La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseignera sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par la Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

    • La société DataResolution piratée : le ransomware Ryuk suspecté
    • Les services d’impression de plusieurs journaux américains perturbés par une cyberattaque
    • Une vaste campagne de piratage et de publication de données personnelles cible la classe politique allemande
    • Une campagne de malware surnommée « Roma225 » vise le secteur de l’automobile italien
    • Vulnérabilité détectée au sein du logiciel Wget, des informations sensibles potentiellement compromises
    • Blur, interface de sécurisation des données personnelles, victime d’une fuite de données
    • Le site Web du tramway de Dublin victime d’un defacement
    • Focus sur la campagne de piratage et de menaces du groupe The Dark Overlord

    Bonne lecture et si vous souhaitez creuser l’intérêt d’un service de Threat Intelligence : contactez-nous !

Menaces Sectorielles

Hébergement Cloud

Le fournisseur d’hébergement cloud DataResolution.net victime d’une attaque au ransomware la veille de Noël
Le 24 décembre 2018, les serveurs de la société californienne DataResolution, société qui propose des solutions d’hébergement cloud, auraient été infectés via un compte compromis ayant permis la propagation du ransomware Ryuk. Tout comme d’autres entités américaines touchées ce week-end, DataResolution affirme que ses systèmes seraient endommagés et travaillerait encore à la restauration de ses services. En effet, les attaquants auraient obtenu l’accès au domaine du centre de données de la société, ce qui aurait entraîné l’éjection des administrateurs de leur propre réseau. L’arrêt du réseau aurait alors été nécessaire, afin de stopper la propagation de Ryuk. Dans la communication de DataResolution vers les clients, la société affirmerait qu’aucune preuve n’existe quant au vol de données des utilisateurs, et que l’attaque visait à obtenir un paiement en échange d’une clé permettant de déverrouiller les serveurs de DataResolution. Pour rappel, la souche de Ryuk a été détectée pour la première fois cet été, et associée par la société CheckPoint au groupe de pirates nord-coréen « Lazarus Group« .
En savoir plus

Medias

Une attaque par malware cible plusieurs grands journaux américains
Une cyberattaque a perturbé le week-end dernier l’impression et la distribution de plusieurs quotidiens aux Etats-Unis, dont le « Los Angeles Times », le « Chicago Tribune » et le « Baltimore Sun » ainsi que les éditions du « Wall Street Journal » et du « New York Times » destinées à la côte ouest. La cyberattaque aurait touché le réseau informatique de Tribune Publishing et a affecté des systèmes partagés en lien avec le processus de production et d’impression de plusieurs journaux. Selon Tribune Publishing, il n’y aurait pas eu de compromission de données personnelles appartenant à des abonnés, ou à des clients publicitaires. Le type de malware utilisé dans le cadre de cette cyberattaque n’est pas précisé pour l’instant. D’après une source interne citée par le « Los Angeles Times », il pourrait s’agir du ransomware Ryuk. Selon les chercheurs, ce ransomware aurait été détecté pour la première fois au cours des six premiers mois de l’année 2018 et utilisé pour mener des attaques ciblées, potentiellement par des groupes de pirates nord-coréens.
En savoir plus ici et

Politique

Les données personnelles de centaines de politiciens allemands publiées
Le gouvernement allemand a annoncé le 4 janvier dernier, que les données personnelles de centaines de personnalités politiques allemandes (Parlement et Gouvernement), dont la chancelière Angela Merkel, auraient été publiées sur Internet. Des membres de tous les partis, à l’exception du mouvement Alternative für Deutschland (AfD), seraient concernés. Certaines personnalités publiques allemandes, telles que des présentateurs télé, auraient également été ciblés. Les données personnelles exposées seraient les suivantes : numéros de téléphone portable, adresses postales, ainsi que des informations relatives aux cartes d’identité. Les pirates auraient également publié le contenu de conversations privées par chat ou email de certaines de ces personnalités dont des communications d’Angela Merkel ainsi que des messages envoyés par le dirigeant des Verts, Robert Habeck, à son épouse et ses enfants ou des emails adressés par le secrétaire général du Parti social-démocrate (SPD – centre gauche) Lars Klingbeil à des membres du Gouvernement ou du Parlement. Le Gouvernement allemand a précisé que ses serveurs contenant des informations sensibles n’auraient pas été affectés par l’attaque et qu’une enquête est ouverte.
En savoir plus

Automobile

Le secteur de l’automobile italien visé par une campagne de malware baptisée « Roma225 »
La société de cybersécurité italienne Yoroi a publié les résultats d’une investigation menée sur une campagne de malware visant le secteur de l’automobile italien. Les attaquants auraient envoyé des emails de phishing usurpant l’identité d’un associé d’une société brésilienne spécialisée en droit des affaires « Veirano Advogados » et contenant un fichier Microsoft PowerPoint avec une macro malveillante. L’exécution de cette macro entraînerait le téléchargement d’une version du malware RevengeRAT. Cet outil d’administration à distance dont le code source avait fuité en 2016 communiquerait alors avec le système de commande et contrôle (C&C) des attaquants pour envoyer les informations collectées sur la machine compromise. Les experts de la société italienne restent prudents quant à l’attribution de cette campagne mais supposent qu’il pourrait s’agir du groupe APT Gorgon Group identifié par l’unité 42 de Palo Alto.
En savoir plus

Numérique

Faille détectée au sein du client Wget : des informations sensibles susceptibles d’être exposées
Une vulnérabilité a été détectée au sein de Wget, un programme en ligne de commande non interactif utilisé pour télécharger des fichiers depuis le Web supportant les protocoles HTTP, HTTPS, FTP et FTPS. En effet, un chercheur en sécurité informatique aurait réalisé que Wget stockerait les URLs qui ont été téléchargées dans les attributs du système de fichier si celui-ci le permet. Des URLs peuvent contenir des secrets comme des mots de passe en clair ou des jetons d’authentification. Ces éléments pourraient être lus via une simple ligne de commande par un autre utilisateur sur une machine fonctionnant sous Unix ou le programme Wget vulnérable a été utilisé.
En savoir plus
Plusieurs dizaines de milliers de Smart TV et de dispositifs Chromecast compromis par deux pirates
Deux pirates ayant pour pseudonymes « TheHackerGiraffe » et « j3ws3r » auraient détourné environ 70 000 dispositifs Google Home, Google Chromecast et Smart TV afin de diffuser des messages pour inciter les utilisateurs à s’abonner à la chaîne du youtubeur « PewDiePie ». Le duo aurait exploité une faille de sécurité dans le standard Universal Plug and Play (UPnP) de certains routeurs et qui rend les appareils connectés à celui-ci accessibles sur Internet via les ports 8008, 8009 et 8443. Les utilisateurs peuvent se protéger en désactivant la fonctionnalité UPnP de leurs routeurs ou en s’assurant que le standard n’expose aucun des trois ports mentionnés.
En savoir plus

Une base de données relatives à 2,4 millions d’utilisateurs du service Blur exposée
Le 13 décembre dernier, un chercheur en cybersécurité aurait contacté la société Abine, société proposant des services de gestion de mots de passe « Blur » et de protection de confidentialité en ligne « DeleteMe », à propos d’une fuite de données. En effet, le chercheur en question aurait découvert qu’un serveur hébergé par Abine aurait exposé un fichier contenant des informations sensibles sur près de 2,4 millions d’utilisateurs de Blur. Après un audit interne, un porte-parole d’Abine aurait communiqué les détails de la fuite de données. Ainsi, le fichier accessible en ligne contiendrait diverses informations sur les utilisateurs inscrits avant le 6 janvier 2018 telles que leur adresse email, dans certains cas leur nom et prénom, la dernière et avant-dernière adresse IP utilisée pour se connecter à Blur et enfin, le mot de passe Blur chiffré de chaque utilisateur. Plus précisément, le schéma de chiffrement aurait été exposé (processus de chiffrement et de hachage avant la transmission au serveur), mais pas le mot de passe réel de l’utilisateur. La société Abine affirme néanmoins qu’aucun mot de passe stocké dans les comptes Blur n’aurait été exposé. Les données les plus critiques, telles que les informations de paiement, n’auraient donc pas été rendues accessibles.
Pour consulter le communiqué officiel, vous pouvez suivre ce lien.
En savoir plus

Transport

Luas, site Web du tramway de Dublin, victime de defacement
Jeudi 3 janvier, un ou plusieurs attaquants aurai(en)t pris possession du site du tramway de Dublin, luas.ie, modifiant la page d’accueil pour qu’elle affiche un message accompagné d’une demande de rançon d’un bitcoin. Les pirates affirmant être en capacité de collecter les données stockées au sein des systèmes d’information de Luas, auraient menacé de publier l’ensemble des données et d’envoyer des emails aux utilisateurs si le paiement n’était pas réalisé dans un délai de cinq jours. Il semblerait que les responsables de cette attaque aient déjà, au préalable, alerté Luas au sujet de failles de sécurité présentes sur leur site. Actuellement, il semble difficile d’établir si les données collectées par Luas (nom, numéro de téléphone et adresse email), ont bel et bien été dérobées par les attaquants.
En savoir plus

Individus & Groupes

The Dark OverLord

The Dark Overlord menace de publier des révélations sur les attentats du 11 septembre
Le groupe de pirate The Dark Overlord, a affirmé dans un tweet et un communiqué diffusé sur le site de partage d’information Pastebin, publiés le 31 décembre dernier (depuis supprimés), être en possession de 18 000 documents permettant, selon eux, de « fournir des réponses » et de « dévoiler la vérité » sur les attentats du 11 septembre 2001. Le groupe affirme avoir mis la main sur des documents appartenant aux assureurs Lloyds of London et Hiscox, de Silverstein Properties (à propriétaire du World Trade Center au moment des attentats), et de plusieurs agences gouvernementales. Un porte-parole du groupe Hiscox aurait confirmé à Vice Motherboard que les pirates auraient pénétré au sein des systèmes d’un cabinet d’avocats qui avait conseillé les assureurs, afin de dérober des dossiers liés à des litiges en lien avec les attentats.
The Dark Overlord aurait publié une première archive de documents piratés gratuitement et propose ensuite de publier d’autres archives selon le financement reçu. La dernière archive, la plus onéreuse, contiendrait les document piratés les plus sensibles. Passé sur le réseau Steemit suite à la suppression de son compte Twitter, le groupe, prétendrait que ces informations sont « plus importantes que celles d’Edward Snowden ». A l’heure actuelle, le groupe de pirates aurait mis en ligne un premier lot de clés de déchiffrement relatives à 650 documents confidentiels.
En savoir plus
 
Cette newsletter est émise par la cellule de Threat Intelligence.
Ce service fournit aux clients d’Intrinsec un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Leurs analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.
Pour plus d’informations : www.intrinsec.com

Inscrivez – vous à la Newsletter >>>ici<<<