📄Alerte Lockbit : France et Allemagne rejoignent les États-Unis

Salut 👋, voici ce qu’on te propose de retenir du digital et de la cyber cette semaine.

À la une :

📄 La France et l’Allemagne se joignent à l’alerte de la CISA face au gang de ransomware LockBit,

Décode l’actu :

📣 Plus de 60 000 applications Android répandent discrètement des logiciels publicitaires frauduleux depuis des mois,

🇨🇭 Le gouvernement suisse frappé par une vague de cyberattaques,

📔 Scandale chez Samsung : un ancien cadre aurait dérobé les plans d'une usine de puces entière,

🇱🇾 Des entités gouvernementales libyennes ciblées par un logiciel de surveillance,

On t’explique tout ça plus bas.

Retrouve le mag :

✔️ 9 tâches de sécurité importantes à ne pas négliger en tant que responsable de sécurité,

🔒 L'utilisation de l'authentification multifactorielle (MFA) a presque doublé depuis 2020

🍋 Des ingrédients à la carte pour remixer tes propres cocktails cyber à la maison ou au bureau, et, roulement de tambour… la question de la semaine !

Bonne lecture !

〰️ La reco du barman 〰️

📄 La France et l’Allemagne se joignent à l’alerte de la CISA sur LockBit

Depuis 2020, des cybercriminels opérant sous le nom de LockBit, un service de ransomware-as-a-service (RaaS), ont réussi à dérober 91 millions de dollars à de nombreuses organisations américaines.

Cette conclusion découle d'une publication conjointe intitulée “Understanding Ransomware Threat Actors : LockBit” et publiée par plusieurs agences de sécurité, dont l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), le Federal Bureau of Investigation (FBI), le Multi-State Information Sharing and Analysis Center (MS-ISAC) et d'autres autorités partenaires en Australie, au Canada, en France (ANSSI), en Allemagne (BSI), en Nouvelle-Zélande et au Royaume-Uni. Ce document expose les tactiques, techniques et procédures, ainsi que les outils utilisés et vulnérabilités exploitées par les affiliés de LockBit. Il inclut des recommandations techniques pour réduire les risques et impacts des attaques par rançongiciel.

Dans cette publication, les agences soulignent que LockBit, apparu pour la première fois en septembre 2019, est un rançongiciel fonctionnant sous le modèle économique du Ransomware-as-a-Service. C’est à dire que des affiliés sont recrutés pour mener des attaques par rançongiciel en utilisant les outils et l'infrastructure du rançongiciel LockBit.

Une franchise, en quelque sorte.

Ce modèle a conduit à la formation d'un vaste réseau d'acteurs malveillants indépendants, qui ont mené des attaques variées et souvent dévastatrices.

Rien qu'au mois de mai 2023, il a ciblé jusqu'à 76 victimes, selon les statistiques partagées par Malwarebytes la semaine dernière. Au total, le gang LockBit a revendiqué sa responsabilité dans au moins 1 653 attaques de rançongiciel à ce jour.

En France, Il s’agit du rançongiciel le plus utilisé dans les incidents signalés à l’ANSSI en 2022.

Aucun secteur n’est épargné. LockBit a touché un large éventail de secteurs, y compris les services financiers, l'alimentation et l'agriculture, l'éducation, l'énergie, les services gouvernementaux et d'urgence, les soins de santé, l'industrie manufacturière et les transports, mettant ainsi en péril les infrastructures critiques.

Depuis sa création le rançongiciel LockBit a connu quelques évolutions. Il a notamment subi 3 mises à jour majeures : LockBit Red en juin 2021, LockBit Black en mars 2022 et LockBit Green en janvier 2023. Cette dernière version s'est basée sur des fuites de code source du groupe criminel Conti, qui a depuis été dissous. Au fil du temps, LockBit a également adapté son rançongiciel pour cibler les systèmes Linux, VMware ESXi et Apple macOS, ce qui en fait une menace en constante évolution.

Fait important à noter : Cela semble être la première fois que l’ANSSI et la BSI (Allemagne) se joignent à un « cybersecurity advisory coordonné par la CISA ». Cela démontre t-il une volonté commune des agences de cybersécurité nationales à collaborer ensemble sur les sujets cyber ? En revanche, pour l’heure, l’ANSSI n’a pas encore communiqué sur cette initiative commune.

✔️ 9 tâches de sécurité importantes à ne pas négliger en tant que responsable de sécurité

〰️ Vos shots 〰️

📣 60 000 app Android avec malware publicitaires. Depuis des mois.

Une vaste campagne de logiciels publicitaires malveillants a été découverte sur plus de 60 000 applications Android malveillantes qui ont ciblé des utilisateurs à travers le monde (principalement aux États-Unis) pendant plus de six mois. Les chercheurs de BitDefender qui ont découvert la campagne indiquent que ces logiciels publicitaires sont déguisés en fausses applications de sécurité, cracks de jeux-vidéo, VPN, applications de streaming Netflix et autres utilitaires.

Bien que l'objectif principal de cette campagne soit de générer des revenus publicitaires, les chercheurs s’inquiètent d’un éventuel changement de tactique de la part des acteurs malveillants. Ils pourraient ainsi facilement passer à d'autres types de logiciels malveillants, tels que les chevaux de Troie bancaires. Selon les chercheurs, cette campagne est particulièrement remarquable en ce sens qu'elle semble automatisée et “organique”.

🇨🇭 Le gouvernement suisse frappé par une vague de cyberattaques

Le gouvernement suisse fait face à une série de cyberattaques qui ont paralysé les sites web de plusieurs agences gouvernementales et entreprises affiliées ce lundi 12 juin. Les attaques par déni de service distribué (DDoS) ont été revendiquées par le groupe de pirates pro-russe NoName, spécialisé dans ce type d'attaques. NoName a également revendiqué une attaque similaire contre le Parlement suisse les 7 et 8 juin derniers.

Parallèlement, le gouvernement fédéral a également déclaré enquêté depuis le 8 juin dernier sur une attaque par ransomware dont aurait été victime Xplain, un fournisseur informatique de logiciels suisse, entretenant des liens avec diverses agences gouvernementales, dont l'armée suisse, l'Office fédéral de la police (Fedpol) et la société nationale des chemins de fer (FSS). D’après les informations de l’entreprise, ses systèmes aurait été ciblés le 3 juin dernier par le groupe de ransomware Play, qui serait également basé en Russie.

📔 Scandale chez Samsung : un ancien cadre aurait dérobé les plans de toute une usine de puces

Un ancien cadre de Samsung Electronics a été arrêté en Corée du Sud pour avoir volé l’intégralité des plans d'une usine de puces semi-conducteurs et tenté de les utiliser pour construire une usine similaire en Chine. L'accusé, dont le nom n'a pas été divulgué, aurait travaillé chez Samsung pendant 18 ans et chez un autre fabricant de puces sud-coréen pendant 10 années supplémentaires. Il aurait ensuite créé ses propres entreprises en Chine et à Singapour et débauché pas moins de 200 anciens employés. Les procureurs estiment que l'ancien cadre a volé des informations confidentielles, y compris des plans et des données d'ingénierie, d'une valeur estimée à environ 233 millions de dollars. Comme si cela n’était pas déjà suffisant, l’accusé prévoyait de construire sa future usine copiée-collée à moins d'un kilomètre de l'usine de Samsung à Xian, en Chine. Fort heureusement, l'usine prévue en Chine n'a jamais été construite en raison de l'échec de son financement.

Les procureurs considèrent cette affaire comme un crime grave pouvant nuire à la sécurité économique du pays. D’autant plus quand on connait l’enjeux stratégique mondial que représentent ces semi-conducteurs et les ambitions majeures autant des USA et de l’Europe pour rattraper la Chine. Six autres personnes ont également été inculpées en relation avec cette affaire.

🇱🇾 Des entités gouvernementales libyennes ciblées par un logiciel d’espionnage

Des entités gouvernementales libyennes sont actuellement visées par un malware de surveillance nommé “Stealth Soldier”. Détectée par les chercheurs de Check Point Research, cette série d'attaques persistantes avancées (APT) utilise un malware capable de mener des activités de surveillance telles que l'exfiltration de fichiers, l'enregistrement d'écran et de microphone, le vol de frappes clavier et d'informations de navigation.

Bien que difficile à confirmer, l'infrastructure du “Stealth Soldier” présente des similitudes avec celle de la campagne “The Eye on the Nile”, qui avait visé des cibles en Égypte en 2019, suggérant un possible lien entre les deux.

Malgré le fait que la Libye soit rarement mentionnée dans les rapports sur les attaques avancées persistantes (APT), les chercheurs admettent que l'enquête suggère que les attaquants derrière cette campagne ont des motivations politiques et que la nature modulaire du logiciel malveillant laisse présager une évolution continue des tactiques et des techniques, avec de nouvelles versions potentielles à venir et pourrait viser d’autres cibles.

〰️ Dégustation 〰️

🔒 L'utilisation de l'authentification multifactorielle (MFA) a presque doublé depuis 2020

Ce lundi 12 juin, Okta, un leader mondial de la gestion sécurisée des identités et des accès, a annoncé la publication de son rapport international sur les tendances de la connexion sécurisée. L’étude a été réalisée sur des milliards de connexions mensuelles de clients professionnels à Okta Workforce Identity Cloud dans plus de 16 secteurs d'activité à travers le monde.

À retenir :

• L'adoption de l’authentification multifactorielle (MFA) continue de progresser. En janvier 2023, elle a atteint 64% parmi les utilisateurs et plus de 90% des administrateurs.

• Les confinements durant la crise sanitaire ont entrainé un taux d’adoption record du MFA. Alors qu’en temps normal, le taux d’adoption du MFA connait en moyenne une croissance annuelle de 5%, durant la crise sanitaire, et en particulier entre février et mars 2020, celui-ci a bondi de 35 à 50% d’adoption chez les clients d’Okta.

• Les méthodes de connexion les plus résistantes au phishing, telles qu'Okta FastPass et FIDO2 WebAuthn, se révèlent également être en terme d’expérience utilisateur les plus rapides et fiables.

• Bien que l’adoption du MFA augmente, les mots de passe ont la vie dure. Pour toute une série de raisons, près de 100 % des utilisateurs ont encore recours à un mot de passe à un moment ou à un autre.

• Parmi les secteurs les plus enclin à évoluer vers un avenir sans mot de passe, l’on retrouve l’industrie technologique avec déjà 87 % des connexions de compte utilisant le MFA, les secteurs de l'assurance (77 %), des services professionnels (75 %), de la construction (74 %) et des médias et communications (72 %). Étonnement, les industries hautement réglementées telles que l'administration, la santé, les services financiers et l'énergie sont à la traîne dans cette adoption.

• L'adoption du MFA est plus répandue au sein des organisations de moins de 300 employés avec 79 % des organisations utilisant le MFA. En revanche, les grandes entreprises de plus de 20 000 employés affichent un taux d'adoption plus faible, seulement 54 %.

〰️ Cul sec - La question 〰️

🔵 Quelle plateforme de streaming s’est vu infliger cette semaine une amende par la CNIL Suédoise ?

A - Apple Music

B - Netflix

C - Spotify

D - SoundCloud

—> Réponse à la sortie du bar.

〰️ À La carte 〰️

🚨 Vulnérabilités - De multiples vulnérabilités ont été découvertes les versions antérieures à 102.12 de la messagerie Mozilla Thunderbird. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un contournement de la politique de sécurité.

La mauvaise gestion des privilèges dans les clients Zoom, Zoom Rooms et Zoom VDI pour Windows avant la version 5.14.0 peut donner la possibilité à un utilisateur authentifié de réaliser une escalade des privilèges en exploitant un accès local. Appliquez vos mises à jour !

💵 Amende - Après Amazon c’est au tour de Microsoft de passer à la caisse. Microsoft a été condamné par la FTC à payer 20 millions de dollars pour avoir collecté et conservé illégalement des données d'enfants, provenant de comptes de la console de jeux Xbox.

💣 DDoS - D’après Microsoft, la panne mondiale qui a touché le portail Azure de Microsoft vendredi dernier était dû à un pic de traffic sur le réseau. Bien que Microsoft n'ait pas fourni de détails, un acteur de la menace qui se présente sous le nom d'Anonymous Sudan a revendiqué avoir mené une attaque DDoS.

✊ L’union fait la force - Pour s’opposer à la hausse controversée des frais d’API de Reddit, plus de 7 000 subreddits sont devenus privés et plus de 8000 autres ont déclaré qu’ils le feraient. Ces protestations massives ont provoqué une panne de Reddit pendant 3 heures ce lundi 12 juin chez certains utilisateurs.

😯 Le culot - Le cabinet d'avocats britannique Knights a suscité l'intérêt de son personnel de manière surprenante. Après avoir déçu ses employés avec des augmentations salariales inexistantes ou non significatives, ces derniers ont reçu un e-mail intitulé “Avis important : Augmentation de salaire”. Malheureusement pour les employés, il s'agissait d’un test d'hameçonnage mené par l’entreprise et certains sont tombés dans le piège. Pas certain que cette méthode soit la plus efficace pour mobiliser ses collaborateurs sur les sujets cyber.

🎯 La liste s’agrandit - Après British Airways, Boots et la BBC, c’est au tour de l'Ofcom, l'autorité britannique de régulation des communications de déclarer faire partie des organisations touchées par le piratage de MOVEit dont on vous parlait la semaine dernière.

💰 Sacré pactole - Créée il y a seulement de quatre semaines par des anciens de Meta et un ex-Google, la start-up Mistral AI, qui développe des grands modèles de langage et des outils à destination des entreprises, vient de lever 105 millions d’euros. Un record de financement initial pour une start-up européenne. Une première version de la plateforme devrait voir le jour début 2024.

🇪🇺 Historique - Ce mercredi 14 juin, l’Union Européenne a adopté à une écrasante majorité une loi historique sur l'intelligence artificielle. Présentée pour la première fois en avril 2021, cette loi vise à réglementer strictement les services d'IA et à atténuer les risques qu'ils posent. Cela pose la question de qui en France va s’occuper de superviser l’Intelligence Artificielle. L’ANSSI, la CNIL ou les deux ?

⏳️ Info ou intox ? - Anonymous Sudan, KillNet et Revil ont annoncé ce vendredi 16 juin unir leurs forces dans le but de paralyser le système financier occidental d’ici 48 heures. Les cibles sont les banques américaines et européennes, le réseau SWIFT et la réserve fédérale américaine. Coup de comm, campagne d’info-déstabilisation ou coup d’épée dans l’eau ?

〰️ Cul sec - Réponse 〰️

Réponse C - Spotify

La plateforme numéro un mondial de streaming audio, Spotify, a écopé ce mardi 13 juin d’une amende de 59 millions de couronnes suédoise (5 millions d’euros) par la CNIL suédoise (IMY) au titre du règlement général sur la protection des données (RGPD).

L’autorité suédoise de la protection des données reproche au géant du streaming audio de ne pas avoir communiqué de manière suffisamment précise sur la manière dont elle utilise les données de ses utilisateurs.

L'IMY précise que Spotify a “pris plusieurs mesures en vue de satisfaire aux exigences du droit d'accès des personnes et les lacunes qui ont été découvertes sont considérées dans l'ensemble comme étant d'un faible niveau de gravité”.

Le montant demandé est légitimé par le nombre d'utilisateurs de la plateforme ainsi que par sa position prépondérante dans l'industrie du streaming.

Spotify a annoncé qu’il allait faire appel de la décision.

〰️ Digestif 〰️

🎣 Je me suis encore fait avoir au test de phishing …

Merci d’être passé ! Rendez-vous samedi prochain pour ton nouveau Shake de l’actu cyber et digitale ! 👋

L’équipe travaille dur. 👉 On a besoin de ton soutien pour diffuser à tous la culture de sécurité et responsabilité digitale.

Rejoins Shakerz, abonne-toi pour recevoir la newsletter hebdo. Tu aimes les Shake et tu veux en faire profiter tes potos ? Alors… 👇👇👇

Des questions ou un avis à partager ? C’est simple, il suffit de répondre à cet email et d’envoyer tes quelques lignes.

“Shake it, don’t fake it”