La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseigne sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

  • Vagues d’attaques mondiales : les suites de l’investigation sur la campagne Petya/NotPetya
  • OutlawCountry, l’outil de la CIA pour espionner les serveurs Linux
  • AlphaBay : Le plus grand marché noir sur le Dark Web est inaccessible 
  • Bithum, la plateforme d’échange de bitcoins piratée
  • CopyCat, un malware visant les appareils Android
  • Une compagnie d’assurance britannique victime d’une fuite de données
  • Des informations sur des menaces informatiques provenant de nos sources arabes et chinoise 
  • Focus sur le groupe « Telebots »

Bonne lecture et si vous souhaitez une veille ciblée sur un secteur d’activité spécifique : 

Threat Intelligencecontactez-nous !

Les menaces sectorielles

Multisectorielle

Les suites de l’attaque Petya/NotPetya

Plusieurs informations ont circulé la semaine dernière sur les suites de l’investigation relative aux attaques Petya/NotPetya. Une analyse de Kaspersky a notamment permis d’établir un lien entre l’attaque récente et l’attaque BlackEnergy qui avait touché l’Ukraine en janvier 2016. La société ESET émet quant à elle l’hypothèse que les attaquants ont eu accès au code source du logiciel comptable ukrainien MEDoc vecteur de l’infection et ont ainsi pu installer une backdoor. Parallèlement, un groupe prétendant être à l’origine du malware Petya/NotPetya s’est manifesté via le site de partage d’information Pastebin en proposant 100 bitcoins (soit 250 000 dollars) en échange de la clé de déchiffrement. Le groupe aurait prouvé à Motherboard l’authenticité de cette clé. Cette information remettrait en cause les analyses qui avaient conclu que Petya/NotPetya était destiné à supprimer les fichiers plutôt qu’à les rançonner.

En savoir plus ici et

 

OutlawCountry, l’outil de la CIA pour espionner les serveurs Linux

Le site de Wikileaks.org a publié le vendredi 30 juin, de nouvelles données dans le cadre de la campagne Vault 7. Les dernières informations divulguées par le site concernent un malware baptisé OutlawCountry qui aurait été utilisé par la CIA pour intercepter le trafic des ordinateurs sous Linux. Le malware se présente sous la forme d’un module kernel (noyau), et redirige le trafic sortant de la cible vers des ordinateurs sous le contrôle de la CIA. ce qui permet à l’agence de renseignement de connaitre les habitudes des utilisateurs et de rajouter des données directement dans les flux.

En savoir plus

 

AlphaBay, mise à jour ou exit scam ?

AlphaBay, l’un des marchés noirs les plus populaires du Dark Web, est inaccessible depuis mardi 4 juillet. Les clients ont immédiatement dénoncé un « exit scam » (une arnaque où un site interrompt son activité et ses livraisons mais continue de recevoir des paiements de clients) tandis que les administrateurs d’Alphabay ont annoncé sur le forum Reddit qu’il s’agissait de mises à jour standards, et que le site serait de retour prochainement. Le marché réalise entre 600 000 et 800 000 dollars de chiffre d’affaire quotidiennement.  

En savoir plus

 

Numérique

Bithumb, victime d’un piratage

La quatrième plateforme mondiale d’échange de bitcoins a été piraté en Corée du Sud. Le 29 juin plus de 30 000 utilisateurs de Bithumb ont été touchés. Les personnes malveillantes à l’origine de cette attaque ont piraté l’ordinateur d’un des employés et ont ainsi eu accès aux informations personnelles des utilisateurs (e-mails et numéros de téléphone). L’enquête de la police est toujours en cours. Bithumb n’a pas précisé le montant de Bitcoins qui a été dérobé

En savoir plus

 

Un piratage du système Sabre met en danger Google

Certaines données personnelles des employés de Google ont été exposées suite à un piratage. La fuite ne provenait pas directement de chez Google mais résultait d’une faille de sécurité du système SynXis dont l’entreprise Sabre Holding, le leader multinational de la technologie destinée au secteur du tourisme, est le prestataire. Via cette plateforme de réservation, les salariés de Google organisaient leurs voyages d’affaires. L’intrusion aurait visé les noms et les coordonnées bancaires des employés. Dans son communiqué officiel Sabre précise qu’il y a aucune preuve d’accès aux informations telles que les numéros de Sécurité sociale, de passeport ou de permis de conduire.

En savoir plus

 

CopyCat, un malware visant les appareils Android

D’après l’éditeur américain Check Point, le malware CopyCat, qui vise les systèmes Android, a infecté plus de 14 millions d’utilisateurs dans le monde, dont 55% en Asie. Les gains totaux sur deux mois pour les auteurs sont estimés à 1,5 million de dollars. CopyCat est notamment capable de passer par Zygote (qui permet de lancer les applications) pour modifier le code et installer de fausses applications. Le malware est configuré pour ne pas infecter les utilisateurs chinois, ce qui, d’après certains commentateurs, suggère que les auteurs pourraient être basés en Chine et vouloir, par ce biais, échapper à une investigation locale.

En savoir plus

 

Assurance

La compagnie d’assurance automobile britannique AA, victime d’une fuite de données

AA, une société britannique spécialisée dans l’assurance automobile aurait mal configuré un de ses serveurs contenant les données de son site de vente en ligne. D’après Troy Hunt qui a découvert l’erreur, 13 GB de données se seraient ainsi retrouvées exposées. Selon Motherboard, les adresses email, adresses IP, adresses physiques ainsi que les détails d’achat et les noms de 117 000 clients AA auraient fuité. D’après Troy Hunt, pour certains de ces clients, les 4 derniers chiffres de la carte bancaire pourraient également avoir été exposés. AA aurait eu connaissance de cette erreur de configuration le 22 avril dernier et l’aurait corrigé le 25.

En savoir plus

 

Ecosystème Régional

Ecosystème moyen-oriental

Des hôpitaux israéliens victimes d’une cyberattaque

Le système d’information du ministère de la Santé israélien a été victime d’une cyberattaque samedi 1er juillet dernier, des dizaines d’ordinateurs dans plusieurs hôpitaux israéliens ont été touchés par cette attaque. Selon les chercheurs d’ESET, le malware est capable d’enregistrer les captures d’écrans et les frappes claviers. Les informations dérobées ont été envoyées au domaine Palestineop.com, ce qui donne une idée de l’identité du ou des pirates.

Source

Ecosystème chinois

Détection de Green Hat, un nouveau ransomware

D’après China Global Television Network (chaîne d’information internationale ayant remplacé CCTV News), qui cite les propos de la société chinoise Cheetah Mobile, un nouveau malware du nom de Green Hat sévirait en Chine. Celui-ci bloque le système et affiche un numéro QQ (messagerie instantanée chinoise), qu’il faut contacter pour effectuer un paiement et récupérer un code pour avoir à nouveau accès à son système. D’après Cheetah Mobile, le rythme de diffusion de Green Hat serait à ce stade relativement lent.

Source

Individus et groupes

« Telebots »

Selon les experts d’ESET, le malware Petya/NotPetya pourrait appartenir au groupe Telebot. Les cyberattaques contre l’Ukraine effectuées entre décembre 2015 et mars 2016 et le virus Petya auraient plusieurs points communs. Telebot avait déjà lancé des attaques qui avaient d’une manière ou d’un autre affecté des ordinateurs en Ukraine. Le mode opératoire du groupe TeleBots est l’utilisation systématique du malware KillDisk qui récrit les extensions de fichiers des victimes (l’objectif n’est donc pas d’obtenir une rançon, car les fichiers ciblés ne sont pas chiffrés, mais réécrits).

En savoir plus

 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour en savoir plus… Cliquez ici !