🍏 Les Macs menacés par le ransomware LockBit

Salut 👋, voici ce qu’on a retenu du digital et de la cyber cette semaine.

À la une : 

🍏 Les Macs d’Apple menacés par le redoutable rançongiciel LockBit.

Avec nous, décode l’actu :

🇮🇹 L'Italie accepte de lever l'interdiction de ChatGPT sous conditions,

🦠 Un malware enregistre plus de 100 millions de téléchargements,

🇨🇳 Le groupe de pirates chinois APT41 change de tactique,

💸 Les escroqueries ont coûté 3,1 milliards de dollars de pertes aux Australiens en 2022,

💊 L'ex-PDG d'une clinique de pyschothérapie condamné pour avoir négligé la sécurité des données,

On t’explique tout ça plus bas.

Retrouve le mag :

📦 Qu’est-ce qu’un ransomware-as-a-service (Raas) ?

🕸 Les acteurs de la menace ont de plus en plus recours à des techniques d'extorsion,

🍋 Des ingrédients à la carte pour remixer tes propres cocktails cyber à la maison ou au bureau, et, roulement de tambour… la question de la semaine !

Bonne lecture !

Signé - Aurélien, Sylvan et toute la Shakerz core team

〰️ La reco du barman 〰️

🍏 Les Macs d’Apple menacés par le redoutable ransomware LockBit

Récemment, des chercheurs en sécurité connu sous le nom de MalwareHunterTeam ont découvert dans la base de données de VirusTotal, le service de Google qui analyse les fichiers suspects et détecte les virus, des preuves indiquant que le groupe de ransomware LockBit serait en train de développer une version de son rançongiciel destinée à infecter le système d’exploitation MacOS d’Apple. Une première !

Selon les chercheurs, une nouvelle version nommée “locker_Apple_M1_64” serait en effet capable de fonctionner sur mac et de chiffrer des fichiers. Cette nouvelle variante du rançongiciel LockBit serait pour le moment capable de cibler uniquement les Macs équipés d’une puce M1 et M2.

Après avoir historiquement ciblé les systèmes Windows et Linux, cette nouvelle menace qui plane sur les Macs a été corroborée par les journalistes de Bleeping Computer qui sont entrés en contact avec LockBitSupp, le représentant public du groupe LockBit. Celui-ci confirme effectivement que la version Mac du rançongiciel est “activement en cours de développement”.

En développement, mais pas encore opérationnelle.

Bien que la version mac du rançongiciel LockBit soit effectivement capable de fonctionner sur mac et de chiffrer des fichiers, celle-ci ne présente pas encore de risques réels selon Patrick Wardle, l’expert en sécurité d'Apple qui a analysé la version macOS de LockBit.

Selon lui, la dangerosité de cette version mac est considérablement limitée car elle est basée sur la déclinaison Linux du rançongiciel et ne prend donc pas en compte toutes les spécificités du système d’exploitation macOS. Il a également noté que l'échantillon du rançongiciel était signé, mais pas avec un certificat de confiance, ce qui empêchait macOS de le faire fonctionner. De plus, les protections du système de fichiers intégrées par Apple, telles que TCC (Transparency, Consent, and Control), pourraient considérablement limiter son impact, même s'il parvient à s'exécuter sur un appareil macOS. Le chercheur en cybersécurité a également identifié certaines faiblesses dans le logiciel pouvant entraîner son arrêt inattendu lorsqu'il est utilisé sur macOS.

Bien que cette version du rançongiciel ne représente pas encore une menace importante pour la sécurité des utilisateurs d'Apple, il est possible que dans un futur plus ou moins proche, ces problèmes soient résolus dans une prochaine version, et qu’un tout nouveau marché, et non des moindres, s’ouvre alors au gang de rançongiciel LockBit.

Pour rappel, LockBit c’est

Un rançongiciel développé par des pirates russes, apparu pour la première fois en 2019, et qui a depuis évolué en plusieurs versions, dont la dernière est LockBit 3.0 ou LockBit Black. LockBit 3.0 est un rançongiciel utilisant un système de communication intégré entre les pirates et les cibles, et rend publiques les négociations. Il est également disponible en version Ransomware-as-a-Service (RaaS), ce qui signifie que les pirates peuvent le louer à d’autres cybercriminels.

D'après le rapport annuel de NCC Group, une entreprise britannique de cybersécurité, LockBit a été responsable du plus grand nombre d'attaques de rançongiciels en 2022, reléguant ainsi le groupe russe Conti à la seconde place.

En terme de performance, LockBit s’est vu récemment volée la place de rançongiciel le plus rapide par “une souche de ransomware unique” baptisée “Rorschach” par les chercheurs en sécurité de CheckPoint. Alors que LockBit est capable de chiffrer 220 000 fichiers en 7 minutes sur un stockage SDD local d’un ordinateur, Rorscharch peut le faire en 4 minutes 30 seulement. Malgré cette “contre performance”, LockBit est considéré comme l’un des rançongiciels les plus redoutables au monde.

Parmi les récentes revendications d’attaques du groupe LockBit, on retrouve entre autres, la diffusion sur sa plateforme de données attribuées à Thales en novembre 2022, l’attaque de l’administration des finances de Californie en décembre 2022, dont LockBit revendique avoir volé 246 000 fichiers d’un volume total de 75,3 Go et la compromission des données personnelles de millions de clients et employés du service postal du Royaume-Uni en janvier 2023. Ceci ne représente qu’un petit échantillon des nombreuses organisations ciblées par LockBit.

📦 Qu’est-ce qu’un ransomware-as-a-service (Raas) ?

〰️ Vos shots 〰️

🇮🇹 L'Italie accepte de lever l'interdiction de ChatGPT sous conditions

L'Italie a annoncé qu'elle acceptait de lever, potentiellement dès la fin du mois d’avril, l'interdiction du robot conversationnel ChatGPT. À condition qu’OpenAI se mette en conformité avec les réglementations européennes.

Depuis le 31 mars, l’Italie est devenu le premier pays occidental à interdire l’utilisation de chatGPT sur son territoire en raison de préoccupations liées à la protection de la vie privée et à la confidentialité des données. Pour se mettre en conformité avec les demandes de l’Italie, OpenAI devra publier des informations sur son site web expliquant comment et pourquoi elle traite les données personnelles des utilisateurs, ainsi que permettre à ces derniers de corriger ou de supprimer ces données. 

Elle devra également mettre en place la vérification de l’âge des utilisateurs et proposer un système de filtrage pour les utilisateurs mineurs. Un consentement légitime de la part des utilisateurs devra également être mis en place pour exploiter les données des conversations à des fin d’entraînement de son IA. OpenAI a donc jusqu’au 30 avril pour satisfaire à ces mesures.

En complément, OpenAI devra aussi mener une campagne publicitaire à la télévision, à la radio, dans les journaux et en ligne d'ici le 15 mai pour informer le public de la manière dont elle utilise leurs données personnelles pour former ses algorithmes. Les mesures prises par l'Italie ont suscité l'intérêt d'autres pays européens tels que l’Allemagne et l’Espagne. Ces derniers pourraient envisager dans les prochaines semaines d'adopter également des mesures plus sévères à l'égard de chatGPT.

🦠 Un malware enregistre plus de 100 millions de téléchargements

Un nouveau logiciel malveillant nommé “Goldoson” a été découvert dans plusieurs applications populaires sur Google Play par les chercheurs de McAfee Labs. Selon les informations, ce logiciel malveillant a réussi à se faufiler dans 60 applications mobiles, par l'intermédiaire d'une bibliothèque tierce infectée. Ces applications totalisent à elles seules 100 millions de téléchargements sur Google Play et 8 millions sur One, le principal magasin d'applications mobiles de Corée du Sud.

Selon les chercheurs, le logiciel malveillant serait capable de voler des données, de suivre la localisation de l’appareil et de pratiquer la fraude publicitaire en cliquant sur des publicités en arrière-plan. Les experts en sécurité recommandent aux utilisateurs de vérifier les applications qu’ils ont téléchargé et de les supprimer ou mettre à jour immédiatement si elles sont infectées par “Goldoson”. Alerté par McAfee, Google a également pris des mesures pour informer les développeurs officiels de ces applications. Certaines ont depuis été purement supprimées de Google Play, tandis que d’autres ont été mises à jour.

🇨🇳 Le groupe de pirates chinois APT41 change de tactique

APT41, un groupe de menaces persistantes avancées lié à Pekin, a utilisé un outil open source de red teaming appelé “Google Command and Control” (GC2) dans des attaques de cyberespionnage ciblées pour voler des informations. Un média taïwanais et une agence pour l’emploi italienne aurait été ciblés à l’aide de cet outil.

Le Red Teaming est une pratique consistant à éprouver la sécurité d’un système en essayant de le pirater et ainsi évaluer sa capacité à détecter et à répondre aux menaces. L'utilisation d’outils de red teaming est bien connue des cyberattaquants motivés par l’argent, mais elle l'est moins des APT qui disposent de plus de ressources et peuvent développer des outils sur mesure. Selon l'équipe de Google Threat Analysis Group (TAG), cet incident marque encore davantage le changement de tactique opéré chez les acteurs de la menace associés à la Chine, qui utilisent de plus en plus d’outils publics et légitimes tels que Cobalt Strike, Brute Ratel et Sliver pour éviter d’être détectés dans leurs attaques.

💸 Les Australiens ont perdu 3,1 milliards de dollars à cause d’escroqueries en 2022

Selon la Commission australienne de la concurrence et de la consommation (ACCC), les Australiens ont perdu un montant record de 3,1 milliards de dollars à cause d’escroqueries en 2022. Cela représente une augmentation de 80% par rapport aux pertes totales enregistrées en 2021. À contrario, selon les données collectées par Scamwatch, 240 000 rapports d’escroqueries ont été soumis à Scamwatch en 2022, soit 16,5% de moins qu’en 2021.

Ces informations indiquent que les pertes financières par victime ont largement augmenté et que les escroqueries deviennent de plus en plus sophistiquées et “incroyablement difficiles à détecter”. Selon Mme Lowe, la vice présidente le l’ACCC, “cela va de l'usurpation de numéros de téléphone, d'adresses électroniques et de sites web officiels d'organisations légitimes à des textes frauduleux qui apparaissent dans le même fil de conversation que des messages authentiques”. Cette augmentation des escroqueries à l’efficacité redoutable peut en partie s’expliquer par les nombreuses violations de données dont a été victime l’Australie en 2022. Une année record ! Ces données confidentiels exposées sont autant d’opportunités pour les attaquants qui les utilisent pour comme appât pour des communications frauduleuses et pour construire des escroqueries plus que crédibles.

💊 L'ex-PDG d'une clinique de pyschothérapie finlandaise condamné pour avoir négligé la sécurité des données

Pour rappel, le 26 octobre 2020, des pirates parviennent à entrer dans le système de Vastaamo, un réseau de cliniques sous-traitant une bonne partie du système public finlandais de santé mentale et à obtenir les données de plus de 36 000 patients finlandais. En plus d’exiger à l’époque 585.000 euros en bitcoin à la clinique, les pirates se sont aussi attaqués individuellement aux patients en les menaçants de divulguer leurs données.

Cette affaire qui a avait secoué la Finlande prend aujourd’hui une nouvelle tournure. Bien que la clinique ait avant tout été reconnue victime d’une odieuse attaque, l'ex-PDG de la clinique, Ville Tapio, vient d’être condamné à une peine de prison. il est reconnu coupable de ne pas avoir pris les précautions de sécurité des données nécessaires. D’autant plus qu’il était au courant de précédentes violations de la clinique en 2018 et 2019 mais ne les avait pas signalées en espérant que cela ne débouche sur aucun cybercrime. On a connu mieux en matière de gestion des risques. Cette affaire rappelle aux chefs d'entreprise qu'il ne suffit pas de promettre de protéger les données personnelles mais d’agir concrètement en ce sens.

〰️ Dégustation 〰️

🕸 Les acteurs de la menace ont de plus en plus recours à des techniques d'extorsion

Alors que les cybercriminels font évoluer leurs tactiques pour extorquer les entreprises et obtenir une rançon, les entreprises doivent elles aussi évoluer. Le rapport 2023 de l'Unité 42 de Palo Alto Networks, un leader mondial de la cybersécurité, explore les derniers incidents de sécurité qu’ils ont traité, ainsi que les évaluations des analystes en matière de renseignement sur les menaces. De plus, il fournit des prévisions sur la manière dont les cybercriminels utiliseront les rançongiciels et les tactiques d'extorsion dans le futur.

À retenir :

• Dans le cas des rançongiciels, les acteurs de la menace se sont livrés en 2022 au vol de données dans environ 70 % cas en moyenne contre seulement 40% en 2021. S’en suit un chantage avec les organisations pour ne pas divulguer les données.

• Le harcèlement fait partie des nouvelles tactiques d’extorsion. Généralement un individu de l’organisation est spécifiquement ciblé et forcé de collaborer pour ne pas divulguer des communications non désirées le concernant. En 2022, le harcèlement concerne 20% des cas de rançongiciel contre moins de 1% en 2021.

• L’industrie manufacturière a été la cible la plus fréquente en 2022. 447 organisations appartenant à ce secteur ont été compromises et leurs informations exposées publiquement sur les sites de fuites. Cette situation s'explique par la prédominance de systèmes obsolètes utilisés dans cette industrie, qui ne sont ni régulièrement ni facilement mis à jour ou corrigés, ainsi que par la faible tolérance de cette industrie aux temps d'arrêt.

• Les données des sites de fuites indiquent que les organisations basées aux États-Unis ont été les plus touchées en 2022, représentant 42% des fuites observées.

• Bien que plus rare, les organisations multinationales peuvent aussi être touchées. En 2022, 30 organisations figurant sur la liste Forbes Global 2000 ont été publiquement touchées par des tentatives d'extorsion.

• Pour l’année 2023, les experts de l’unité 42 prédisent davantage de compromission par rançongiciel dans le cloud, une augmentation des extorsions liées aux menaces d'initiés, davantage de tentatives d'extorsion à motivation politique et l'utilisation de rançongiciels et d'extorsions pour détourner l'attention des attaques visant à infecter la chaîne d'approvisionnement ou le code source.

〰️ Cul sec - La question 〰️

🌦 Quel est le thème de la nouvelle taxonomie de dénomination des acteurs de la menace annoncée par Microsoft ?

A - La faune

B - La météo

C - Les couleurs

D - Les éléments chimiques

E - La flore

—> Réponse à la sortie du bar.

〰️ À La carte 〰️

🔄 Mise à jour - Google a publié le 14 avril un correctif pour Windows, Mac et Linux concernant une vulnérabilité zero-day activement exploitée sur Chrome. Considérée comme importante, la vulnérabilité identifiée en tant que CVE-2023-2033 nécessite une mise à jour dès que possible !

🚨 Attention - Depuis novembre 2022, des sites web piratés diffusent de fausses mises à jour Chrome. Les victimes qui procède au téléchargement manuel de la mise à jour depuis ces sites téléchargent en réalité un cheval de Troie destiné à extraire des cryptomonnaies. Veillez à toujours télécharger les mises à jour uniquement depuis les sites officiels.

⚖️ Justice - Jack Teixeira, le jeune homme soupçonné d’être le responsable de la fuite de documents secrets du renseignement américain a été inculpé par un tribunal de Boston de deux chefs d'accusation : “conservation et transmission non autorisées d’informations relatives à la défense nationale”, et “retrait et conservation non autorisés de documents ou de matériels classifiés”. Le gouvernement demanderait une peine de dix ans pour chacun de ces 2 chefs d'accusation.

🚪 Départ - Après près de deux ans à la tête de l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA), la chef de cabinet, Kiersten Todt, quitte ses fonctions pour travailler dans le secteur privé. Elle sera remplacée par Kathryn Coulter Mitchell, actuellement sous-secrétaire adjointe à la direction de la science et de la technologie du ministère de la sécurité intérieure.

📢 Beaucoup de bruit pour rien - Le jeudi 6 avril, le bureau local du FBI à Denver publiait un tweet exhortant les citoyens américains à “éviter d'utiliser les stations de recharge gratuites dans les aéroports, les hôtels ou les centres commerciaux” pour ne pas exposer son appareil à des risques de piratage de données confidentielles. En réalité, le bureau local du FBI s'est appuyé sur un article publié par la FCC en 2019, lui même basé sur un article de Brian Krebs datant de 2011. D’ailleurs, chez Shakerz on n’a pas suivi ce buzz. Comme vous pouvez l’imaginez, la sécurité des téléphones a grandement évolué depuis 2011 et aucun rapport n'a signalé une exploitation généralisée des vulnérabilités USB jusqu'à présent.

〰️ Cul sec - Réponse 〰️

Réponse B - La météo

Le mardi 18 avril, Microsoft a annoncé sa nouvelle taxonomie de dénomination des acteurs de la menace, alignée sur le thème de la météo.

Dorénavant, les acteurs de la menace seront catégorisés selon un évènement météorologique censé offrir un meilleur moyen d’organisation, de mémorisation et de référencement des groupes d'adversaires afin que les organisations puissent mieux hiérarchiser les menaces et se protéger.

〰️ Digestif 〰️

Avez-vous besoin de remettre les pendules à l’heure ? Ou en panne d’idée de cadeau pour la prochaine fête des pères ?

Voici une proposition d’activité pour ce weekend - où le prochain : construire une montre connectée. Avec Raspberry Pi, ce qui ne gâche rien.

Merci d’être passé ! Rendez-vous samedi prochain pour ton nouveau Shake de l’actu cyber et digitale ! 👋

L’équipe travaille dur. 👉 On a besoin de ton soutien pour diffuser à tous la culture de sécurité et responsabilité digitale.

Rejoins Shakerz, abonne-toi pour recevoir la newsletter hebdo. Tu aimes les Shake et tu veux en faire profiter tes potos ? Alors… 👇👇👇

Des questions ou un avis à partager ? C’est simple, il suffit de répondre à cet email et d’envoyer tes quelques lignes.

“Shake it, don’t fake it”