250 esclaves libérés d'un gang cybercriminel. Il en reste des milliers.

Salut 👋, j’espère que tu as passé une bonne semaine. C’est l’heure de se plonger dans l’actu cyber et digitale, et ça remue !

Au programme :

• À la une : 250 esclaves libérés d'un gang cybercriminel. Il en reste des milliers.

• 🇺🇸 Le gouvernement américain réexamine les fautes de Microsoft,

• 🤖 Les détournements de ChatGPT menacent la cybersécurité mondiale,

• 🌚 “TheMoon” : la menace silencieuse qui pèse sur les routeurs et dispositifs IoT,

• 🌐 “Proxylib” : une campagne qui transforme les applications VPN en proxies pour les cybercriminels

• En Image : 🚪Tout comprendre sur la porte dérobée qui touche XZ Utils,

• Rapport : 📈 Augmentation de 70 % des attaques de rançongiciel contre le secteur de l'enseignement supérieur en 2023,

🇮🇳 250 esclaves libérés d'un gang cybercriminel. Il en reste des milliers.

C’est l’histoire d’un sauvetage et rappatriement de citoyens indiens retenus au Cambodge. Je te raconte.

Le gouvernement indien a annoncé avoir orchestré le sauvetage et le rapatriement de 250 de ses citoyens tombés dans un piège tendu par un gang de cybercriminels au Cambodge.

Ces personnes, en quête d'emplois alléchants, se sont retrouvés retenus dans ces gangs dès leur arrivée dans la nation d'Asie du Sud-Est.

L’alerte a été donnée suite à des plaintes de ressortissants indiens auprès de l’ambassade de l’Inde au Cambodge. En réponse, une collaboration étroite entre les autorités indiennes et cambodgiennes a été mise en place, permettant le sauvetage de ces 250 personnes, dont 75 au cours des trois derniers mois.

Un des rescapés raconte avoir été contraint de vivre dans des conditions indignes et de mener des escroqueries sous la houlette de ses malfaiteurs chinois et malaisiens.

Le mode opératoire impliquait la création de faux profils sur les réseaux sociaux destinés à escroquer leurs compatriotes indiens. Ceux qui ne parvenaient pas à atteindre les objectifs financiers quotidiens étaient soumis à des violences physiques ou mis à l’isolement.

5 000 autres indiens encore retenus… parmi des centaines de milliers

Toutefois, le média India Today souligne une réalité plus sombre, révélant l'existence d'au moins 5 000 autres victimes encore sous l'emprise de ces réseaux criminels, impliqués dans des arnaques générant près de 60 millions de dollars au cours des six derniers mois.

Alors que les investigations se poursuivent pour localiser et rapatrier davantage de victimes, cette affaire met une nouvelle fois en lumière le fléau de la cybercriminalité alimentée par la traite des êtres humains, notamment en Asie du Sud-Est. En décembre dernier, Interpol, au travers de son opération Storm Makers II [Shakerz], était parvenu à arrêter 281 auteurs de crimes et à libérer 149 victimes dans 27 pays asiatiques et d'autres régions du monde.

🚪Tout comprendre sur la porte dérobée qui touche XZ Utils

En fin de semaine dernière, la découverte d'une vulnérabilité critique CVE-2024-3094 a ébranlé la communauté Linux. On vous en a parlé. Du code malveillant a été identifié dans les versions 5.6.0 et 5.6.1 de XZ Utils. On vous explique en une image !

🇺🇸 Le gouvernement américain réexamine les fautes de Microsoft

Presque un an après, Microsoft se trouve toujours au cœur d'un tourbillon de critiques suite à la vulnérabilité qui a permis à des pirates chinois d’accéder, en mai 2023, à des comptes e-mails de hauts responsables américains. Depuis, la pilule a du mal à passer du gouvernement fédéral, soucieux de ne pas exporter d’informations confidentielles et de technologies américaines, surtout à la Chine.

Suite à cet incident, une enquête a été menée par le gouvernement américain et les résultats ont été publié ce mardi. Un rapport accablant, publié par le US Cyber Safety Review Board (CSRB) souligne une négligence particulière dans la protection d'une clé cryptographique sensible qui a permis aux pirates de se connecter à distance aux comptes Outlook de leurs cibles. Les conclusions du rapport sont sans appel : le piratage “était évitable et n’aurait jamais dû se produire”. En considérant que l'entreprise est “centrale dans l'écosystème technologique […] La culture de sécurité de Microsoft était insuffisante et nécessite une refonte”.

Pour rappel, ce piratage de l’été dernier a été l’une des campagnes de cyberespionnage marquantes de l’année 2023. Elle aura permis aux pirates chinois, identifiés Storm-0558 par Microsoft, de télécharger les e-mails et les pièces jointes de 25 comptes de messagerie associés à des agences gouvernementales. Environ 60 000 e-mails du seul Département d'État, ont pu être collectés selon le porte-parole du département, Matthew Miller.

🤖 Les détournements de ChatGPT menacent la cybersécurité mondiale

Presque deux ans après la sortie de ChatGPT, des techniques sophistiquées pour contourner les politiques de sécurité et de contenu d'OpenAI prolifèrent, et mettent en lumière l'ingéniosité des acteurs malveillants.

Selon Mike Britton, responsable de la sécurité de l'information chez Abnormal Security, l'usage détourné de ChatGPT et d'autres IA pour l’ingénierie sociale et divers contenus préjudiciables (aide au scripting d’attaque, recherche de vulnérabilité, etc.) est en augmentation.

Dans un billet de blog publié lundi, Abnormal Security met en évidence 5 prompts que les cybercriminels utilisent pour “jailbreak" ChatGPT, c’est à dire manipuler pour qu'il outrepasse ses restrictions éthiques et légales. Bien que ces techniques ne soient pas nouvelles, celles-ci ne font que gagner en popularité sur les forums du dark web et illustrent la facilité avec laquelle les restrictions des IA peuvent être contournées.

De plus, selon un rapport de Microsoft publié en début d’année, les cybercriminels ayant recours à ChatGPT ou à l’IA ne sont plus de simples amateurs mais incluent désormais des groupes soutenus par des États comme la Russie, la Corée du Nord, l'Iran et la Chine.

Face à ces détournements, OpenAI affirme lutter activement pour renforcer les capacités de ChatGPT à respecter ses directives et règles d’éthique. Cependant, malgré ses efforts, prédire chaque jour l’utilisation abusive de sa technologie dans le monde réel relève de l’impossible.

🌚 “TheMoon” : la menace silencieuse qui pèse sur les routeurs et objets connectés

Dans un billet de blog publié le 26 mars dernier, des chercheurs en sécurité de Black Lotus de Lumen Technologies, ont découvert qu’une nouvelle variante de "TheMoon", un malware apparu pour la première fois en 2014, qui cible désormais en toute discrétion, des routeurs domestiques et de TPE/PME et des dispositifs IoT (Internet des Objets) dans 88 pays. Le malware serait doté d’une armée de 40 000 Bots.

La récente campagne qui est lié au proxy criminel “Faceless”, un service qui utilise certains des dispositifs infectés comme des intermédiaires pour acheminer le trafic, a débuté la première semaine de mars 2024, visant plus de 6 000 routeurs ASUS en moins de 72 heures et indique une menace persistante et en évolution.

Bien que la méthode utilisée pour compromettre les routeurs ne soit pas décrite par les chercheurs, il est fort probable que les attaquants aient exploité des vulnérabilités connues. En effet, les dispositifs ciblés sont des modèles en fin de vie, et les dispositifs IoT sont généralement réputés pour être configurés puis oubliés et donc non mis à jour.

Cette découverte souligne une tendance inquiétante : des dispositifs non surveillés ou obsolètes sont des vecteurs d'attaques cybercriminelles. Selon Thomas Siu, directeur de la sécurité de l'information chez Inversion6, “Les particuliers et les petites entreprises doivent évaluer la robustesse de leurs systèmes réseau, en particulier s'ils utilisent des routeurs périphériques de plus de trois ans, car ils sont plus susceptibles d'être compromis à ce niveau”.

🌐 “Proxylib” : une campagne qui transforme les applications VPN en proxies criminels

Les chercheurs de HUMAN’s Satori Threat Intelligence ont récemment mis à jour une campagne malveillante surnommée PROXYLIB, exploitant des applications VPN pour transformer secrètement les appareils Android des utilisateurs en intermédiaires au service de cybercriminels.

PROXYLIB, ainsi nommée d'après une bibliothèque de code partagée par toutes les applications concernées, a été identifiée à la suite de l’examen de 28 applications sur Google Play, dont 17 étaient des VPN gratuits. Toutes ces applications ont été retirées de la plateforme.

L'usage de dispositifs tiers comme proxies par des cybercriminels et des acteurs étatiques n’est pas nouveau. Cette technique leur permet non seulement de masquer l’origine de leurs attaques, rendant ainsi leur traçabilité plus complexe, mais aussi d’exploiter les ressources des victimes pour mener à bien leurs opérations. Une fois “compromis”, un appareil peut se retrouver au cœur d’activités variées, allant de la fraude publicitaire à l'attaque par force brute des mots de passe.

Face à cette menace, Google Play Protect a été renforcé pour offrir une protection automatique contre PROXYLIB. Toutefois, la vigilance reste de mise. Il est recommandé d'éviter les applications de sources tierces et les VPN gratuits. Les utilisateurs impactés par de telles pratiques peuvent subir un ralentissement de leur connexion Internet, signe potentiel d'une infection.

📈 Augmentation de 70 % des attaques de rançongiciel contre le secteur de l'enseignement supérieur en 2023

Dans son rapport 2024 “State of Malware in Education” Malwarebytes dresse une analyse complète de six cybermenaces, dont CL0P, les attaques Living Off The Land (LOTL), le malvertising et le rançongiciel Big Game, et présente les mesures proactives que les équipes informatiques et de sécurité peuvent prendre pour protéger leurs organisations.

À retenir :

👉 Big Game Ransomware : En 2023, le problème du rançongiciel s'est aggravé, avec une augmentation de 68% du nombre d'attaques connues contre le secteur de l’éducation. Le Ransamware-as-a-Service (RaaS) le plus utilisé est LockBit, à l'origine de plus de deux fois plus d'attaques que son concurrent le plus proche en 2023. Toutefois, si le nombre total d'attaques par LockBit a augmenté d'une année sur l'autre, sa part d'attaques a diminué de 31 % en 2022 à 22 % en 2023.

👉 La malvertising (publicité malveillante) a connu une résurgence en 2023, en partie en raison de l'effort de Microsoft pour bloquer les macros dans les documents téléchargés d'Internet. Amazon était la marque la plus imitée en 2023 dans ces campagnes​​.

👉 Zero-Day Ransomware : En 2023, le groupe de rançongiciel CL0P a franchi un cap en lançant une série de campagnes courtes et automatisées, frappant simultanément des centaines de cibles. CL0P est devenu le troisième groupe de rançongiciel "big game" le plus actif de l'année. Il est estimé que CL0P a extorqué entre 75 et 100 millions de dollars avec sa campagne exploitant une vulnérabilité zero-day dans le logiciel MOVEit Transfer​​.

👉 Living Off The Land (LOTL) : Les attaques LOTL, où les criminels utilisent des outils d'administration IT légitimes pour mener des activités malveillantes, sont extrêmement difficiles à détecter pour les équipes IT. La technique de masquerading (T1036 pour les intimes) a été l’une des techniques LOTL détectées par Malwarebytes, représentant 37% des détections.

👉 Android Banking Trojans : En 2023, Malwarebytes a détecté 88 500 fois des trojans bancaires sur Android. Ces malwares sophistiqués et furtifs viennent déguisés en applications ordinaires et sont conçus pour voler de l'argent directement des comptes bancaires des victimes​​.

👉 Nouvelles Tactiques de Malware sur Mac : Malgré une croyance populaire, les malwares ont toujours existé pour les Macs. En 2023, 11% des détections sur Mac étaient des malwares, illustrant une diversification des menaces ciblant les appareils Apple​​.

💦 Fuite de données - La société de télécommunications AT&T a déclaré samedi dernier que des données, probablement issues d’un piratage ancien, avait été divulguées sur le dark web. D’après l'analyse préliminaire de l'incident, plus de 60 millions d’anciens titulaires de comptes AT&T sont concernés et 7,6 millions d’abonnés actuels ont vu leur code d’accès compromis, puis réinitialisés par l’opérateur.

🚫 Spam - Google a commencé à bloquer les e-mails envoyés en masse (plus de 5000 e-mails par jour) par des expéditeurs qui ne respectent pas les règles. Parmi elles : mettre en place une authentification SPF/DKIM et DMARC pour son domaine, proposer une option de désabonnement en un clic et répondre aux demandes de désabonnement dans les deux jours, maintenir un taux de spam en dessous de 0,30% et ne pas usurper l’identité de Gmail dans l’en-tête “From”.

🔐 Vie privé - Google a accepté de supprimer des milliards d'enregistrements contenant des informations personnelles recueillies auprès de plus de 136 millions de personnes utilisant son navigateur web Chrome. Cet accord s'inscrit dans le cadre du règlement d'un procès ouvert depuis presque 4 ans, dans lequel la société a été accusée de surveillance illégale.

📊 Statistique - Selon un nouveau rapport de Diligent et Bitsight, les entreprises dont les performances en matière de cybersécurité sont “avancées” génèrent un rendement pour les actionnaires 372 % plus élevé que leurs homologues avec des performances en matière de cybersécurité basiques. La cybersécurité serait-elle bonne pour le business ?

🏨 Vulnérabilité - Une vulnérabilité de sécurité dans les bornes d'auto-enregistrement des hôtels Ibis Budget en Europe, la chaîne d'hôtels économiques qui appartient au géant de l'hôtellerie Accor, a révélé au yeux de tous les codes d'accès aux chambres des clients. L’incident remonte à fin 2023, mais celui-ci vient seulement d’être révélé. Après sa détection, il aura tout de même fallu attendre 1 mois pour que l’entreprise déploie un correctif.

😡 Protestation - Dans un communiqué, des chercheurs en sécurité de Security Explorations font état du manque de réactivité et de considération de Microsoft concernant des problèmes de sécurité liés à PlayReady, affectant le service VOD de Canal+ en Pologne, mais aussi d’autres plateformes telles que Netflix, HBO Max et Amazon Prime Vide. Les chercheurs déclarent que depuis leur notification il y a un an et demi, Microsoft n’aurait toujours pas daigné corriger le problème, que leur POC est toujours fonctionnel à ce jour. Microsoft aurait même depuis, coupé le contact…

👀 Espionnage - Un document judiciaire déposé le 23 mars dernier, démontre comment le géant des médias sociaux Facebook, a espionné le trafic réseau des utilisateurs de Snapchat entre juin 2016 et mai 2019 environ, via un programme utilisant une méthode de type "adversary-in-the-middle". Comment Facebook a-t-il procédé ? En achetant Onavo en 2013, une application de VPN (liquidée en 2019), puis en détournant le traffic des utilisateurs. Pas très glorieux.

🥊 Vengeance - Après la mort du leader de l'opposition Alexey Navalny dans une prison russe en février dernier, un groupe de pirates informatiques anti-Kremlin a cherché à se venger en piratant un réseau informatique lié au système pénitentiaire russe. Ils auraient dérobé, entre autres, une base de données contenant des informations sur des centaines de milliers de prisonniers russes leurs proches et leurs contacts. Les pirates ont ainsi “espoir quelqu'un puisse les contacter et aider à comprendre ce qui est arrivé à Navalny", a déclaré à CNN un pirate qui prétend être impliqué dans la violation.

🧑‍🎨️ La porte dérobée XZ Utils en une image

Beaucoup de rouages parfois cruciaux de nos systèmes d'exploitation et applications, de plus en plus le socle de nos vies connectées, dépendent d'une seule personne ou d'une équipe très réduite. L’incident récent concernant l’outil XZ Utils en est une nouvelle preuve.

Comme toujours, merci de nous avoir lu. Pour diffuser la culture de cyber et soutenir Shakerz, partage cet email 👐

Passe un bon week-end et à la semaine prochaine ! ✌️