Salut 👋, on est samedi, voici ton digest du digital et de la cyber pour cette semaine.

À la une :

👮 HAECHI-IV : 3 500 criminels arrêtés et 300 millions de dollars saisis dans le cadre d'une vaste opération internationale

Aussi dans l’actu :

🐈‍⬛ Les polices remportent une bataille contre le rançongiciel BlackCat,

⛔ Microsoft met hors d’état de nuire une bande de “Crimeware-as-a-service”,

🚨 Une vulnérabilité sur le Ledger Connect Kit plonge l’écosystème Web3 dans l’inconnu pendant quelques heures,

On t’explique tout ça plus bas.

Retrouve le mag :

🇪🇺 Infographie : le “AI Act” : le cadre apporté par la future réglementation de l’IA dans l’Union Européenne

🔍 Zoom sur l'empire du rançongiciel de Matveev, un citoyen Russe recherché

🍋 Et des ingrédients à la carte pour remixer tes propres cocktails cyber à la maison ou au bureau.

〰️ La reco du barman 〰️

👮 HAECHI-IV : 3 500 criminels arrêtés et 300 millions de dollars saisis dans le cadre d'une vaste opération internationale

HAECHI-IV, une opération policière internationale coordonnée par Interpol, a abouti à l'arrestation de près de 3 500 individus et à des saisies d'une valeur de 300 millions de dollars dans 34 pays. Du jamais vu !

Cette opération de 6 mois, menée de juillet à décembre, ciblait diverses formes d’escroqueries cyber tels que l'hameçonnage vocal, les escroqueries sentimentales, la sextorsion, la fraude à l'investissement, le blanchiment d'argent lié aux jeux d'argent illégaux en ligne, la fraude au président, et la fraude au commerce électronique.

Outre les arrestations records, dont un criminel de haut vol spécialisé dans les jeux d'argent en ligne recherché depuis 2 ans, les autorités ont également gelé des comptes bancaires et des comptes de fournisseurs de services d'actifs virtuels pour entraver l'accès aux gains obtenus lors de ces activités criminelles.

Au total, ce sont 82 112 comptes bancaires suspects bloqués, 199 millions de dollars et 101 millions de dollars en actifs virtuels saisis. Des sommes énormes qui, selon Interpol, illustre ce qui “constitue une grave menace pour la sécurité mondiale et affaiblit la stabilité économique des nations du monde entier”.

De nouvelles tendances criminelles

Dans 75% des cas, les affaires de cette opération concernaient de la fraude à l'investissement, de la compromission d’emails d’entreprises et de la fraude au commerce électronique.

Néanmoins, certaines escroqueries sortent du lot. Cette opération a permis notamment de mettre en lumière de nouvelles tendances criminelles dont une en Corée du Sud impliquant la vente de jetons non fongibles (NFT) avec des promesses de rendement énormes, et d’autres utilisant l'intelligence artificielle (IA) et la technologie deepfake pour accroître l'authenticité des escroqueries, permettant ainsi aux criminels de se faire passer pour des personnes connues des cibles, y compris des membres de la famille.

HAECHI-IV intervient après HAECHI-III, une opération de même envergure qui avait permis en 2022, de saisir 130 millions de dollars d'actifs virtuels et mener 975 arrestations dans le cadre d'une campagne mondiale contre la cybercriminalité financière et le blanchiment d'argent.

〰️ En image 〰️

🇪🇺 La loi “AI Act” : le cadre apporté par la future réglementation de l’IA.

〰️ Vos shots 〰️

🐈‍⬛ Les polices remportent une bataille contre le rançongiciel BlackCat

Ce mardi 19 décembre, une action conjointe menée par le FBI, Europol et plusieurs forces de l’ordre européennes a conduit à la saisie de plusieurs sites web d'extorsion associés au célèbre gang du ransomware “Blackcat”, aussi connu sous les noms d’ALPHV ou Noberus.

Cette action a été immédiatement suivie de menaces de représailles de la part des pirates, qui sont soupçonnés de collaborer avec le groupe “Scattered Spider”. Ce dernier a récemment fait parler de lui en ciblant notamment MGM Resorts International et Caesars Entertainment.

Outre la saisie de plusieurs sites web, le ministère de la Justice américain a également annoncé la saisie de plusieurs clés cryptographiques du groupe BlackCat, potentiellement utilisables pour aider jusqu'à 500 victimes de piratage.

Bien qu’aucune arrestation n’ait eu lieu, ou du moins n'aient été mentionnée, certains experts, tel que Charles Carmakal, cadre chez Mandiant, la société de cybersécurité d'Alphabet (Google), saluent cette action comme une “grande victoire”, mais d'autres avertissent que la menace pourrait ne disparaître que temporairement. En effet, preuve de la résilience de ces malfaiteurs, les pirates ont dévoilé seulement quelques heures après l’annonce des autorités, une nouvelle plateforme sur laquelle ils ont commencé à republier des données de victimes. Néanmoins, cette opération signe un premier coup contre l’un des plus prolifiques groupes de cybercriminels.

⛔ 750 millions de comptes Microsoft ont été exploités dans un réseau de cyberattaques automatisées

Selon les révélations de Microsoft, Storm-1152, une bande de "Crimeware-as-a-service" (CaaS), a réussi à enregistrer plus de 750 millions de comptes frauduleux, qu'elle vendait ensuite à d'autres cybercriminels, générant ainsi des millions de dollars.

Amy Hogan-Burney, directrice générale de la DCU (Digital Crimes Unit) de Microsoft, a souligné que “Storm-1152 exploite des sites web et des pages de médias sociaux illicites, vendant des comptes Microsoft frauduleux et des outils permettant de contourner les logiciels de vérification d'identité sur des plateformes technologiques bien connues”. Ces comptes frauduleux offrent ainsi aux cybercriminels une rampe de lancement anonyme pour des activités criminelles automatisées telles que le phishing, le spamming, les rançongiciels et d'autres types de cyber activités illégales.

La contre-attaque de Microsoft ne s’est pas faite a attendre. Les principaux leaders du groupe, tous basés au Vietnam, ont été identifiés. Une plainte pénale auprès des autorités américaine a été déposé à leur encontre. Mais ce n’est pas tout, Microsoft a également pu obtenir une ordonnance de saisie et de mise hors ligne de l'infrastructure de Storm-1152 basée aux États-Unis, qui comprend, un site web vendant des comptes Microsoft Outlook frauduleux (Hotmailbox.me), des sites web vendant des solutions de contournement de la vérification d'identité (1stCAPTCHA, AnyCAPTCHA et NoneCAPTCHA) et des sites de médias sociaux utilisés pour la commercialisation des services.

🚨 Une vulnérabilité sur le Ledger Connect Kit plonge l’écosystème Web3 dans l’inconnu pendant quelques heures

Ledger, la licorne française spécialisée dans les portefeuilles physiques de cryptomonnaies, a alerté le jeudi 14 décembre ses utilisateurs, qu’une version malveillante de son logiciel était en ligne.

La faille a été introduite par une attaque de phishing visant un ancien employé, qui a malencontreusement ouvert la voie au pirate. Ce dernier a ensuite pu injecter un code malveillant sur NPMJS, le compte de registre NPM de Ledger, un gestionnaire de packages pour le code JavaScript partagé entre les applications.

“L'attaquant a publié une version malveillante du Ledger Connect Kit (affectant les versions 1.1.5, 1.1.6 et 1.1.7)”, a déclaré Pascal Gauthier, PDG de Ledger.

L'incident a également touché des protocoles DeFi (finance décentralisée) tels que SushiSwap, Kyber, Revoke.cash et Zapper. Depuis, Ledger a désactivé le code malveillant et a recommandé aux utilisateurs de mettre à jour rapidement le Ledger Connect Kit vers la version 1.1.8, qui peut désormais être utilisée en tout sécurité.

Compte tenu de la portée dont elle pouvait bénéficier, l’attaque aurait pu être dramatique. Fort heureusement, les dégâts ont été limités à 610 000 dollars environ, selon ZachXBT, un enquêteur indépendant renommé dans le domaine des cryptomonnaies.

〰️ Dégustation 〰️

🔍 Zoom sur l'empire du Rançongiciel de Matveev

Des chercheurs en cybersécurité de l’entreprise Suisse “Prodaft” ont levé le voile sur le fonctionnement de l'opération de ransomware orchestrée par Mikhail Pavlovich Matveev, un citoyen Russe inculpé par le gouvernement américain en début d'année pour son présumé rôle dans le déclenchement de milliers d'attaques à l'échelle mondiale. Ce rapport offre des informations précieuses aux professionnels de la cybersécurité pour atténuer les risques d'attaque et refuser les demandes des cybercriminels.

• Matveev, est aussi connu sous les pseudonymes de Wazawaka, m1x, Boriselcin, Uhodiransomwar, Orange et waza.

• Matveev aurait joué un rôle crucial dans le développement et le déploiement des variantes de rançongiciels LockBit, Babuk et Hive depuis au moins juin 2020.

• Matveev a collaboré avec 8 gangs de rançongiciels (LockBit, Babuk, Hive, Conti, Trigona, NoEscape, Monti, RagnarLocker) et parfois même avec 3 ou 4 gangs simultanément.

• Les groupes d'acteurs de la menace comme Matveev et son équipe de 5 personnes peuvent opérer au sein d'une hiérarchie étroite et plate, avec une grande souplesse opérationnelle. Dans ce groupe l'accent est mit sur le travail en équipe, permettant ainsi une adaptation rapide à l'évolution des cybermenaces et à l’exécution d’attaques ciblées avec un haut degré de sophistication.

• Une grande confiance règne entre les membres de ce groupe. Ils partagent même les contributions financières pour les besoins opérationnels. En revanche, une telle proximité peut les exposer à des vulnérabilités en matière de sécurité opérationnelle lors d’échange d'informations personnelles sensibles entre eux.

• En revanche, une grande méfiance règne au niveau intergroupe. Les chefs de groupe peuvent ne pas apprécier le comportement imprévisible des acteurs de la menace ou confier des opérations à des plateformes qu'ils jugent instables ou inefficaces (comme Ragnar Locker).

• Les acteurs de la menace sont enclins à exploiter les opportunités pour impliquer le personnel informatique des victimes en tant que complices volontaires. Les responsables informatiques doivent rester vigilants face à la menace potentielle que représentent les initiés malveillants, motivés par le souhait d'éviter d'être blâmés pour des attaques réussies.

• Les acteurs de la menace ne se préoccupent guère de l'éthique de leur modèle d'entreprise. Seuls leurs intérêts priment. Les victimes n’ont aucune raison de croire les assurances les plus simples données par ces acteurs.

• Aucune cible n’est épargnée, pas même les institutions opérant dans des infrastructures critiques.

〰️ À La carte 〰️

⚖️ Abus de position dominante - Alphabet, la maison mère de Google accepte de verser 700 millions de dollars pour régler à l’amiable une plainte, déposée en juillet 2021 par des dizaines d'Etats américains, contre sa boutique d’applications Play jugée anti-concurrentielles suite à la plainte d’Epic Games. Google s’engage également à modifier sa boutique d’applications afin de réduire les obstacles à la concurrence.

🇮🇱🇮🇷 Cyberattaque - Le groupe hacktiviste pro-israélien “Predatory Sparrow” a revendiqué une cyberattaque ciblée ayant perturbé 60 à 70 % des stations-service Iraniennes. Predatory Sparrow affirme avoir agi “de manière contrôlée tout en prenant des mesures pour limiter les dommages potentiels aux services d'urgence”. Une attaque comparable avait eu lieu en 2021 contre les stations service d’Iran.

📢 Avis de sécurité - Le FBI, la CISA et l'ACSC de l'ASD (agence de cybersécurité d’Australie) ont publié ce lundi 18 décembre un avis de sécurité conjoint sur le ransomware “Play”. Le document divulgue ainsi les tactiques du groupe et les indicateurs de compromission identifiés jusqu'en octobre 2023. Le rançongiciel Play qui utilise un modèle de double extorsion et chiffre les systèmes après avoir exfiltré les données, est responsable d’un grand nombre d’attaques ayant ciblé des entreprises et des organisations d'infrastructures critiques en Amérique du Nord, en Amérique du Sud, en Europe et en Australie.

📄 Rapport - Ce lundi 18 décembre, l’ANSSI a publié un rapport sur “l’état de la menace ciblant le secteur des télécommunications”, un secteur qualifié de “super-critique” car vital pour les autres secteurs critiques (banque, énergie…). Plus de 150 événements de sécurité affectant des entités du secteur des télécommunications, dont près de 50 traités par l’agence, ont été utilisés pour concevoir ce rapport. Parmi les différentes menaces touchant le secteur des télécommunications, la menace la plus préoccupante est l’espionnage. Sur ce sujet, la Chine est pointée du doigt.

💦 Violation de données - Le système de gestion de base de données “MongoDB” a révélé ce lundi 18 décembre avoir été victime d’une cyberattaque le 13 décembre dernier, ayant entraîné une violation de données (noms de clients, des numéros de téléphone et des adresses électroniques). MongoDB recommande à ses utilisateurs de redoubler de vigilance face aux attaques de phishing exploitant ces données.

💦 Violation de données - Xfinity, le réseau câblé de l’opérateur Comcast, a confirmé cette semaine qu'il avait été victime d'une importante violation de données. L’intrusion dans ses systèmes a été rendu possible à cause du logiciel Citrix qu’elle utilise et pour lequel une vulnérabilité critique surnommée “Citrix Bleed” a été découverte plus tôt cette année. 35,8 millions de clients seraient concernés.

🇪🇺 Enquête - Le 18 décembre, la Commission européenne a annoncé avoir officiellement ouvert une enquête pour déterminer si la plateforme X d'Elon Musk a enfreint la loi sur les services numériques (Digital Services Act, DSA). Si tel est le cas, X risque une amende pouvant s’élever jusqu'à 6 % de son chiffre d'affaires mondial.

〰️ Digestif 〰️

🎅🎄 L’équipe Shakerz vous souhaite un joyeux Noël !

Votre Shake de l'actu cyber et digitale vous attend chaque samedi !

Samedi prochain, retrouvez une rétrospective de votre année 2023 de la cybersécurité avec Shakerz.

Vous avez un avis ou une question ? Répondez simplement à cet e-mail, nous serons ravis de vous lire !

Aidez-nous à faire grandir la culture numérique responsable. Partagez avec vos proches.

Un ami vous a transféré cette édition ? Pour nous soutenir, vous pouvez-vous abonner 👇👇👇

“Shake it, share it”