous cherchez à apprendre de nouvelles choses, avez-vous déjà pensé à suivre des streams en live de hackers sur Twitch ?

Ils ne sont pas si nombreux et ils sont tous référencés sur cette page. Tous ceux qui n’ont pas streamés depuis +14 jours sont retirés de la liste, ainsi vous n’aurez que du frais.

Les gens en train de streamer à l’heure où j’écris ces lignes sont également marqués comme « En ligne » avec une pastille verte et un lien vers leur chaine YouTube est également fourni.

Et si vous êtes vous-même streamer cybersécu, n’oubliez pas de vous rajouter dans le fichier streamers.csv avec une pull request sur le projet.

Les tendances d’HID Global sur l’industrie de la sécurité et de l’identité en 2022

21 janvier 2022 à 16:42
Par : UnderNews

Les pénuries de la chaîne d'approvisionnement, la concentration sur la durabilité et l’évolution de la main-d'œuvre pour remodeler les technologies, les demandes des clients font partie des prédictions 2022 d’HID Global.

The post Les tendances d’HID Global sur l’industrie de la sécurité et de l’identité en 2022 first appeared on UnderNews.

Vie privée : ProtonMail bloque les pixels de suivi et cache votre IP

21 janvier 2022 à 08:43

Toujours dans l'objectif de protéger un peu plus la vie privée de ses utilisateurs et de renforcer la sécurité de sa solution, ProtonMail vient d'annoncer deux nouvelles fonctionnalités pour lutter contre le tracking dans les e-mails.

Avec ces nouveautés, ProtonMail annonce la couleur dans son communiqué officiel : "Vous pouvez désormais lire vos courriers électroniques sans laisser les annonceurs vous observer, établir un profil sur vous ou vous proposer des publicités basées sur votre activité de courrier électronique."

Concrètement, voici les deux changements apportés par ProtonMail :

  • Bloquer les pixels de suivi : ces fameux pixels de suivi sont très fréquents dans les e-mails promotionnels ou les newsletters et permettent aux entreprises de savoir ce que vous faites avec leur e-mail (par exemple : l'avez-vous ouvert ?)
  • Cacher votre adresse IP : l'adresse IP que vous utilisez sera cachée afin qu'elle ne remonte pas à l'entreprise qui vous a envoyé l'e-mail, notamment pour éviter de partager votre emplacement géographique

Dans tous les cas, cette protection supplémentaire n'empêche pas de pouvoir consulter les e-mails. Par contre, l'entreprise émettrice de l'e-mail ne pourra pas savoir si vous l'avez ouvert ou non, combien de fois vous l'avez ouvert, et à partir de quel emplacement.

Cette protection est activée par défaut pour tous les utilisateurs au sein de l'application Web de ProtonMail. Par contre, il n'est pas mentionné si la protection s'applique sur les applications mobiles.

Une excellente nouvelle pour finir la semaine ! Personnellement, j'utilise ProtonMail depuis plusieurs années, dans sa version gratuite, et c'est un service que je ne peux que vous recommander si vous cherchez une alternative à Gmail, Outlook.com, Yahoo, etc.

Source

The post Vie privée : ProtonMail bloque les pixels de suivi et cache votre IP first appeared on IT-Connect.

Par sécurité, Excel va bloquer par défaut les macros XML

20 janvier 2022 à 13:34

Pour des raisons de sécurité, Microsoft va bloquer par défaut l'exécution des macros Excel 4.0 (XML) au sein du logiciel Excel. Une opération prévue depuis plusieurs mois.

Lorsque l'on souhaite automatiser des tâches au sein d'un tableur Excel, on peut s'appuyer sur les macros. Très répandues au sein des entreprises, elles représentent aussi un danger puisqu'un document Excel peut permettre d'exécuter un logiciel malveillant sur la machine locale.

Excel supporte deux types de macros : les macros Excel 4.0 (XML) et les macros VBA. Même si les macros VBA peuvent représenter un danger, Microsoft estime qu'il faut à tout prix bloquer les macros XML et basculer sur des macros VBA. Une manière de réduire la surface d'attaque sur la machine locale.

Alors qu'un paramètre du "Centre de la gestion de la confidentialité" d'Excel permet déjà de gérer les macros, et notamment de désactiver les macros XML, cela va devenir la configuration par défaut. Dans l'idéal, le paramètre "Activer les macros Excel 4.0 lorsque les macros VBA sont activées" ne doit pas être coché. Comme ceci :

Sur son site, Microsoft explique qu'il est possible d'activer ou de désactiver les macros en configurant une stratégie à déployer sur les postes, notamment par l'intermédiaire d'une GPO.

Le déploiement est en cours au sein des différentes versions d'Excel, notamment via Microsoft 365 Apps. Actuellement, c'est le canal "Entreprise semi-annuel (preview)" qui est ciblé tandis que pour "Entreprise semi-annuel", c'est prévu pour juillet 2022.

The post Par sécurité, Excel va bloquer par défaut les macros XML first appeared on IT-Connect.

Podcast NoLimitSecu : Gestion crise rançongiciel

20 janvier 2022 à 07:53

L'épisode n°350 du podcast NoLimitSecu de Johanne Ulloa a paru en janvier 2022 et porte sur la gestion de crise suite à une infection du système d'information par un rançongiciel.

Dans ce podcast, différents intervenants nous partagent leurs expériences en gestion de crise suite à l'infection d'entreprises par un rançongiciel. Ces retex sont très intéressants et permettent de se faire une idée des difficultés de l'intervention et de la méthodologie de "résolution" d'une telle crise. Il est d'ailleurs rappelé dans ce podcast la différence entre incident et crise :

La crise c'est quand ce n'est pas écrit dans les bouquins [...] il n'y a pas de plan, on doit improviser. [...] Alors que l'incident est quelque chose pour lequel on a un playbook, on sait quoi faire.

L'intervenant Jérôme Saiz met notamment en avant qu'aujourd'hui, "la compromission par un ransomware n'est plus une maladie honteuse". Ce fait facilite la communication et l'appel à des intervenants en gestion de crise ainsi que l'anticipation d'une telle crise.

Jérôme SAIZ est consultant en protection des entreprises et fondateur de la société OPFOR Intelligence, où il accompagne les entreprises dans la gestion des crises cyber. Il intervient également en tant que Crisis Manager & Incident Handler CERT-Intrinsec.

Jusqu'à présent, pour 90% des victimes de ransomware, c'est 8-10j de blackout pour l'entreprise

Ce podcast permet de mettre la lumière sur les conditions, les difficultés et l'ambiance générale d'une crise dans une entreprise victime d'une attaque par ransomware. On y apprend également quelques éléments importants sur la communication qui doit être faite sur la crise en elle-même. D'après les intervenants du podcast, la priorité en termes de communication est la communication interne, celle envers les salariés qui peuvent se poser des questions sur la survie de l'entreprise et les répercussions sur leur emploi. Vient ensuite la communication envers les partenaires, notamment ceux qui ont des interconnexions avec le SI infecté. Dans les premiers instants de la gestion de crise, la communication vers le grand public est, elle, secondaire.

En écoutant ces différents retours d'expérience, plusieurs points clés sont à retenir et permettent d'avoir une meilleure idée de comment agir et réagir si vous devez être confronté à une telle crise. Parmi les autres sujets abordés dans ce podcast :

  • la composition de la cellule en charge de la résolution de la crise;
  • l'importance de corréler les attentes pour éviter les tensions et justifier les décisions urgentes;
  • les différents niveaux de temporalité et les jalons de la résolution d'une crise;
  • le paiement des rançons est-il fréquent ?
  • lorsque paiement il y a, quels sont les résultats ?
  • l'action et l'intérêt des cyberassurances;
  • l'intérêt de la décorrélation entre l'AD/le SI bureautique et les systèmes d'administration et de sauvegarde;
  • les conditions posées par les partenaires interconnectés au SI pour redémarrer une collaboration et une interconnexion avec le système compromis.

Les intervenants proposent notamment 3 points pouvant être anticipés et préparés en amont d'une telle crise :

  • Cartographier les principaux processus métier et les traduire en cartographie système. Par exemple : quels systèmes interviennent dans le processus de paiement des salariés ?
  • S'entrainer à la gestion de crise.
  • Se poser la question suivante en amont d'une crise : "il n'y a plus de système d'information, qu'est ce que l'on fait ?" et ne pas considérer cette question comme très improbable, voire fantaisiste.

Voici le lien vers le podcast de NoLimitSecu : rançongiciels - gestion de crise

Pour aller plus loin, je vous recommande également la lecture des guides de l'ANSSI suivants :

The post Podcast NoLimitSecu : Gestion crise rançongiciel first appeared on IT-Connect.

Data Privacy Week : quelles sont les vecteurs d’attaque à connaître ?

19 janvier 2022 à 15:28
Par : UnderNews

Initiative du Conseil de l'Europe qui se tient désormais sur une semaine, la semaine européenne de la protection des données à caractère personnel (ou Data Privacy Week en anglais) débutera cette année le 24 janvier prochain. Elle vise à sensibiliser les citoyens européens sur l'importance de la protection de leurs données personnelles et du respect de leurs libertés et droits fondamentaux.

The post Data Privacy Week : quelles sont les vecteurs d’attaque à connaître ? first appeared on UnderNews.

Meilleur antivirus 2022 : quel antivirus choisir pour Windows 11 et 10 ?

19 janvier 2022 à 11:00
Par : Le Crabe

Quel est le meilleur antivirus en 2022 ? Quel antivirus choisir pour Windows 11 ou Windows 10 ? Antivirus gratuit ou payant ? Voici toutes les questions que vous vous posez au moment de choisir le logiciel de sécurité indispensable pour un PC Windows : l’antivirus. Avec toutes les offres disponibles sur le marché, il est parfois difficile de faire un choix et de savoir quel antivirus choisir.

Source

Quel VPN choisir en 2022 ? Le guide pour les débutants !

19 janvier 2022 à 10:00
Par : Le Crabe

Vous souhaitez savoir quel est le meilleur VPN en 2022 ? Oubliez les comparatifs VPN que vous pouvez trouver ici et là, Le Crabe a sélectionné pour vous quatre VPN qui répondent aux critères essentiels : sécurité, confidentialité, rapidité, prix et service. Par la suite, si vous voulez savoir pourquoi j’ai choisi ces VPN, vous pouvez lire la seconde partie de ce guide qui explique point par point...

Source

Exploité par des hackers, VPNLab.net a été démantelé par Europol

19 janvier 2022 à 08:23

Désormais hors ligne, le service VPN qui se cache derrière VPNLab.net était exploité par des hackers qui l'utilisaient afin de mener à bien des attaques contre des entreprises, notamment pour déployer des ransomwares.

Ce mardi 18 janvier 2022, Europol, l'agence de police de l'UE, a annoncé avoir démantelé l'infrastructure du service VPNLab.net. Résultat, au moins 15 serveurs ont été saisis en Europe et en Amérique du Nord par les enquêteurs, et le site a été mis hors ligne. Désormais, il est remplacé par cette page :

Même si les auteurs des attaques et du service VPNLabs.net sont toujours en liberté, la police va pouvoir analyser le contenu des serveurs à la recherche d'informations utiles dans le cadre de cette enquête.

Europol justifie cette décision, car ce "fournisseur VPN était utilisé pour soutenir des actes criminels graves tels que le déploiement de rançongiciels et autres activités cybercriminelles". Dans la pratique, les hackers utilisaient ce service VPN en souscrivant un abonnement à 60 dollars par an pour ensuite réaliser leurs attaques informatiques sans être détectés par les autorités.

Ce qui différencie ce service VPN des autres services VPN grand public, c'est que celui-ci est imaginé pour un usage illicite. De ce fait, il multiplie d'autant plus les rebonds entre les serveurs afin que ce soit difficile de remonter jusqu'à la source, et plusieurs couches de chiffrement sont utilisées. Même si les performances sont forcément impactées, cela reste très intéressant pour les hackers.

Suite à cette enquête, Europol affirme que plus de 100 entreprises ont été identifiées comme étant exposées à des cyberattaques. Désormais, un travail va être effectué avec les entreprises identifiées afin d'éviter que le pire se produise. Jusqu'ici, il y aurait eu plus de 150 victimes d'attaques par ransomware via ce réseau VPN.

Il y a quelques jours, un autre démantèlement de grande envergure a eu lieu en Russie puisque les autorités ont mis fin aux activités du groupe de hackers REvil.

Source

The post Exploité par des hackers, VPNLab.net a été démantelé par Europol first appeared on IT-Connect.
❌