La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseignera sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par la Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

    • Dell : des pirates s’en seraient pris aux données clients
    • Applications malveillantes : Google Play retire 13 applications, téléchargées 560 000 fois
    • Fuite de données : un réseau d’hôpitaux américains piraté1,65 million de patients américains concernés
    • Phishing : les utilisateurs de Spotify ciblés par une campagne de phishing
    • Piratage: Les hôtels Mariott touchés par un piratage, 500 millions de clients concernés
    • Mauvaise configuration : une base de données d’Urban Massage accessible en ligne, des données sensibles exposées
    • Un service de télévision brésilien expose les données de 32 millions d’utilisateurs
    • Notre cellule sinophone vous renseigne sur une attaque contre la National Bank of Malawi, et sur un miner de crypto-monnaies découvert dans 350 serveurs chez un hébergeur chinois
    • Notre cellule russophone s’intéresse à une attaque DDoS ciblant le plus grand organisme de crédit de la Russie
    • Groupe cybercriminel : Lazarus vise le secteur bancaire d’Amérique Latine

    Bonne lecture et si vous souhaitez creuser l’intérêt d’un service de Threat Intelligence : contactez-nous !

Menaces Sectorielles

Multisectorielle

Dell révèle avoir été cible d’un piratage
Le fabricant de matériel informatique Dell a annoncé avoir été victime d’une intrusion non autorisée dans ses systèmes d’information, le 9 novembre dernier. Dans un communiqué officiel paru le 28 novembre dernier, la société américaine précise avoir détecté des tentatives d’accès non autorisées à des informations clients du site Dell.com. Ces informations contiendraient entre autre les noms et prénoms, adresses email et mots de passe en hash des utilisateurs. Le piratage n’aurait pas permis d’accéder à ces données. Il est également précisé qu’aucune information bancaire n’aurait fuité. D’après le site d’actualité informatique ZDNet, Dell n’aurait pas souhaité communiquer sur le nombre exact de clients potentiellement concernés par cette tentative d’intrusion. Les utilisateurs disposant d’un compte sur le site de la compagnie sont invités à réinitialiser leur mot de passe. Si ce mot de passe est utilisé pour accéder à d’autres services, il est recommandé de procéder également à leur réinitialisation. Actuellement, Dell procède à une enquête avec une entreprise tierce afin d’obtenir plus d’éléments sur cette tentative de piratage.
En savoir plus

Numérique

13 applications malveillantes, téléchargées 560 000 fois, sont retirées de Google Play
Lukas Stefanko, chercheur en sécurité chez ESET, a récemment publié un tweet dans lequel il met en garde les utilisateurs et annonce avoir découvert que treize applications, présentes sur Google Play, seraient malveillantes. Ces applications, qui concerneraient pour la plupart des jeux de simulation de courses de motos, camions ou voitures, seraient en réalité vides et inviteraient seulement l’utilisateur à télécharger un fichier du nom de « Game Center » afin de pouvoir lancer la partie. Pour contre-passer les permissions Android lors de l’installation de l’application malveillante, elle indiquerait que l’installation a échoué puis demande à l’utilisateur de valider le redémarrage de l’installation. De son côté, le fichier malveillant parviendrait à accéder à toutes les connexions du smartphone infecté et pourrait afficher, entre autre, de la publicité sur l’écran d’accueil. Google a annoncé avoir retiré ces applications de son store, néanmoins, Lukas Stefanko affirme qu’elles auraient déjà été téléchargées plus de 560 000 fois.
En savoir plus

Santé

Un réseau d’hôpitaux américains victime d’une fuite de données massive : 2,65 millions de patients concernés
La société américaine Atrium Health qui gère un réseau de près de 40 hôpitaux et 400 établissements de santé, a annoncé avoir été victime d’un piratage ayant provoqué la fuite des données de près de 2,65 millions de patients. D’après le communiqué officiel, le piratage aurait visé la société AccuDoc, un fournisseur de services de facturation d’Atrium Health, qui aurait détecté l’incident le 1er octobre dernier. D’après les premières analyses post-incident effectuées, il semblerait que des pirates aient accédé à la base de données d’AccuDoc pendant une semaine, entre le 22 et le 29 septembre 2018. Ils auraient ainsi pu consulter le nom et prénom des patients, leur adresse postale, le détail de leur assurance, le numéro de leur dossier médical et de leurs factures et dans certains cas, leur numéro de sécurité sociale. Pour l’instant aucune indication ne suggère que les attaquants aient récupéré la base de données en question.
En savoir plus

Divertissement

Les utilisateurs de Spotify victimes d’une campagne de phishing
Des utilisateurs de la plateforme de streaming musical Spotify auraient récemment été victimes d’une campagne de phishing. C’est ce qu’a annoncé la société de sécurité informatique AppRiver. En effet, certains internautes auraient reçu un email apparemment en provenance de Spotify, les invitant à suivre le lien indiqué dans le message. Ce lien, qui redirigerait vers une URL qualifiée de dangereuse par le navigateur Chrome, et qui n’appartiendrait pas à Spotify, donnerait accès un site Web invitant les utilisateurs à entrer leurs identifiants de connexion afin de débloquer et de confirmer leurs comptes Spotify. L’expéditeur de l’email frauduleux ne serait pas Spotify, mais un auteur malveillant qui aurait déposé un domaine de messagerie similaire à celui de Spotify afin de tromper plus facilement les utilisateurs. Les experts de AppRiver ne mentionnent toutefois pas le nombre d’utilisateurs concernés et impactés par cette campagne de phishing.
En savoir plus

Hôtellerie

Marriott victime d’un piratage massif de données
La chaîne d’hôtellerie Marriot a annoncé aujourd’hui le piratage d’une base de données pouvant contenir des informations personnelles, suite à la révélation d’un accès non autorisé. Elle a précisé dans un communiqué avoir reçu un signalement le 8 septembre 2018, concernant une tentative d’accès à un fichier de réservation aux Etats-Unis. La base de données concernée appartenait à Starwood (racheté en 2016 par Marriott). L’enquête a révélé qu’un tiers non autorisé avait copié et chiffré des données, et avait tenté de les retirer. Le déchiffrement de ces données aurait permis aux experts de constater que les données en question correspondaient à la base de données relative aux réservations de Starwood. Les données dérobées contiendraient le nom, le sexe, le numéro de passeport, le compte de fidélité Starwood, et la date de naissance, l’adresse postale, l’adresse email et le numéro de téléphone de 327 millions de clients. Près de 500 millions de clients qui ont réservé dans les hôtels Starwood seront susceptibles d’être affectés par ce piratage.
En savoir plus

Bien-être

La base de données de l’application Urban Massage serait accessible en ligne
La start-up londonienne Urban Massage, spécialisée dans le bien-être, a annoncé avoir laissé sa base de données ElasticSearch hébergée sur Google en ligne sans mot de passe. Découverte via Shodan, par le chercheur en sécurité, Oliver Hough, la base de données exposée contenait plus de 309 000 enregistrements d’utilisateurs, y compris des noms, adresses électroniques et numéros de téléphone. Chaque enregistrement avait également un code de référence unique, permettant aux amis d’obtenir des traitements à prix réduit. La base de données contenait également plus de 351 000 enregistrements de réservation et plus de 2 000 enregistrements sur les massothérapeutes d’Urban, y compris leurs noms, adresses e-mail et numéros de téléphone. Selon les médias britanniques, les dossiers contenaient également des milliers de plaintes de travailleurs concernant leurs clients. Chaque plainte comprenait des informations personnellement identifiables du client – y compris son nom, son adresse, son code postal et son numéro de téléphone. La base de données a été mise hors ligne suite au signalement du chercheur.
En savoir plus

Audiovisuel

Un service d’abonnement de télévision brésilien expose les données de 32 millions d’utilisateurs
La société brésilienne Sky Brasil, qui propose un service de télévision par abonnement, aurait laissé un serveur ElasticSearch accessible en ligne sans authentification pendant une semaine. C’est un chercheur en sécurité informatique qui aurait découvert le serveur en question à l’aide du moteur de recherche Shodan. Il aurait ainsi pu accéder aux données personnelles de près de 32 millions d’utilisateurs de ce service et consulter leur nom, prénom, adresse postale, date de naissance, facture et message chiffré.  Le chercheur aurait notifié la société brésilienne qui aurait ensuite fermé l’accès à cette base de données.
En savoir plus

 

Écosystème sinophone

L’ancien employé d’un hébergeur dépose un crypto-mineur sur ses serveurs
Un hébergeur chinois basé à Pékin se serait aperçu la semaine dernière que 350 de ses serveurs avaient un fonctionnement anormalement ralenti. Après investigation, il aurait été découvert qu’un programme permettant de miner des crypto-monnaies (et consommant ainsi une grande partie de la puissance des serveurs) aurait été implanté sur le système par un ancien employé de la société. Ce dernier, un shanghaïen de 36 ans, était retourné dans sa ville natale depuis le mois d’avril. Les polices de Pékin et Shanghaï ont coopéré et procédé à son arrestation.
En savoir plusDes chercheurs chinois auraient découvert une attaque contre la National Bank of Malawi
Les chercheurs en cyber-sécurité chinois d’Antiy ont publié cette semaine un rapport d’analyse sur une cyber-attaque qui aurait touché la Banque Nationale du Malawi. Le vecteur de l’infection est une pièce jointe malveillante au format PowerPoint Open XML Slide Show, intitulée « MONEY GRAM ACTION PLAN FOR OCTOBER – DECEMBER 2018 ». Son ouverture provoque l’exploitation de la vulnérabilité CVE-2014-6352, qui génère l’exécution d’un fichier « Target.scr » dont le code source est modifié, ce qui va provoquer l’ouverture de l’outil d’administration à distance DarkComet, ici utilisé à des fins malveillantes. Un élément notable est que l’attaquant (dont l’identité est indéterminée) aurait réussi son attaque grâce à la prise de contrôle de la messagerie d’un collaborateur travaillant au service client de la banque en charge de la région Sud. Il aurait alors utilisé cette boite mail pour envoyer des mails à trois autres employés, travaillant dans d’autres branches locales de National Bank of Malawi. Les investigations d’Antiy ont révélé que ces trois personnes avaient probablement été ciblées car leurs adresses mail figuraient comme coordonnées de contact pour les clients sur le site officiel de la banque. Les chercheurs chinois estiment que le degré de sophistication de l’attaque est relativement faible, et que cette dernière aurait pu être évitée en adoptant des mesures de sécurité adéquates. Ils ne seraient pas en mesure de déterminer l’impact de la compromission des systèmes pour les données de la société et de ses clients. Nous n’avons identifié aucun communiqué donnant de telles indications.
En savoir plus 

Écosystème russophone

Sberbank victime des attaques DDoS
Sberbank, le plus grand organisme de crédit de la Russie aurait subi une série d’attaques DDoS vastes et sophistiquées les 28 et 29 novembre dernier. Stanislav Kouznetsov, le vice-président la banque indiquerait que les attaques en question auraient été menées de manière « très professionnelle » à partir de centaine de serveurs situés dans six pays différents. La durée totale des attaques serait d’au moins 1,5 heures, dont l’une d’entre elle aurait duré environ 27 minutes. D’après Sberbank, ces attaques auraient été menées par le biais de nouvelles technologies, utilisant les mécanismes d’usurpation d’identité et de masquage de l’adresse des expéditeurs. Malgré l’ampleur des attaques concernées, elles n’auraient pas affecté les ressources de la banque.
En savoir plus

Individus & Groupes

Lazarus

Le groupe APT Lazarus revient sur le devant de la scène avec une nouvelle cible : le secteur bancaire d’Amérique Latine

Actif depuis la fin des années 2000, le groupe Lazarus serait actuellement en pleine résurgence. Considéré comme lié au gouvernement nord-coréen, ce groupe APT emploierait des malwares personnalisés pour réaliser des campagnes d’attaques hautement sophistiquées. Des traces du groupe auraient été détectées lors d’attaques récentes visant à détourner des millions de devises dans des banques d’Asie et d’Afrique. Un malware aurait notamment été découvert  – utilisé depuis 2016 par le groupe et nommé « FastCash Trojan » par les chercheurs – ainsi que des backdoors présentes sur plusieurs machines appartenant à des institutions financières d’Amérique Latine. La mise en place de ce type de porte dérobée permettrait, par le biais du serveur C&C, de collecter ou supprimer toute information contenue dans le système infecté, de télécharger de nouvelles charges malveillantes, de mettre à jour la configuration des données en lieu et place de l’administrateur ou encore de se servir du proxy (…). Selon les chercheurs de Trend Micro, Lazarus présente une véritable menace du fait de la complexité des instruments utilisés lors de ses attaques.
En savoir plus

 
Cette newsletter est émise par la cellule de Threat Intelligence.
Ce service fournit aux clients d’Intrinsec un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Leurs analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.
Pour plus d’informations : www.intrinsec.com

Inscrivez – vous à la Newsletter >>>ici<<<