La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseignera sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :
  • La banque SunTrust se fait dérober les données de plus de 1,5 million de clients
  • Analyse de la principale plateforme de RaaS
  • L’une des majeures plateformes de DDoS suspendue à la demande d’Europol
  • Le serveur DNS de My EtherWallet détourné
  • Une faille rend possible le piratage de la console de jeux Nintendo Switch
  • Un campagne de spam diffuse les malwares Adwind, XTART et DUNIHI
  • Des informations sur les écosystèmes chinois, russes et arabes
  • Focus sur le groupe Orangeworn

Bonne lecture et si vous souhaitez creuser l’intérêt d’un service de Threat Intelligence : contactez-nous !

Menaces Sectorielles

Banque

SunTrust : vol de données de plus de 1, 5 million de clients
La banque SunTrust a annoncé avoir découvert qu’un ancien employé aurait tenté de télécharger les informations, (telles que le nom, l’adresse, le numéro de téléphone ou encore le solde du compte) de près de 1, 5 million de clients afin de les partager avec des organisations criminelles. La banque affirme toutefois que les données personnelles compromises n’incluraient pas les numéros de sécurité sociale, les numéros de comptes, les mots de passe ou les photocopies des documents d’identité. Selon plusieurs sources concordantes, les faits remonteraient à quelques semaines seulement, et les clients impactés par cette fuite auraient été avertis que leurs données personnelles pouvaient potentiellement être exposées. De plus, la banque affirme qu’elle garantit désormais une protection d’identité à l’ensemble de ses clients, par le biais de leur solution IDnotify Experian, qui permettrait de garantir une sécurité supplémentaire des données personnelles des clients.
En savoir plus

Dark Web

Analyse de la principale plateforme de Ransomware-as-a-Service (RaaS)
Les chercheurs de CSE Cybsec – Zlab ont mené une analyse détaillée de la principale plateforme en ligne de développement et de diffusion de ransomwares personnalisables du Dark Web. Les conclusions de cette analyse soulignent la facilité avec laquelle il est désormais possible, sans compétences techniques particulières, de créer son propre ransomware puis de le diffuser. Les cyber-extorsions seraient donc à la portée de tous les utilisateurs du Dark Web, en plus d’avoir déjà accès à un nombre exponentiel de logiciels malveillants..
En savoir plus

Informatique 

L’une des majeures plateformes de DDoS suspendue par Europol
La plateforme de DDoS à la demande « WebStresser.org » aurait été suspendue à la demande d’Europol. Cette plateforme permettait aux utilisateurs, moyennant un forfait mensuel débutant à 15 euros, de lancer des attaques par déni de service (DDoS) sur une cible choisie sans pour autant que des compétences techniques spécifiques soient nécessaires. Europol affirme que « WebStresser » serait responsable de près de 4 millions d’attaques DDoS. Les administrateurs de la plateforme, localisés au Royaume-Uni, en Croatie, au Canada et en Serbie auraient également été arrêtés. Des « mesures supplémentaires » seraient aussi prises à l’encontre des principaux utilisateurs de la plateforme de WebStresser.org, qui en compterait environ 136 000. Le président du J-CAT (Joint Cybercrime Action Taskforce) affirme que « l’application de la loi internationale ne tolérera pas ces services illégaux et continuera à poursuivre ses administrateurs, ainsi que ses utilisateurs ».
En savoir plus

Cryptomonnaie

Le serveur Domain Name System (DNS) de MyEtherWallet détourné 
Un service de portefeuille en ligne dédié à la cryptomonnaie Ether aurait été piraté par des individus malveillants afin d’en extraire les fonds. L’origine de l’attaque serait l’EGP : protocole d’échange de route externe, détourné dans le but de diriger les internautes vers une adresse IP localisée en Russie et hébergeant le site malveillant. Plus précisément, l’infrastructure cloud « Route 53 » appartenant à Amazon et hébergeant de nombreux sites populaires aurait fait l’objet du détournement. Ainsi, les utilisateurs tentant d’accéder à leur compte auraient été redirigés vers une fausse version du site (pourtant détectable, car utilisant un certificat TLS auto-signé déclenchant une erreur sur le navigateur). Les identifiants des utilisateurs ayant tout de même tenté de se connecter à ce site miroir auraient ainsi été dérobés, permettant aux pirates de collecter les fonds des comptes stockés dans un délai de deux heures. Le montant total d’Ethers dérobés avoisinerait les 160 000 dollars.
En savoir plus ici et

Gaming

Une faille au sein de la puce Nvidia pourrait rendre les consoles Nintendo Switch vulnérables
Une équipe de chercheurs aurait découvert l’existence d’une vulnérabilité au sein du processeur graphique Nvidia Tegra X1 équipant notamment les consoles Nintendo Switch, vendues à plus de 17 millions d’exemplaires. La faille en question pourrait permettre à un attaquant disposant d’un accès physique à la machine (via une connexion USB) d’exécuter du code arbitraire et d’extraire des données sensibles. L’équipe de chercheurs aurait développé un exploit baptisé « Fusée Gelée » qui permettrait de tirer parti de cette vulnérabilité qui aurait pour origine une erreur de code dans le BootROM. Par conséquent, selon les chercheurs, il n’y aurait aucun moyen de corriger la faille sur les produits actuellement en circulation la seule option serait d’appliquer un correctif au début du processus de fabrication en usine.
En savoir plus

Malware 

Une campagne de spam diffuse les malwares Adwind, XTART et DUNIHI
Trend Micro a publié une analyse sur une campagne de spam diffusant simultanément plusieurs logiciels malveillants parmi lesquels l’outil d’administration à distance Adwind, la backdoor XTRAT et le malware Loki. La campagne en question aurait été observée entre le 1er janvier et le 17 avril 2018 aurait ciblé de plusieurs entités non citées localisées aux Etats-Unis, au Japon, en Australie, à Taïwan, en Allemagne ainsi qu’au Royaume-Uni. Les attaquants distribueraient leurs charges malveillantes à l’aide d’un document RTF embarquant le malware Loki, servant de downloader pour déployer Adwind et XTRAT. Ces dernières, connues pour être capables d’opérer dans des environnements divers (Windows, Linux, MacOSX, Android), permettraient aux pirates de voler des informations sur les postes infectés, de prendre leur contrôle à distance (notamment sur la webcam ou le microphone), d’exécuter, de télécharger ou d’installer des fichiers ainsi que de prendre des captures d’écran. Les experts de Trend Micro ont également remarqué que dans certains cas le malware Adwind serait associé à la backdoor DUNIHI capable elle aussi de prendre le contrôle sur plusieurs fonctionnalités de la machine.
En savoir plus

Ecosystème Régional

Écosystème chinois

Les détails des livraisons de repas à domicile en vente sur Internet
Le journal The Beijing News a révélé le 23 avril que les données des commandes passées via des services de livraison de repas seraient en vente sur le Web. Les plus grandes sociétés chinoises du secteur, c’est-à-dire Meituan Waimai, Ele ( groupe Alibaba) et Baidu Waimai seraient concernées. Les données seraient vendues sous la forme de tableaux Excel qui comprendraient le nom des clients, leur sexe, leur numéro de téléphone et leur adresse. L’auteur de l’article se les serait vu proposer pour 0,10 yuan (environ un centime d’euros) par ligne/personne. D’après l’article, il serait également possible d’avoir le détail de la commande du client pour 0,50 yuan par ligne, et même de demander un « service spécial » qui consiste à recevoir une photo du reçu de commande prise par le livreur, moyennant un yuan par transaction.  Les vendeurs opéreraient dans des groupes dédiés sur la messagerie instantanée QQ. L’enquête du journaliste montre que la source de ces fuites d’informations serait multiple : un vendeur lui aurait expliqué que des collaborateurs de ces sociétés de livraison (ou de leurs partenaires) exporteraient et revendraient délibérément les données. Par ailleurs, le journaliste aurait également échangé avec une société éditant un logiciel utilisé par des restaurants pour proposer de la vente en livraison, et qui assumerait avoir le même type de pratiques.

Écosystème russe

Le site du gouvernement ukrainien attaqué par les pirates
Le 24 avril 2018, le site Web du ministère de l’énergie et des mines de charbon d’Ukraine aurait été la cible d’une cyberattaque. Le contenu du site aurait été chiffré et un message rédigé en anglais avec un compte à rebours et exigeant le paiement d’une rançon de 0.1 Bitcoin aurait été affiché. Ce message indiquait également le chiffrement de fichiers de type php, .css, .js etc. Le pirate aurait laissé un délai de 10h pour le transfert du montant requis avant la suppression des fichiers. Le chercheur en cyber sécurité, Chris Doman, affirme que le site Web comprenait les coordonnées et la signature des deux pirates à l’origine de l’attaque. Le premier pirate, dont le pseudonyme est « X~zakaria » aurait attaqué le site sans but précis et aurait laissé ses coordonnées et sa signature. Le deuxième pirate aurait alors introduit le ransomware dans la faille ouverte par le premier, afin d’en tirer un gain financier.
En savoir plus ici et

Écosystème russe

14 millions de clients de Careem, concurent d’Uber au Moyen Orient, victimes d’une importante fuite de données 
L’entreprise de Transport Careem, basée à Dubai, a annoncé fin avril avoir subi une cyber-attaque qui aurait causé le piratage des données de près de 14 millions de clients dans le monde. Les données piratées concerneraient les noms, adresses email, numéros de téléphone personnel, ainsi que les détails des trajets effectués par ces client. L’entreprise a assuré qu’aucune donnée bancaire n’aurait été piratée, ces dernières étant stockées sur des serveurs séparés. Les personnes touchées par cette attaque se situent principalement au Moyen-Orient, en Afrique du Nord, au Pakistan et en Turquie. La société Careem a également indiqué qu’à l’heure actuelle, aucune des données dérobées n’avait été utilisée par les pirates. Elle a toutefois appelé ses clients et chauffeurs à la prudence en recommandant notamment d’effectuer un changement de mot de passe. Cette attaque aurait eu lieu le 14 janvier 2017.

Individus & Groupes

Le groupe Orangeworm cible le secteur de la santé 
Le groupe de pirates informatiques « Orangeworm » semble focaliser particulièrement ses attaques sur le secteur de la santé et les infrastructures médicales. Selon les experts en sécurité informatique de Symantec, les victimes de ces attaques seraient localisés un peu partout à travers le monde : en Europe, en Asie, aux Etats-Unis. Le groupe, qui aurait été découvert en 2015 après qu’une vaste cyberattaque ait été menée à l’encontre de plusieurs entités, semble désormais choisir ses cibles avec plus de précision, en se spécialisant dans le secteur de la santé, qui représenterait plus de 40% de ses cyberattaques. Afin de mener à bien leurs attaques, les pirates d’Orangeworn utiliseraient une porte dérobée intitulée « Kwanpirs » qui leur permettrait de s’installer durablement dans le système de la victime, et d’être ainsi en mesure de prélever des informations. Symantec précise que la collecte de données serait le principal but de ce groupe. Orangeworm privilégierait les cibles disposant d’infrastructures anciennes, sur lesquels des systèmes tels que Windows XP seraient toujours en place.
En savoir plus

 

 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour en savoir plus… Cliquez ici !