La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseignera sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par la Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

    • Phishing : des nouvelles campagnes ciblent les abonnés de Netflix
    • Shamoon est de retour, un nouvel échantillon téléchargé en France
    • 18 mois après la première offensive, le logiciel malveillant WannaCry serait encore actif
    • Vol de données datant de dix ans appartenant au district scolaire de San Diego
    • Près de 20 000 Livebox impactées par une faille de sécurité
    • La vente d’alcool de plus en plus présente sur des sites malveillants

    Les équipes d’Intrinsec vous souhaitent une excellente année 2019 !

Bonne lecture et si vous souhaitez creuser l’intérêt d’un service de Threat Intelligence : contactez-nous !

Menaces Sectorielles

Service de vidéos à la demande

La NASA victime d’un piratage et d’une fuite de données 
La NASA a fait savoir que des données personnelles appartenant à certains de ses employées auraient été compromises par un piratage de ses systèmes en octobre dernier. En effet, un serveur, qui contiendrait des informations personnellement identifiables (PII) d’employés actuels et ou ayant travaillé précédemment pour la NASA, auraient été compromises lors d’une attaque, attaque pour laquelle aucun détail n’a été dévoilé. Parmi les informations exposées, on retrouverait notamment les numéros de sécurité sociale des employés. Dans un mémo envoyé à tous les employés, l’agence aurait indiqué que seules les données personnelles des employées ayant travaillé pour la NASA entre juillet 2016 et octobre 2018 serait concernées.
En savoir plus

 

Energie

Shamoon est de retour, un nouvel échantillon téléchargé en France
Dans son dernier bulletin publié le 24 décembre, la société ANOMALI Labs a annoncé avoir détecté un nouvel échantillon du malware Shamoon, récemment téléchargé en France, sur la plateforme Virus Total. Cette nouvelle variante du malware Shamoon aurait été téléchargée le 23 décembre dernier, et aurait été signée avec un certificat numérique de la société chinoise Baidu, délivré le 25 mars 2015 et expiré le 26 mars 2016. Afin de dissimuler le malware, les pirates auraient utilisé la version 4 de l’outil de compression Enigma Protector, « Baidu PC Faster » comme nom du fichier interne, et « Baidu WiFi Hotspot Setup » comme titre de la description. Les chercheurs estiment que cet échantillon aurait probablement été compilé à partir de la deuxième version du code du malware, en raison de nombreuses similitudes avec Shamoon 2, détectée entre 2016 et 2017, lors d’attaques contre des organisations privées au Moyen-Orient. Selon les chercheurs de McAfee qui ont analysé les trois échantillons de Shamoon récemment découverts, les dernières variantes pourraient être attribuées au groupe de pirates iraniens APT33. Les experts d’ANOMALI Labs n’ont pas confirmé que ce dernier échantillon aurait été utilisé lors d’attaques. Néanmoins, ils ont souligné que les pirates pourraient être actifs pendant la période de fin d’année, comme ce fut le cas en 2016 avec Shamoon 2.
En savoir plus ici et la.

Multisectiorelle

18 mois après la première offensive, le logiciel malveillant WannaCry serait encore actif
Plus d’un an et demi après la détection d’un des malwares les plus destructeurs jamais découvert, celui-ci continuerait de se propager sur des milliers – voire des centaines de milliers – de postes. Lors des premières investigations sur WannaCry, un chercheur en sécurité avait enregistré un domaine pouvant agir comme un kill switch (ou coupe-circuit) afin de désactiver la composante « demande de rançon » du malware. En effet, si la charge malveillante atteint ce domaine kill switch, elle ne peut être totalement déployée. Cependant WannaCry resterait actif en arrière-plan sur le poste, et se connecterait régulièrement au domaine pour vérifier son statut (actif ou inactif). Le problème viendrait alors du fait qu’une simple panne d’Internet entraînerait l’inaccessibilité au kill switch et ainsi, l’activation du ransomware sur le poste infecté. Une analyse du nombre de connexions et d’adresses IP uniques continuant à se connecter au domaine « coupe-circuit » a été réalisée par des chercheurs afin d’établir des statistiques. En une semaine, plus de 17 millions de connexions auraient été observées, dans 194 pays différents dont les plus touchés seraient la Chine, l’Indonésie et le Vietnam.
En savoir plus

Education

Vol de données datant de dix ans, appartenant au district scolaire de San Diego
Peu avant les fêtes de fin d’année, les autorités locales de la ville de San Diego ont annoncé que plus de 500 000 étudiants et employés auraient été impactés par une fuite de données. Grâce à l’envoi d’un email de phishing ciblé, l’attaquant aurait pu récupérer les identifiants de connexion d’un employé travaillant pour le district de San Diego, et les exploiter de janvier 2018 à novembre 2018. Néanmoins, une enquête aurait été ouverte en octobre dernier après la réception d’emails frauduleux par plusieurs membres du personnel. À la découverte de la compromission d’une des bases de données du district, la police de San Diego aurait laissé agir l’attaquant afin de mieux comprendre son modus operandi. Il semblerait qu’il ait réussi à accéder à plus de 50 comptes d’employés, lui permettant de collecter les informations personnelles des étudiants comme du personnel. Plus précisément, il s’agirait d’informations liées aux données personnelles (prénom, nom, date de naissance, adresse email, adresse postale, numéro de téléphone, numéro de sécurité sociale) ainsi que des informations relatives à la vie scolaire des étudiants (notamment d’éventuelles informations liées à la discipline, aux notes ou à la santé de l’étudiant). Par ailleurs, des éléments relatifs aux parents ou aux garants des étudiants, ainsi que des informations sur les avantages sociaux de certains membres du personnel ou encore celles relatives à leur rémunération auraient également fuité. Pour voir la communication officielle du district scolaire de San Diego, c’est ici.
En savoir plus

Télécommunication

Près de 20 000 Livebox impactées par une faille de sécurité
D’après une enquête de Troy Mursch, expert en sécurité informatique chez Bad Packets, 19 490 Livebox ADSL exposeraient leurs identifiants Wifi (SSID et mots de passe) sur le Web. Cela serait dû à une faille de sécurité datant de 2012 (CVE-2018-20377) et qui permettrait à un attaquant distant et non authentifié, de collecter à distance les identifiants de ces Livebox. En se procurant l’adresse physique d’une Livebox ciblée, un attaquant pourrait s’infiltrer dans le réseau d’une entreprise ou d’un particulier pour lancer une attaque sur les appareils qui y sont connectés : enceintes connectées, smartphones, Smart TV ou ordinateurs. Selon Bad Packets, la vulnérabilité pourrait aussi être exploitée par des botnets. Selon le rapport, le pirate à l’origine de l’attaque résiderait en Espagne. Les utilisateurs potentiellement vulnérables seraient localisés en France, en Espagne et au Maroc. Par ailleurs, Orange indique diligenter actuellement une enquête.
En savoir plus ici et la

Retail

La vente d’alcool de plus en plus présente sur des sites malveillants
Une étude du Groupe IB aurait permis la découverte d’environ 4 000 sites Web qui vendraient illégalement de l’alcool. Pour cela, des pirates créeraient des réseaux entiers de plateformes, à partir de « sites miroirs » d’un ou plusieurs sites Web légitimes. Dans certains cas, ce serait environ 86 domaines frauduleux – renvoyant vers des sites marchands légitimes – qui seraient connectés entre eux et accessibles à partir d’un seul domaine. Ces sites seraient utilisés soit par des réseaux parallèles revendant illégalement de l’alcool acheté auprès de grossistes, soit par des acteurs mettant à la vente des produits contrefaits. Le vente d’alcool sur ces réseaux passerait également par des systèmes plus poussés, consistant à utiliser des ressources non indexées par les moteurs de recherche et des QR codes pour se protéger. La publicité et la promotion de ces sites se feraient principalement via des réseaux sociaux tels que Télégram. Toujours selon l’étude du Groupe IB, ces ventes auraient augmenté de près de 35 % au cours de l’année 2018 en Russie.
En savoir plus

.
.
 
Cette newsletter est émise par la cellule de Threat Intelligence.
Ce service fournit aux clients d’Intrinsec un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Leurs analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.
Pour plus d’informations : www.intrinsec.com

Inscrivez – vous à la Newsletter >>>ici<<<