Salut 👋, voici ton digest du digital et de la cyber pour cette semaine.

À la une :

👮🏻 Les polices démantèlent un groupe de rançongiciel opérant dans 71 pays,

Décode l’actu :

💦 Des pirates prennent le contrôle industriel d'une compagnie des eaux américaine,

🗑 Quand Google Drive égare vos données,

👧🏻 Les enfants piégés par Meta : l’addiction par conception,

🃏 SysJoker : le Hamas aurait sa nouvelle cyber arme,

On t’explique tout ça plus bas.

Retrouve le mag :

🛡 Infographie : comment s’organise la réponse aux incidents cyber ?

🥇 Le rançongiciel toujours en tête des cybermenaces mondiales,

🍿 Bande annonce du film “Le monde après nous”,

🍋 Et des ingrédients à la carte pour remixer tes propres cocktails cyber à la maison ou au bureau.

〰️ La reco du barman 〰️

👮🏻 La police démantèle un groupe de rançongiciel opérant dans 71 Pays

Les forces de l'ordre et judiciaires de 7 pays, appuyées par Europol et Eurojust, ont conjointement mené une opération en Ukraine, aboutissant à l'arrestation des membres clés d'un groupe de rançongiciel responsable d'attaques ayant touché plus de 1 800 victimes dans 71 pays.

Les cybercriminels, qui ciblaient principalement les grandes organisations, utilisaient divers rançongiciels tels que LockerGoga, MegaCortex, HIVE, et Dharma, auraient causé plusieurs centaines de millions d'euros de pertes.

Un mode opératoire bien rodé

Les cybercriminels, ont ciblé depuis l’Ukraine, des grandes entreprises, en paralysant leurs opérations avec des rançongiciels tels que LockerGoga, MegaCortex, HIVE et Dharma.

Les attaques débutaient par des infiltrations sophistiquées, utilisant des attaques de force brute, des injections SQL, des emails de phishing avec des pièces jointes malveillantes, et le vol d'identifiants.

Une fois infiltrés dans les réseaux, les pirates utilisaient des outils comme TrickBot, Cobalt Strike, et PowerShell Empire pour se déplacer latéralement dans les systèmes et se faire oublier pendant parfois plusieurs mois.

Après être resté indétectés suffisamment longtemps, les cybercriminels déployaient alors les rançongiciels et exigeaient le paiement d’une rançon en bitcoin contre les clés de déchiffrement des fichiers.

Une action menée en coopération

L'opération, menée le 21 novembre avec la collaboration d'enquêteurs de Norvège, de France, d'Allemagne, et des États-Unis, a permis l'arrestation du cerveau du groupe âgé de 32 ans et de quatre complices en Ukraine, avec des perquisitions coordonnées dans 30 lieux différents.

Depuis le début de l’enquête, Europol a établi un centre de commandement virtuel aux Pays-Bas pour traiter les données saisies, Eurojust a organisé 12 réunions de coordination pour faciliter la communication entre les autorités impliquées, le Centre européen de lutte contre la cybercriminalité (EC3) d'Europol a organisé des réunions opérationnelles, fourni un soutien en analyse forensique, en collaboration avec les partenaires de No More Ransom et Bitdefender, permettant le développement d’outils de outils de décryptage pour les rançongiciels LockerGoga et MegaCortex, et a facilité les échanges d'informations au sein de la Joint Cybercrime Action Taskforce (J-CAT).

L'enquête a été financée par la Plateforme Multidisciplinaire Européenne contre les Menaces Criminelles (EMPACT). Les autorités françaises, allemandes, néerlandaises, norvégiennes, suisses, ukrainiennes et américaines ont toutes joué un rôle crucial dans cette opération d'envergure.

Cette opération, débutée en 2019, fait suite à d'autres arrestations effectuées en 2021 dans le cadre de la même action et démontre une nouvelle fois la nécessité et l'efficacité d’une coopération internationale dans la lutte contre les rançongiciels.

〰️ En image 〰️

🛡 Comment s’organise la réponse aux incidents cyber ?

Face aux menaces, l’agence de cybersécurité américaine mobilise les organismes fédéraux pour qu’ils mettent à niveau leurs défenses. Avec un principe publié par le NIST en 2012. Déjà 10 ans depuis le standard SP 800-61.

〰️ Vos shots 〰️

💦 Des pirates prennent le contrôle industriel d'une compagnie des eaux américaine

La Municipal Water Authority of Aliquippa, en Pennsylvanie, a confirmé une intrusion de pirates dans son système de contrôle industriel (ICS) le week-end dernier. Bien que le groupe d’hacktivistes Cyber Av3ngers, lié à l’Iran, ait revendiqué l’attaque, la compagnie des eaux assure qu’il n’y a aucun risque pour l’approvisionnement en eau.

Les pirates ont pris le contrôle d’une station de surpression, gérée par un système associé à la régulation de la pression de l’eau pour les cantons de Raccoon et Potter. La compagnie des eaux a été alertée par une alarme, et le système compromis a été désactivé immédiatement, écartant tout risque connu pour l’eau potable ou l’approvisionnement en eau.

Le groupe Cyber Av3ngers, qui aurait déjà ciblé des stations de traitement des eaux en Israël, affirme avoir exploité des vulnérabilités dans un contrôleur logique programmable (PLC) Unitronics, une société israélienne. Les PLC Unitronics Vision sont connus pour leurs vulnérabilités, mais les revendications de groupes hacktivistes sont souvent exagérées.

Bien que les autorités aient été informées, il n’est pas clair si des enquêtes fédérales sont en cours. Les attaques sur les infrastructures d’eau ne sont pas rares, soulignant l’importance des mesures de sécurité dans ce secteur.

🗑 Google Drive égare vos données

Depuis quelques jours, les forums d’assistance de Google sont “inondés” de messages d’utilisateurs inquiets de ne plus voir leurs données récentes sur le service de stockage cloud Google Drive, et ce, malgré le paiement mensuel du service.

La situation est particulièrement préoccupante car, d’une part, les données affichées à certains utilisateurs remontent à un instantané de stockage datant de avril/mai 2023 et d’autre part, parce que les journaux d’activité des comptes concernés ne montrent aucune suppression accidentelle de la part des utilisateurs. Les premières informations semblent plutôt indiquer un problème lié au système du service qui a empêché, à un moment donné, la synchronisation des données entre les appareils locaux des utilisateurs et Google Cloud.

Bien qu’un publication indique que Google enquêtait sur le problème, aucun état d'avancement de l’analyse et aucune information concernant la possibilité de récupérer les fichiers perdus, n’ont pour l’heure, été communiqués.

Face à cette défaillance majeure, et dans l’attente d’une solution, Il est recommandé aux utilisateur de sauvegarder localement les fichiers critiques ou d'explorer d'autres solutions de stockage cloud pendant cette période d'incertitude.

👧🏻 Meta conçu spécialement pour rendre les enfants accros

Dans l’action en justice collective qui oppose les procureurs généraux de 33 États américain à Meta, la société mère d'Instagram et de Facebook, une plainte centrale affirme que l'entreprise aurait intentionnellement conçu ses plateformes pour rendre les enfants accros et aurait sciemment permis à des utilisateurs mineurs de détenir des comptes, selon des documents récemment dévoilés.

Dans le dossier, l’histoire d’une jeune fille de 12 ans détenant 4 comptes qui n’ont pas été supprimés malgré les nombreuses plaintes de la mère. Ce phénomène semble courant pour Meta : malgré plus de 402 000 signalements d'utilisateurs de moins de 13 ans en 2021, seulement 164 000 comptes ont été désactivés. Soit 4 sur 10.

Outre les manquements concernant la vérification de l’âge pour détenir un compte et le traitement des signalements de comptes de mineurs, la plainte souligne également des pratiques addictives présumées de Meta. Des documents cités font état de la conception délibérée de produits nuisibles pour les enfants, exploitant les vulnérabilités psychologiques des jeunes utilisateurs. Une présentation interne de 2020, intitulée “teen fundamentals”, explore comment les caractéristiques du cerveau adolescent peuvent être exploitées pour façonner l'utilisation des produits.

En réponse à ces accusations, Meta a affirmé que la plainte déformait ses efforts pour garantir la sécurité des adolescents en ligne. Et déclare proposer plus de 30 outils pour les jeunes et leurs parents. Concernant la vérification de l'âge, Meta la qualifie de “défi complexe” et suggère que la surveillance des mineurs devrait être transférée aux magasins d'applications (Apple et Google) et aux parents.

🃏 SysJoker : nouvelle menace de cyberattaque présumée liée au Hamas

Une version rénovée de SysJoker, un logiciel malveillant multiplateforme, a été détectée avec une refonte complète de son code en Rust, un language de programmation développé par Mozilla Research depuis 2010.

Initialement documenté en versions C++ par Intezer en 2022, SysJoker cible Windows, Linux et macOS, utilisant des mécanismes sophistiqués de persistance et restant indétectable sur VirusTotal, service en ligne de Google permettant la détection et l'analyse de fichiers suspects.

Des experts de Check Point Research ont établi un lien entre cette nouvelle variante basée sur Rust et l'opération “Electric Powder” remontant à 2016-2017, attribuée au groupe “Gaza Cybergang” affilié au Hamas. SysJoker a été signalé pour la première fois à VirusTotal le 12 octobre 2023, coïncidant avec l'escalade des tensions entre Israël et le Hamas.

Les détails de son fonctionnement incluent des périodes de mise en sommeil aléatoires et un chiffrement complexe pour échapper à la détection. Bien que les preuves suggèrent une possible implication du Hamas, l'attribution reste pour le moment incertaine.

〰️ Dégustation 〰️

🥇 Le rançongiciel toujours en tête des cybermenaces mondiales

Le fournisseur de solutions de cybersécurité Group-IB a publié récemment la 12ème édition de son traditionnel rapport annuel “Hi-Tech Crime Trends 2022/2023” visant à illustrer le paysage actuel des cyber menaces. Les résultats de ce rapport sont issues des données collectées sur la plateforme exclusive de renseignement sur les menaces (Threat Intelligence) de Group-IB.

10 principales conclusions à retenir :

1. Activité accrue due au conflit russo-ukrainien : Depuis février 2022, au moins 12 communautés de hacktivistes et 19 groupes parrainés par des divers États ont intensifié leurs cyberattaques en lien avec le conflit, ciblant les ressources gouvernementales, les entreprises commerciales et cherchant des secrets militaires​​.

2. Prédominance du rançongiciel : Le rançongiciel reste la principale cybermenace mondiale. Le nombre de sites de fuites dédiés (DLS) où les acteurs de la menace publient des données volées a augmenté de 83%, avec des données de 2 886 organisations victimes publiées. Lockbit, Conti et Hive figuraient parmi les groupes de rançongiciels les plus actifs​​.

3. Utilisation de Telegram par les acteurs de la menace : De plus en plus, les acteurs de la menace intègrent des clés pour des bots Telegram dans leurs kits de logiciels malveillants et de phishing, préférant Telegram aux serveurs de commande et de contrôle traditionnels​​.

4. Doublement des ventes d'accès aux réseaux d'entreprises : Il y a eu une augmentation significative de la vente d'accès aux réseaux d'entreprises sur les forums souterrains. Entre le second semestre 2021 et le premier semestre 2022, 380 courtiers d'accès ont été identifiés, avec plus de 2 300 annonces publiées​​.

5. Montée des logs de stealers et des marchés souterrains : Les logs de stealers deviennent un nouveau moyen d'accéder aux réseaux d'entreprises, en particulier avec le développement du travail à distance et des services Single Sign-On (SSO)​​.

6. Nouveaux cadres d'exploitation post-attaque : Les cybercriminels utilisent de plus en plus de nouveaux cadres d'exploitation post-attaque tels que Mythic, Viper, Merlin et Sliver, ansi que le nouvel outil émergeant, remplaçant de Cobalt Strike, Brute Ratel C4.

7. Cyber-opérations militaires en cours : Il y a une augmentation mondiale des cyber-opérations militaires, avec 19 nouveaux groupes parrainés par des États découverts, spécialisés dans le cyberespionnage et attaquant les infrastructures critiques​​.

8. Menaces spécifiques par secteur :

   1. Secteur de l'énergie : Au moins dix groupes ont attaqué les infrastructures du secteur de l'énergie, avec de nouveaux logiciels malveillants comme Industroyer2 et des cadres comme PIPEDREAM posant des menaces significatives​​.

   2. Secteur des télécommunications : 12 groupes parrainés par des États, principalement financés par la Chine, étaient actifs dans ce secteur, utilisant des méthodes innovantes comme l'exploitation de produits antivirus et menant des attaques par déni de service distribué (DDoS)​​.

   3. Secteur de la fabrication : Le nombre d'attaques contre les entreprises manufacturières a augmenté de 19%, avec des attaques sophistiquées contournant même les réseaux isolés​​.

9. Augmentation des attaques sur le secteur informatique : Il y a eu une augmentation des attaques contre les entreprises de cybersécurité gouvernementales et privées, avec 120 attaques par rançongiciel détectées contre des entreprises informatiques au cours de la période de rapport, soit une augmentation de 18% par rapport à la période précédente​​.

10. Utilisation des services publics pour les attaques : Les acteurs de la menace utilisent des services cloud publics comme OneDrive et Dropbox en tant que serveurs de commande et de contrôle, s'adaptant ainsi aux plateformes plus couramment utilisées pour leurs opérations.Ces découvertes soulignent la nature évolutive et de plus en plus sophistiquée des cyber menaces, affectant divers secteurs à l'échelle mondiale. A noter que le fondateur de Group-IB, Russe, a été récemment condamné en Russie pour “trahison d’Etat”, avec 14 ans de prison...

〰️ À La carte 〰️

➡️ Lignes directrices - Ce lundi 27 novembre, le gouvernement britannique a dévoilé les premières lignes directrices mondiales pour assurer le développement sécurisé de l'intelligence artificielle. Élaborées en collaboration avec le NCSC, la CISA et approuvées par 15 pays, ces lignes directrices visent à garantir une conception, un développement, un déploiement et une exploitation sécurisés de l'IA.

⚖️ Condamnation - Amir Hossein Golshan, un homme de 25 ans résidant à Los Angeles, qualifié de “cybercriminel en série et escroc”, a été condamné à huit ans de prison et à verser 1 218 526 dollars de dédommagement pour des attaques de transfert de carte SIM, le piratage de comptes de médias sociaux et diverses escroqueries en ligne. Il aurait notamment volé environ 740 000 dollars à plus de 500 victimes entre avril 2019 et février 2023.

🚨 Vulnérabilités - Ce 27 novembre, de multiples vulnérabilités ont été découvertes dans les produits Spring, permettant à un attaquant de provoquer un déni de service. Spring, tout comme Struts, sont des bibliothèques de composants pour développeurs en langage Java, couramment utilisées dans les grandes entreprises. Struts était à l’origine de la célèbre attaque d’Equifax en 2017.

🦘 Financement - La ministre de l’intérieur australienne, Clare O'Neil, a annoncé un financement de 586,9 millions pour soutenir l’initiative de positionner l'Australie en tant que leader mondial de la cybersécurité d'ici 2030. Ce financement viendra s'ajouter aux 2,3 milliards de dollars prévus d'ici à 2030 pour la stratégie de cybersécurité existante, mise en œuvre par l'Australian Signals Directorate.

👁 Surveillance - Selon une lettre envoyée par le sénateur américain Ron Wyden au ministère de la justice (DOJ), il existerait un programme de surveillance peu connu, appelé “Data Analytical Services” (DAS), permettant aux autorités américaines d'analyser plus de 1000 milliards d'enregistrements téléphoniques chaque année depuis plus de dix ans. Géré en collaboration avec AT&T, le programme, anciennement connu sous le nom d'Hemisphere, aurait reçu plus de 6 millions de dollars de financement de la Maison-Blanche au cours des 10 dernières années.

🤖 Botnet - Selon une communiqué d'Akamai, une société américaine de mise en réseau, des attaquant non identifiés ont utilisé deux vulnérabilités zero-day auparavant inconnues, pour compromettre des dispositifs et les rendre susceptibles d'être infectés par le logiciel open source Mirai. Ce logiciel puissant permet aux appareils IoT tels que des routeurs et caméras de devenir des membres d'un botnet capable d'exécuter des attaques par déni de service distribué (DDoS) d'une envergure jusqu'alors inédite.

〰️ Digestif 〰️

🍿 “Le monde après nous”

Netflix a dévoilé cette semaine la bande annonce du nouveau film de Sam Esmail, “Le monde après nous”, un thriller apocalyptique qui met en scène une famille face à une cyberattaque d’envergure mondiale et à la fin du monde qui en découle.

Petite particularité, ce long-métrage est la première fiction produite par Higher Ground Production, la société de production de Barack et Michelle Obama. L’ex-président américain se serait même impliqué personnellement pour revoir une partie du scénario afin qu’il soit plus crédible “sur le déroulement des faits dans la réalité“.

À découvrir sur Netflix le 8 décembre prochain.

Votre Shake de l'actu cyber et digitale vous attend chaque samedi !

Vous avez un avis ou une question ? Répondez simplement à cet e-mail, nous serons ravis de vous lire !

Aidez-nous à faire grandir la culture numérique responsable. Partagez avec vos proches.

Un ami vous a transféré cette édition ? Pour nous soutenir, vous pouvez-vous abonner 👇👇👇

“Shake it, share it”