😰 Faut-il encore craindre les gangs de rançongiciels en 2023 ?

Salut Shaker 👋

C’est samedi, voici le Shake. Pour toi, voici ce qu’on a retenu du digital et de la cyber cette semaine. A la une : faut-il toujours craindre les gangs de rançongiciels ? Les rapports sont contradictoires.

On te décode l’actu :

🚰 Yandex : le Google Russe a fuité

🔖 Les certificats de signature de code de Github Desktop et Atom ont été volés

📡 Des attaquants sont passés sous le radar des EDR... pendant 6 ans

🇷🇺 La Russie a déployé un nouveau malware en Ukraine

🎣 En Grande-Bretagne, Russes et Iraniens mènent du spear phishing

On t’explique tout ça plus bas.

Retrouve le mag : 😢 L’illustration des différents types de victimes par rançongiciel selon l’ANSSI, 🏞️ le “Panorama de la cybermenace 2022” de l’ANSSI, des ingrédients à la carte pour remixer tes propres cocktails cyber à la maison ou au bureau, et, roulement de tambour… la question de la semaine !

Bonne lecture !

Signé - Aurélien, Sylvan et toute la Shakerz core team

〰️ La reco du barman 〰️

😰 Faut-il toujours craindre les gangs de rançongiciels en 2023 ?

Les rançongiciels continuent de représenter une menace mondiale importante pour les organisations

En 2022, le paysage des ransomwares a fortement évolué. Dominé par de grands groupes depuis 2019, les cyberattaquants passent désormais davantage à des activités à la demande (RaaS) plus petites et flexibles. Cette démocratisation des rançongiciels n’est malheureusement pas une bonne nouvelle pour les organisations. Car ce phénomène a entraîné une diversification des tactiques, techniques et procédures.

Ce nouvel écosystème des rançongiciels représente un défi encore plus grand pour les acteurs du renseignement. Selon les analystes de Cisco Talos, “la fin des grands monopoles des rançongiciels a présenté des défis aux analystes du renseignement sur les menaces […] Au moins huit groupes représentent 75 % des publications sur les sites de fuite de données que Talos surveille activement. L'émergence de nouveaux groupes rend l'attribution difficile car les adversaires travaillent sur plusieurs groupes RaaS”.

Si les gangs de ransomware poursuivent leur industrialisation, du côté des victimes le retour à la normale est complexe. Les médias évoquent rarement la durée des dommages subis par les victimes, mais elles peinent à retourner à un fonctionnement normal.

Plus de 2 ans après un ransomware, une collectivité locale britannique toujours en difficulté

Les conséquences d’une cyberattaque, mais surtout de ransomware, peuvent parfois se répercuter sur des années. Le conseil municipal de Hackney à Londres en a malheureusement fait l’amère expérience. En octobre 2020, alors que le Royaume-Uni entre dans sa deuxième vague de pandémie de coronavirus, le conseil municipal de Hackney est victime d’une attaque informatique menée par le gang de ransomware Pysa. Ses systèmes se retrouvent alors gravement paralysés. Aujourd’hui, plus de deux après l’attaque, le conseil municipal continue de faire face aux conséquences de cette attaque. Les services municipaux ont été indisponibles pendant environ un an, les systèmes clés (allocations logements, aide sociale) n'ont pas fonctionné correctement. Bien que ces services soient aujourd’hui à nouveau opérationnels, des problèmes persistent.

Si les ressources financières semblent un facteur important de l’étendue des dommages subis par les victimes, l’argent n’est pas un problème pour les gangs de rançongiciels.

Le cyber crime paye mieux

Le marché du travail de la cybercriminalité est en plein essor. Au même titre que celui de la cybersécurité, les groupes de cybercriminels ne lésinent pas sur les moyens pour attirer les meilleurs talents sur le dark web : salaires à six chiffres, primes et congés payés offerts. Certaines offres d’emploi affichent même des salaires annuels d’1,2 millions de dollars pour les profils les plus qualifiés. Avec de telles conditions et avantages, difficile de croire que le “marché” de la cybercriminalité va s’essouffler dans un avenir proche.

De plus, alors qu’on pourrait croire que les groupes de cybercriminels recherchent uniquement d’autres hackers criminels, la réalité est différente et la diversité des d’emplois bien plus grande. En effet, selon une analyse de Kaspersky sur les offres d’emploi et les CV qui ont été publiés sur 155 forums du dark web de janvier 2020 à juin 2022, les groupes de cybercriminels recherchent, certes, en priorité des spécialistes des attaques, mais aussi des ingénieurs en reverse engineering, des développeurs, des testeurs, des analystes, des administrateurs et des designers.

Dans ce paysage morose, il existe tout de même des lueurs d’espoir : les forces de police enregistrent des succès.

Les serveurs de Hive enfin supprimés

Le jeudi 26 janvier, grâce à une opération internationale menée par 13 pays et coordonnée par Europol, le ministère de la Justice américain a annoncé le démantèlement de Hive, l’une des 3 franchises de rançongiciels les plus actives au monde. En France, la direction zonale de la police judiciaire du Sud-Ouest a joué un rôle actif dans les investigations après avoir été investie de l’affaire en juillet 2022, suite à la première attaque de Hive sur le territoire national.

Le plus impressionnant dans cette affaire reste l’infiltration du FBI au sein du groupe de rançongiciels en juillet 2022. Cette infiltration a permis de mettre la main sur les clés de déchiffrement pour plus d’un millier de victimes.

À quoi s’attendre maintenant ? Le démantèlement de l’un des 3 plus actifs rançongiciels du monde est une bonne nouvelle pour les victimes qui ont pu ou vont pouvoir récupérer leurs données. Malheureusement, l’impact de ce démantèlement va brièvement affecter l’activité ransomware dans le monde. Il se pourrait même que les effets bénéfiques de ce démantèlement soient déjà derrière nous. Il est probable que les opérateurs de Hive rebondissent sous un autre nom, comme ils ont déjà fait preuve de résilience dans le passé en faisant évoluer régulièrement leur ransomware. Concernant les affiliés de Hive, ils pourraient également rejoindre d'autres franchises concurrentes qui les accueilleront probablement à bras ouverts. La question est maintenant de savoir quelle franchise profitera de cette disparition, probablement temporaire, de Hive.

😢 L’image : les types de victimes par rançongiciel selon l’ANSSI

Comme en 2021, les principales victimes françaises d’attaques par rançongiciels restent les PME, TPE et ETI. Même si une diminution conséquente (11%) est constatée au “profit” de quasiment toutes les autres catégories. Les collectivités locales constituent la deuxième catégorie de victime, en augmentation de 4% par rapport à 2021.

Les conséquences d’attaques par rançongiciel sur les collectivités locales peuvent s’avérer dévastatrices, en perturbant notamment les services de paie, le versement des prestations sociales, la gestion de l’état civil et en affectant durablement les services comme ce fut le cas pour le conseil municipal de Hackney à Londres évoqué ci-dessus.

Les principales souches de ransomware identifiées par l’ANSSI sont LockBit, Hive et BlackCat. En 2022, les conséquences de ces attaques ont été particulièrement importantes dans des secteurs critiques comme la santé avec 11 centres hospitaliers français touchés.

〰️ Vos shots 〰️

🚰 Yandex : le Google Russe a fuité

Le 25 janvier, 44,71 Go de données appartenant à Yandex, le moteur de recherche le plus utilisé en Russie et le quatrième moteur de recherche au monde, ont été diffusées en ligne sur un forum de cybercriminalité. L’auteur

de la publication affirme qu’il a lui même téléchargé les données en juillet 2022. Il s’agirait donc de données récentes. Les données publiées contiendraient le code source d'au moins 13 services (messagerie, stockage en ligne, service de transport de type Uber, etc.) appartenant à Yandex, ainsi que des fichiers sur l'algorithme de recherche avec les détails de 1922 critères de classement des sites web. Ces données représentent une véritable mine d’or pour de nombreux experts SEO qui ont déjà commencé à analyser les données pour percer les secrets du référencement. Bien que Yandex n’est pas Google, l’examen du code et des données va peut être permettre aux experts d’en apprendre beaucoup sur la façon dont un moteur de recherche moderne est construit, avec Google en ligne de mire.

🔖 Les certificats de signature de code de Github Desktop et Atom ont été volés

Ce lundi 30 janvier, Github, filiale de Microsoft, a révélé avoir détecté le 7 décembre dernier, un accès non autorisé à un ensemble de répertoires utilisés dans la planification et le développement de l’application Github Desktop et l’éditeur de texte Atom. D’après les informations partagées par Github, le pirate serait parvenu à exfiltrer “un ensemble de certificats de signature de code cryptés”  relatifs à certaines versions de GitHub Desktop pour Mac et Atom. Néanmoins, Github se veut rassurant et indique que les certificats sont protégés par un mot de passe et qu’aucune preuve d’utilisation malveillante n’a été détectée depuis l’intrusion. Pour ne prendre aucun risque, Github a également révoqué préventivement les certificats de signature exposés. Ce jeudi 2 février, les versions de Github Desktop et Atom qui utilisaient les certificats compromis ont cessé de fonctionner. Les utilisateurs sont invités à télécharger la dernière version de Github Desktop et à passer à une version antérieure pour Atom. Toutes les détails nécessaires sont dans le communiqué de Github.

📡 Des attaquants sont passés sous le radar des EDR... pendant 6 ans

Un avis de Checkpoint Research révèle que plusieurs acteurs de le menace ont exploité pendant plus de 6 ans, un service de logiciel malveillant nommé “TrickGate”. Observé pour la première fois en 2016, TrickGate est un service destiné à contourner les logiciels de protection de détection et de réponse aux menaces de sécurité informatique (EDR) ainsi que les programmes antivirus. Au cours des 6 dernières années, Trickgate a notamment été utilisé pour déployer les “malwares les plus recherchés” tels que Emotet, REvil et Maze. Le succès de sa longévité est dû en particulier à son caractère “transformatif”. Bien que les principaux éléments de son code restent inchangés, sont enveloppe a, quant à elle, évoluée périodiquement pour lui permettre de rester sous les radars. Ce qui fait, qu’au cours des dernières années, il ait été identifié sous différents noms et attributs. Les analystes de Checkpoint Research estiment que TrickGate aurait été utilisé par les acteurs de la menace pour mener entre 40 et 650 attaques par semaine au cours des 2 dernières années, principalement dans l’industrie, mais aussi dans l'éducation, la santé, la finance et ciblant aussi les grandes entreprises.

🇷🇺 La Russie a déployé un nouveau malware en Ukraine

Le 25 janvier 2023, la société de cybersécurité slovaque ESET, a découvert un nouveau malware baptisé “SwiftSlicer” dans la dernière cyberattaque en date connue contre l’Ukraine. Ce malware jusqu’ici inconnu, de type “Wiper” (son but est de détruire des données) est basé sur le langage de programmation open-source Go (ou Golang) de Google. Selon les chercheurs, l’auteur de cette cyberattaque est un groupe de pirates lié au service du renseignement de l’état major général des forces armées de la Fédération de Russie (GRU), nommé Sandworm. Cette découverte met en évidence l'utilisation constante de variantes de logiciels malveillants par les groupes de pirates russes ainsi que l'adoption croissante du langage Go par les acteurs de la menace. Ce langage est un outil de choix car il supporte nativement de multiples plateformes et il est relativement facile à développer.

🎣 En Grande-Bretagne, Russes et Iraniens mènent du spear phishing

Dans un article du 26 janvier, l’agence de cybersécurité britannique (NCSC) alerte les organisations et particuliers de deux campagnes distinctes de spear phishing sévissant actuellement au Royaume-Uni. Selon le NCSC, ces deux campagnes sont attribuées à l’acteur de la menace russe SEABORGIUM et l’acteur iranien TA453, également connu sous nom de Charming Kitten. Ces deux campagnes ont, jusqu’à présent, ciblé principalement “les universités, la défense, les organisations gouvernementales, les ONG, les groupes de réflexion, ainsi que les politiciens, les journalistes et les activistes".

Comme dans toute attaque par ingénierie sociale, les attaquants commencent par choisir une cible détenant des informations intéressantes ou étant un vecteur d’accès vers une cible plus importante. L’attaquant effectue une reconnaissance de la cible et de ses contacts. Il usurpe ensuite l'identité de contacts connus de la cible ou de noms éminents dans le domaine d'intérêt de la cible et tente d’entrer en contact avec elle, de préférence avec son adresse personnelle. S’en suit alors la construction d’une relation de confiance pouvant parfois s’étendre sur une longue période. "Une fois la confiance établie, l'attaquant utilise des techniques de phishing typiques et partage un lien, apparemment vers un document ou un site Web intéressant", indique le NCSC. Rien de révolutionnaire ici. Ces techniques sont bien connues et malheureusement toujours aussi efficaces. L’avis du NCSC vise donc à sensibiliser les personnes et les organisations des secteurs susceptibles d'intéresser ces acteurs.

〰️ Dégustation 〰️

🏞️ Panorama de la cybermenace 2022 de l’ANSSI

Dans son “Panorama de la cybermenace 2022” publié le 24 janvier 2023, l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) revient sur les grandes tendances ayant marqué le paysage cyber en 2022.

Dans l’image, plus haut dans ton Shake, on te montre l’évolution de la typologie des victimes de ransomware. Pour les cas déclarés à l’ANSSI. Ici, on reprend de la hauteur avec un plan large.

À retenir :

1. 831 intrusions avérées ont été portées à la connaissance de l’ANSSI sur l’ensemble de l’année 2022, contre 1082 en 2021. Une chute de l’activité liée aux rançongiciels a été observée.

   1. Selon l’ANSSI, cette baisse ne justifie pas pour autant une baisse du niveau de la menace. Le niveau général de la menace se maintient et a été déporté sur des entités moins bien protégées.

2. Les attaquants cherchent à être plus discrets et persistants en ciblant davantage des équipements ou des entités périphériques (prestataires, fournisseurs, sous-traitants, etc.). L’impératif de sécuriser sa “supply chain” demeure, face à l’espionnage comme face aux ransomwares.

3. Les attaques poursuivant un objectif de gain financier demeurent les plus courantes en 2022.

4. L’utilisation de ransomware et de wiper à des fins de déstabilisation par des acteurs criminels étatiques est de plus en plus courante.

5. L’espionnage informatique est la catégorie de menace qui a le plus mobilisé les équipes de l’ANSSI. L’ancien directeur général de l’ANSSI l’indiquait fin 2022.

6. L’exploitation de vulnérabilités disposant de correctifs a encore été trop souvent observée.

7. La coupe du monde de Rugby 2023 et les JO de Paris 2024 vont offrir aux attaquants des opportunités de nuire.

〰️ Cul sec - La question 〰️

📲 Quels est l’age moyen des auteurs de sim swapping, récemment condamnés aux USA et en Irlande ?

A. 15 ans

B. 20 ans

C. 45 ans

D. 70 ans

—> Réponse à la sortie du bar.

〰️ À La carte 〰️

👨🏻 Portrait - Jon Oltsik est analyste principal senior et fondateur du service de cybersécurité de la société ESG. Avec près de 30 ans d’expérience, Jon est largement reconnu comme un expert dans de nombreux aspects de la cybersécurité. Le 30 janvier, Jon a exprimé dans un post son opinion concernant l’avenir des professionnels de la cybersécurité. Selon lui, et dans le prolongement des recherches d’ESG de 2021, le contexte économique mondial actuel pourrait aggraver la pénurie de compétences en cybersécurité. Bien que toujours très demandés, les retombées économiques rendront le recrutement des professionnels de la sécurité encore plus difficile.

🔄 Mise à jour - Gtm Mänôz, un chasseur de bogues a découvert une vulnérabilité concernant facebook et instagram, permettant à un attaquant de contourné l’authentification multifactorielle par sms. Meta a depuis corrigé le problème et les utilisateurs sont invités à mettre à jour leurs applications.

⚖️ Justice - Le procès du millionaire russe Vladislav Klyushin, qui est lié au piratage de la campagne présidentielle d'Hillary Clinton en 2016, a débuté cette semaine au tribunal fédéral de Boston aux États-Unis, près de deux ans après son arrestation en Suisse. Il est accusé d’avoir volé des informations privilégiées sur des sociétés telles que Microsoft et Tesla via des piratages informatiques et d’avoir utilisé ces informations pour tricher sur les marchés boursiers. Cette escroquerie lui aurait rapporté, à lui et ses complices près de 90 millions de dollars. Il est le seul ressortissant russe inculpé dans cette affaire à avoir été arrêté et extradé vers les États-Unis.

〰️ Cul sec - Réponse 〰️

B - 20 ans

Le sim swapping (ou substitution de carte SIM) est une technique de piratage de téléphone mobile. Elle consiste à pirater le compte d'un utilisateur pour obtenir un contrôle sur son numéro de téléphone et le faire rediriger vers une autre carte SIM contrôlée par le pirate. Cela peut être utilisé pour accéder à des informations sensibles telles que des codes de vérification envoyés par SMS, des comptes en ligne et des comptes bancaires liés au numéro de téléphone piraté.

Voici deux exemples récents parmi d’autres :

Conor Freeman, 20, de Dublin, Irelande. Conor a été condamné à effectuer trois ans de prison en Irlande.

Colton Jurisic, 20, de Dubuque, dans l’Iowa (USA). Il a été condamné à 42 mois de prison et à restituer plus de 9 millions de dollars US.

Le sim swapping est loin d’être anodin, la vigilance s’impose, et pas uniquement chez les plus jeunes !

〰️ Digestif 〰️

En musique comme en digital et cyber, parfois c’est dans les vieux tubes que l’on trouve les meilleurs “moves”.

Merci d’être passé ! Rendez-vous samedi prochain pour ton nouveau Shake de l’actu cyber et digitale ! 👋

👉 On a besoin de ton soutien pour diffuser au plus grand nombre la culture de sécurité digitale.

Rejoins les Shakerz, abonne-toi pour recevoir la newsletter hebdo. Tu aimes les Shake et tu veux en faire profiter tes potos ? Alors… 👇👇👇

Des questions ou un avis à partager ? C’est simple, il suffit de répondre à cet email et d’envoyer tes quelques lignes.

“Shake it, don’t fake it“