La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseigne sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

  • Le groupe d’attaquants « Dragonfly » vise le secteur de l’énergie aux Etats Unis et en Europe
  • Fuites de données: Taringa« Time Warner Cable », AXA Insurance. Des millions de clients touchés 
  • Equifax, 143 millions de clients potentiellement victimes d’une fuite de données massive
  • Le retour du ransomware Locky
  • Le ransomware Princess
  • Dridex, le malware qui collecte les informations bancaires
  • OpSaveFrance, opération Anonymous qui vise les sites gouvernementaux français
  • Des informations sur des menaces informatiques provenant de nos sources chinoises
  • Focus sur le groupe « ShadowBrokers » 

Bonne lecture et si vous souhaitez une veille ciblée sur un secteur d’activité spécifique :
Threat Intelligencecontactez-nous !

 

Menaces Sectorielles

Energie

Le groupe d’attaquants « Dragonfly » cible les infrastructures énergétiques

Symantec a alerté contre une vague de cyber attaques en cours contre les infrastructures énergétiques américaines, suisses et turques. Celle-ci est menée par le groupe « Dragonfly », qui reprend du service après une longue période d’inactivité, et dont la nationalité est inconnue à ce stade. D’après Symantec, les attaques (phishing, trojans et watering hole) permettraient au groupe d’attaquants « Dragonfly » de prendre le contrôle et saboter les installations.

 

Télécommunications

Time Warner Cable, victime d’une fuite de données massive

Une faille de sécurité a rendu publiquement accessible plus de 600 Go de données concernant des clients de la société de télévision américaine Time Warner Cable. Les fichiers ont été découverts sur deux serveurs Amazon non sécurisés appartenant à la société BroadSoft, un prestataire chargé entre autres du stockage des données de TWC en cloud. Les informations fuitées comprennent des identifiants, adresses email et physiques et références de transaction, mais pas de numéro de carte bancaire.
En savoir plus

 

Assurance

AXA Insurance, victime d’une fuite de données

Les données personnelles (adresses email, numéros de téléphone mobile et dates de naissance) de 5 400 clients d’AXA Insurance à Singapour ont été dérobées suite à une cyberattaque. L’ensemble des clients a été alerté entre le 7 et le 8 septembre 2017. D’après le communiqué envoyé aux victimes, le portail dédié à la santé aurait été compromis par les pirates. La société a affirmé qu’aucune donnée bancaire ou autre information personnelle (adresse postale, statut marital, détails de santé, etc.) n’a été volée. La vulnérabilité présente sur le portail santé de la société AXA Singapour a maintenant été corrigée.
En savoir plus

Bancaire

Equifax, l’agence de notation de crédit américaine, victime d’une fuite de données

Equifax, une société de notation de crédit américaine, a annoncé jeudi 7 septembre avoir subi un piratage de sa base de données. Selon la société, « Les criminels ont exploité une faille informatique d’un site internet américain pour accéder à certains dossiers, entre mi-mai et juillet 2017 ». Les pirates ont pu collecter les noms, les numéros de sécurité sociale, les dates de naissance et, dans certains cas, les numéros de permis de conduire des clients, ainsi que les numéros de cartes bancaires de 209 000 clients. L’attaque a été détectée le 29 juillet dernier, et pourrait toucher jusqu’à 143 millions de clients aux Etats-Unis.
En savoir plus

Dridex, un malware bancaire vise les clients de Xero 

La société Trustwave a détecté une campagne de phishing le 16 août dernier usurpant l’identité de Xero, une société de développement logiciel basée en Nouvelle-Zélande. Les acteurs malveillants auraient envoyé des emails de phishing au nom de Xero afin de distribuer une archive ZIP contenant un fichier JavaScript malveillant. Lorsque ce fichier s’exécute, il télécharge une variante du malware bancaire Dridex sur la machine de la victime, afin de collecter ses informations bancaires. Pour ce faire, le malware surveille l’activité Web de l’utilisateur ciblé, s’infiltre dans son navigateur (Firefox, Chrome ou Internet Explorer) et collecte les identifiants bancaires des banques en ligne pour lesquelles il a été programmé.
En savoir plus

Politique

OpSaveFrance, opération Anonymous qui vise les sites gouvernementaux français

Le groupe Anonymous a annoncé sur le Dark Web, via leur site « Cyberguerrilla », une opération baptisée « OpSaveFrance ». Elle va consister en un jour de mobilisation contre le gouvernement français le 12 septembre 2017. Il est prévu que des sites gouvernementaux français soient visés par des attaques de types DDoS (déni de service distribué afin de rendre le site web inaccessible), défacement et fuite de données.

 

Numérique

Taringa, le forum le plus populaire en Amérique latine piraté

Taringa a annoncé mardi 5 septembre avoir été victime d’une intrusion: les données de près de 28 millions d’utilisateurs auraient été compromises. Les données dérobées incluaient les adresses email ainsi que les mots de passe chiffrés en MD5, algorithme considéré comme trop peu robuste. Taringa a annoncé avoir procédé à une remise à zéro des mots de passe et amélioré le chiffrement des mots de passe en passant de l’algorithme MD5 à l’algorithme SHA256.

23 millions d’emails véhiculent le ransomware Locky

Les chercheurs en sécurité d’AppRiver ont rapporté avoir détecté fin d’août; l’envoi de 23 millions d’ emails, véhiculant le ransomware Locky, en l’espace de 24 heures. Les emails détectés contiennent une archive ZIP en pièce jointe qui contient un script VBS (Visual Basic Script) lui-même contenu dans un second fichier ZIP. Ce script lance un programme de téléchargement qui contacte un domaine pour obtenir la dernière version du ransomware.

Le ransomware Princess exploite les vulnérabilités des navigateurs pour infecter les victimes  

Les chercheurs de la société MalwareBytes ont identifié une nouvelle campagne visant à diffuser le ransomware Princess. Cette campagne a recours à l’exploit kit RIG (des outils regroupant plusieurs vulnérabilités et failles affectant le navigateur Internet Explorer, exploités par les pirates pour rediriger vers un site Web infecté par cet exploit kit) pour diffuser le ransomware via des sites Web infectés. Si un utilisateur arrive sur la page piégée, il suffit de cliquer sur le mauvais lien avec le navigateur Internet Explorer pour que son poste de travail soit infecté. Le ransomware Princess chiffre les fichiers de la victime et exige 0,077 BTC (environ 300 euros actuellement) afin de récupérer la clé de déchiffrement.

 

Ecosystème Régional

Ecosystème chinois

Une faille de sécurité dans une application de covoiturage

Le journal local Beijing Youth Daily a publié un article révélant une faille de sécurité dans Didi Shun Feng Che, l’application de covoiturage développée par le concurrent chinois d’Uber : Didi Chuxing. Les journalistes ont découvert qu’il est possible d’affilier deux autres comptes à un permis de conduire déjà enregistré par un premier utilisateur, sans que le propriétaire du compte initial s’en aperçoive, puisqu’aucun dispositif n’est prévu par Didi pour notifier ce dernier. Cette possibilité a donné lieu à des cas de fraudes, une personne malveillante créant ainsi un compte avec le permis de conduire d’un tiers à son insu, ce qui a provoqué des plaintes de co-voitureurs et la fermeture des comptes des utilisateurs dont l’identité a été usurpée.
Source

Individus et Groupes

« Shadow Brokers« 

Le groupe Shadow Brokers a de nouveau fait parler de lui en publiant les derniers packs de vulnérabilités de la NSA (dumps) en sa possession censés contenir des données de la NSA. Le groupe, qui avait mis en ligne un service intitulé « Data Dump of the Month » ce mois de juin, propose désormais de passer à deux dumps par mois. Le dump du mois de septembre contiendrait un malware baptisé « Unitedrake » qui serait capable de cibler les machines opérant sous Windows. Le malware permettrait aux attaquant de prendre le contrôle total de la machine ciblée.
Source

 

 

 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour en savoir plus… Cliquez ici !