Archives de catégorie : Hacking

L’actualité lié au Hacking

Hacking

Les secrets du crypto-ransomware JIGSAW

Les malwares et les cyber risques sont devenus de plus en plus présents sur Internet, et malgré la vigilance montante des utilisateurs, certains de ces logiciels arrivent tout de même à se frayer un chemin jusqu’à l’ordinateur de certains utilisateurs. Parmi eux, Jigsaw, un ransomware qui s’attaque directement à ce que vous avez virtuellement de plus précieux : vos fichiers, et votre argent.

Un ransomware est un type de malware qui infecte un ordinateur et restreint son accès à l’utilisateur. Ce genre de malware, qui existe depuis plusieurs années, essaie de soutirer de l’argent à l’utilisateur en affichant une alerte sur l’écran. La plupart du temps, ces alertes préviennent l’utilisateur que son ordinateur est bloqué et que tous ses fichiers ont été cryptés, et qu’en payant une rançon il pourra retrouver l’accès à son ordinateur. Les rançons vont le plus souvent entre 100 $ et 300 $, et la majeure partie du temps cette rançon est demandée en monnaie virtuelle comme du Bitcoin, augmentant les cyber risques.

Qu’est-ce que le ransomware Jigsaw ?

La cyberattaque Jigsaw est un ransomware conçu en avril 2016, mis en circulation une semaine plus tard, et désigné pour être déployé à travers des mails frauduleux. Jigsaw s’active lorsque l’utilisateur télécharge le malware, qui va commencer à crypter tous les fichiers de son PC. Suite à cela, un popup avec Billy the puppet va s’afficher, avec une demande de rançon en Bitcoin en échange du décryptage du PC. Si la rançon n’est pas payée dans l’heure, un fichier sera supprimé.

Et à chaque heure suivante où la rançon n’est pas payée, la quantité de fichiers supprimés augmente exponentiellement, jusqu’à ce que le PC soit formaté après 72 h. Enfin, si l’utilisateur tente de redémarrer son PC, 1000 fichiers sont supprimés.

Caractéristiques de Jigsaw : les cyber risques

L’unicité – Jigsaw est le seul crypto-ransomware qui joue sur la peur. En effet, du point de vue de la victime, perdre l’intégralité de ce qu’il a sur son disque dur est ce qui pourrait arriver de pire. D’un autre côté, payer reviendrait à financer les activités illégales des auteurs de ce genre de malware. De plus, utiliser des images et des références liées à l’horrifique, rajoutent de l’anxiété à ce phénomène.

L’utilisation de Bitcoin – Le Bitcoin est devenu aujourd’hui quelque chose de très en vogue, et tout le monde sait au moins qu’il s’agit d’une crypto monnaie. Néanmoins, en 2016, son utilisation était encore marginale. La rétro-ingénierie de ce malware a permis de découvrir que d’une part il utilisait des clés de cryptage très poussées, mais possédait également une centaine d’adresses Bitcoin utilisées pour le paiement des rançons.

Le codage – Après analyse, il a paru évident que l’auteur De cette cybertattaque a essayé de cacher tant bien que mal l’utilisation du langage .NET pour la création de son malware, afin de le protéger d’éventuelles analyses.

Il existe heureusement des solutions concernant la gestion des risques informatiques, comme celles proposées par Forcepoint par exemple, et l’essentiel est de ne pas céder à la panique.

APT, backdoor, Communiqué de presse, Cyber-attaque, Cybersécurité, Hacking, Piratage, Securite informatique

TEMP.Periscope : Des pirates Chinois, amateurs d’éléctions présidentielles ?

4 commentaires

Il n’y aurait pas que les pirates Russes amateurs d’éléctions ? Le groupe d’espionnage chinois TEMP.Periscope cible le Cambodge avant les élections de juillet 2018, et révèle un large éventail d’activités au niveau mondial.

TEMP.Periscope – La société américaine FireEye, une des « sources » des médias concernant les « pirates Russes« , annonce avoir examiné une série d’activités du groupe d’espionnage chinois TEMP.Periscope, qui révèlent un intérêt majeur pour les événements politiques au Cambodge, illustré par des cyber attaques actives contre de multiples acteurs cambodgiens liés au système électoral du pays. Ceci comprend des cyber attaques contre des entités gouvernementales cambodgiennes chargées du contrôle des élections, ainsi que le ciblage de figures de l’opposition. Cette campagne a lieu alors que se préparent les élections générales dans le pays, qui auront lieu le 29 juillet prochain. TEMP.Periscope a utilisé la même infrastructure pour une série d’activités visant des cibles plus traditionnelles, dont l’industrie de la défense aux Etats Unis et une société de l’industrie chimique en Europe. Voir notre article précédent consacré au ciblage par le même groupe de sociétés d’ingénierie et de transport maritime aux Etats Unis.

Gloabalement, selon FireEye, cette activité indique que le groupe exploite une importante architecture d’intrusion et un large éventail d’outils, et cible des victimes très diverses, ce qui est en ligne avec la stratégie traditionnelle des acteurs chinois en matière d’APT (menaces persistantes avancées). Nous pensons que cette activité fournit au gouvernement chinois une visibilité étendue sur les élections cambodgiennes et les actions du gouvernement de ce pays. De plus, ce groupe est clairement capable de mener simultanément plusieurs intrusions à grande échelle ciblant un large éventail de types de victimes.

Notre analyse a également renforcé notre affirmation que ces activités peuvent être attribuées à ce groupe de pirates chinois. Nous avons observé les outils que nous avions précédemment attribués à ce groupe, les cibles visées sont en ligne avec ses actions passées et sont également très similaires aux operations APT connues menées par le Chine. En outre, une adresse IP originaire de Hainan en Chine a été enregistrée pour des activités C2 (command and control).

TEMP.Periscope en bref

Actif depuis au moins 2013, TEMP.Periscope s’est principalement intéressé à des cibles du secteur maritime dans de nombreux domaines, dont l’ingénierie, le transport, la fabrication, la défense, les agences gouvernementales et la recherche universitaire. Toutefois, le groupe a également ciblé des services de consulting et les industries high tech, de la santé et des medias. Ses cibles identifiées sont principalement basées aux Etats Unis, même si des organisations en Europe et au moins une à Hong Kong ont également été touchées. TEMP.Periscope coincide en termes de ciblage, ainsi que de tactiques, techniques et procédures (TTPs), avec le groupe TEMP.Jumper.

Description de l’incident

FireEye a analysé trois serveurs qu’il pense être contrôlés par TEMP.Periscope, ce qui lui a permis d’obtenir des informations sur les objectifs et les tactiques opérationnelles du groupe, ainsi qu’un grand nombre de données techniques d’attribution/validation. Ces serveurs était “open indexés” et donc accessibles par quiconque sur l’Internet public, sans exiger la moindre identification. Ce type d’erreur permet d’obtenir des informations intéressantes sur les activités d’un groupe car, à la différence de données contenues dans des messages de spear phishing, des acteurs malveillants n’anticipent pas que ces données puissent être analysées. L’analyse de FireEye couvre la période allant d’avril 2017 jusqu’à aujourd’hui, la plupart des opérations actuelles étant concentrées sur les élections au Cambodge. Pour l’heure, nous retenons les domaines concernés.

Deux serveurs, Domain 1 et Domain 2, fonctionnent comme des serveurs C2 et des sites d’hébergement traditionnels, alors que le troisième, Domain 3, fonctionne comme un serveur SCANBOX actif. Les serveurs C2 contenaient à la fois les logs et le malware. Une étude des trois serveurs a révélé une adresse IP d’un acteur potentiel située à Hainan en Chine, et des données volées provenant d’attaques potentielles ciblant d’autres industries et secteurs dont l’éducation, l’aviation, la chimie, la défense, les administrations gouvernementales, le monde maritime et le high tech dans de multiples régions du monde. Les fichiers sur les serveurs comprenaient des malwares nouveaux (DADBOD, EVILTECH) et précédemment identifiés (AIRBREAK, EVILTECH, HOMEFRY, MURKYTOP, HTRAN, and SCANBOX ) utilisés par TEMP.Periscope.

Attaques sur les entités liées aux élections cambodgiennes

L’analyse des logs des victimes associées avec les serveurs identifiés a révélé des attaques ciblant de multiples entités cambodgiennes, principalement celles liées aux élections de juillet 2018. De plus, un email de spear phishing séparé analysé par FireEye a mis en évidence une action simultanée ciblant des figures de l’opposition au Cambodge. L’analyse a révélé que des organisations gouvernementales cambodgiennes et des individus ciblés avaient été attaqués comme la Commission Nationale des Elections, Ministère de l’Intérieur, Ministères des Affaires Etrangères et de la Coopération Internationale, Sénat du Cambodge, Ministère de l’Economie et des Finances. Des membres du Parlement représentant le Parti cambodgien du Sauvetage National. De multiples personnalités cambodgiennes partisans des droits de l’homme et de la démocratie ayant écrit des articles critiquant le parti actuellement au pouvoir. Deux diplomates cambodgiens en poste à l’étranger et de multiples organes de presse au Cambodge.

Le Domain 2 a été identifié comme le serveur C2 pour un malware AIRBREAK attaché à un message leurre envoyé à Monovithya Kem, Directeur Général Adjoint, Affaires Publiques, Parti Cambodgien du Sauvetage National (CNRP), et à la soeur de Ken Sokha, leader (emprisonné) d’un parti cambodgien de l’opposition. Le document leurre prétend provenir de LICADHO (une ONG cambodgienne fondée en 1992 pour promouvoir les droits de l’homme).

Une infrastructure également utilisée pour des opérations contre des entreprises privées

’infrastructure décrite plus haut a également été utilisée contre des entreprises privées en Asie, en Europe et en Amérique du Nord. Ces entreprises appartiennent à des industries très diverses, dont l’éducation, l’aviation, la chimie, le monde maritime et le high tech. Beaucoup de ces attaques sont en ligne avec les activités précédentes de TEMP.Periscope en direction des secteurs du maritime et de la défense. Toutefois, nous avons également découvert une attaque visant une société européenne dans la chimie très implantée en Asie, ce qui démontre que ce groupe est une menace pour des entreprises partout dans le monde, et particulièrement celles ayant des intérêts en Asie.

Un malware MURKYTOP de 2017 et des données contenues dans un fichier lié au domain 1 suggère qu’une entreprise impliquée dans l’industrie de la défense aux Etats Unis, peut être en lien avec la recherche maritime, a également été attaquée. De plus, des attaques probables d’une entreprise du secteur américain de la défense et d’une entreprise européenne dans la chimie ayant des bureaux en Asie ont été découvertes sur les serveurs “open indexés”.

Les Downloaders et Droppers AIRBREAK révèlent des indicateurs leurres

Les noms de fichiers pour les downloaders AIRBREAK trouvés sur les sites “open indexés” suggèrent aussi un intérêt marqué pour des cibles associées à la géopolitique liée à l’Asie orientale. De plus, l’analyse des sites downloaders AIRBREAK a révélé un serveur associé qui souligne l’intérêt de TEMP.Periscope pour la politique au Cambodge. Les downloaders AIRBREAK redirigent les victimes vers les sites indiqués pour afficher un document légitime mais leurre tout en téléchargeant un contenu malveillant AIRBREAK à partir d’un des serveurs C2 identifiés. A noter que le site hébergeant les documents légitimes n’a pas été compromis. Un domaine C2 supplémentaire, partyforumseasia[.]com, a été identifié comme la fonction de rappel (callback) pour un downloader AIRBREAK référençant le Parti Cambodgien du Sauvetage National.

Le serveur SCANBOX utilisé pour prévoir des opérations futures

e serveur SCANBOX actif, Domain 3, héberge des articles liés à la campagne actuelle au Cambodge et à des opérations plus larges. Les articles trouvés sur le serveur indiquent le ciblage d’intérêts liés à la géopolitique Etats Unis – Asie orientale, à la Russie et à l’OTAN. Les victimes sont probablement attirées sur le serveur SCANBOX soit via une attaque stratégique de site web soit via des liens malicieux dans des emails ciblés, l’article étant présenté comme un leurre. Les articles proviennent de contenus open source disponibles directement en ligne.

La suite de malwares de TEMP.Periscope

L’analyse du catalogue de malwares contenus sur les trois serveurs révèle une suite classique de contenus malveillants utilisés par TEMP.Periscope, dont les signatures d’AIRBREAK, MURKYTOP, et de HOMEFRY. De plus, l’enquête de FireEye a révélé de nouveaux outils, EVILTECH et DADBOD.

Les données contenues dans les logs renforcent l’attribution à la Chine

FireEye suit les activités de TEMP.Periscope depuis 2013 et de multiples facteurs nous conduisent à affirmer qu’il agit au nom du gouvernement chinois. Notre analyse des serveurs et des données associées dans cette dernière campagne renforcent cette affirmation. Les données du log d’accès au panneau de contrôle indique que les opérateurs sont probablement basés en Chine et travaillent sur des ordinateurs fonctionnant en langue chinoise. Les cibles historiques de TEMP.Periscope restent cohérentes avec les objectifs du gouvernement chinois, et les outils qu’il utilise sont cohérents avec ceux utilisés par de nombreuses autres équipes chinoises. Un log sur le serveur a révélé des adresses IP qui avaient été utilisées pour se connecter au logiciel employé pour communiquer avec le malware implanté sur des machines victimes. L’une de ces adresses IP, 112.66.188.xx, est située à Hainan, en Chine. D’autres adresses appartiennent à des serveurs virtuels privés, mais des éléments indiquent que les ordinateurs utilisés pour se connecter sont configurés pour fonctionner en chinois.

Perspectives et Implications

Les operations révélées ici fournissent un nouvel éclairage sur les activités de TEMP.Periscope. Nous connaissions déjà l’intérêt de cet acteur pour les affaires maritimes, mais cette campagne malveillante apporte des indications supplémentaires indiquant que ce groupe va cibler le système politique de pays possédant une importance stratégique. Le Cambodge a été un supporter fiable de la position de la Chine dans le Sud de la Mer de Chine au sein de forums internationaux tels que l’ASEAN, et figure parmi les partenaires importants du pays. Bien que le Cambodge soit classé comme Autoritaire dans le Democracy Index de The Economist, le récent renversement surprise du parti au pouvoir en Malaisie peut motiver la Chine à surveiller étroitement les élections du 29 juillet au Cambodge.

Le ciblage de la commision électorale est particulièrement significatif, en raison du rôle stratégique qu’elle joue pour inciter les gens à voter. Nous n’avons pas encore suffisamment d’informations expliquant pourquoi cette organisation a été attaquée – simplement pour récolter des informations ou dans le cadre d’une opération plus complexe. Quelle que soit la raison, cet incident est l’exemple le plus récent de l’implication aggressive d’un état nation dans les processus électoraux dans le monde. Bien que des activités liées à des élections aient seulement été découvertes en Asie du Sud Est, ce serait une erreur d’assumer que ces menaces ne peuvent pas se reproduire ailleurs.

Nous pensons que TEMP.Periscope va continuer à cibler un large éventail d’entités gouvernementales, d’organisations internationales et d’entreprises privées, particulièrement celles travaillant dans l’ingénierie ou des processus chimiques utilisés par des navires. Nous ne pensons pas qu’il va modifier beaucoup voire même un seul élément révélé par cette enquête, mais il continuera probablement à développer de nouvelles architectures d’intrusion via de nouveaux domaines, sites compromis, certificats et outils. FireEye prévoit que ces intrusions vont se poursuivre et monter en puissance aussi longtemps que le groupe y trouvera un intérêt.

Hacking

Chronique : vacances connectées, pensez à vous protéger !

Chronique Tv cybersécurité ! Protéger vos connexions cet été ! Les vacances, le repos, le sable chaud et votre vie numérique attrape un coup de chaud. Voici des trucs et astuces, ainsi que du matos, pour protéger vos connexions hors de vos murs.

Protéger vos connexions cet été ! Partir en vacances c’est pour de plus en plus d’internautes mettre dans leur valise, en plus des maillots de bain et de la crème solaire, son smarpthone, sa tablette, son ordinateur portable. Bilan, connexions Internet et utilisations nomades doivent se faire en mode sécurisé.

Dans la chronique Cyber Sécurité sur la chaîne de télévision WEO, cette semaine, il expliqué comment ne pas finir dans les mains d’un malveillant numérique après avoir utilisé, par exemple, une connexion wifi “gratuite” offerte sur le lieu de votre villégiature.

Vous découvrirez aussi une clé USB de chez Eset. La Kingston Data Traveler permet de transporter ses données chiffrées. Clé équipée d’un antivirus. On parle aussi VPN. Ils permettent de surfer anonyme et sécurisée sans risque d’être cyber espionnée.

Chiffrement, Cybersécurité, Hacking, Mise à jour, Patch, Securite informatique, Travel

14 failles de sécurité pour des modèles BMW

Un commentaire

Des chercheurs en cybersécurité découvrent 14 failles de sécurité dans des modèles de la marque automobile BMW. Ces vulnérabilités permettraient d’intervenir à distance sur le fonctionnement interne d’une voiture ciblée.

Depuis plusieurs années déjà, de nombreux chercheurs ont mis en garde les constructeurs automobiles contre leurs systèmes électroniques qui sont souvent conçus sans qu’une profonde attention ne soit portée à la sécurité. On se rappelle notamment de Charlie Miller et Chris Valasek qui avaient montré en 2015 comment ils parvenaient à prendre le contrôle d’une Jeep alors que le véhicule roulait sur l’autoroute.

L’intérêt de telles démonstrations basé sur un scénario catastrophe a permis aux grand public mais surtout aux constructeurs, de prendre conscience du risque qui n’est plus du tout hypothétique. Dans le cas présent, BMW a travaillé conjointement avec ce groupe de chercheurs chinois et a reconnu leur effort pour, au final, améliorer la sécurité de ses voitures. « Il ne reste plus qu’à espérer que cette démonstration incite d’autres marques à faire de même. » confirme Jérôme Ségura, de chez Malwarebytes.

Les chercheurs ne sont pas à leur coup d’essai. Ils avaient déjà trouvé plusieurs vulnérabilités dans divers modules embarqués utilisés par Tesla. La société Allemande a confirmé les problèmes et leurs corrections en cours.

Hacking

Sécurité optimale : Aborder le principe de privilège minimum

Un commentaire

Être administrateur de son poste informatique, qu’il soit professionnel comme personnel, est un risque qu’il faut savoir calculer, définir et maîtriser. Pour une sécurité optimale, la gestion des comptes est indispensable.

Rien que pour les connexions, les restrictions sont un véritable casse tête. Un pirate compromet un compte et c’est toute la chaîne informatique de l’entreprise qui est impactée. Il est probable que les habitudes de connexion habituelles – heure / jour, fréquence, point de terminaison utilisé, etc. – soient brisées.

Il est important d’établir, de mettre en œuvre et d’appliquer des niveaux d’accès minimum au sein de l’organisation afin de limiter les risques associés aux menaces internes ou à l’utilisation abusive des informations d’identification par des attaquants externes. Cela crée une base de sécurité solide, mais ne permet pas de s’assurer que cet environnement de sécurité élevé ne fasse pas l’objet d’une compromission d’identifiants de niveau inférieur et élevé. La société IS Decisions vient d’éditer un livre blanc sur la gestion des connexions en tant qu’élément clé du privilège minimum.

Cyber-attaque, Cybersécurité, Hacking, Leak, Piratage, Securite informatique

Chafer : un groupe de cyber attaquants basé en Iran

Un groupe de pirates informatiques, baptisé Chafer s’attaquerait aux entreprises du monde entier. Des amateurs du blackmarket qui officieraient d’Iran.

Chafer, un groupe de pirates informatiques qu’il est possible de croiser, sans grande difficulté, sur plusieurs forums Iraniens dédiés au piratage informatique. L’éditeur de solutions de sécurité informatique américain Symantec a publié une analyse sur leurs activités. Chafer est actif depuis au moins juillet 2014. La plupart des attaques du groupe visent à collecter des informations, à la revendre, à infiltrer pour encore mieux collecter. L’analyse explique que neuf nouvelles organisations ont été touchées au Moyen-Orient. Chafer a ciblé plusieurs organisations au Moyen-Orient (Israël, Jordanie, Emirats Arabes Unis, Arabie Saoudite et Turquie) y compris un important fournisseur de services télécoms dans la région.

En dehors du Moyen-Orient, des preuves d’attaques contre une compagnie aérienne africaine et des tentatives de cyber attaque envers une entreprise internationale dans le secteur du voyage. Une nouvelle méthode d’infection est utilisée par Chafer. Nouvelle méthode, mais qui n’a rien de révolutionnaire. Ils utilisent des documents Excel malveillants diffusés par le biais de mails ciblés (spear phishing).

Le courriel proposant le document Excel piégé permet d’installer un cheval de Troie destiné à dérober des informations et un outil qui pratique des captures d’écrans. Les activités récentes de Chafer indiquent une plus grande dépendance aux nouveaux outils logiciels gratuits, notamment Remcom, un NSSM, un outil de capture d’écran et de presse-papiers, des outils HTTP, GNU HTTPTunnel, UltraVNC et NBTScan . Chafer se dirige vers des attaques ciblant la supply chain, compromettant les organisations au travers de canaux de confiance dans le but d’attaquer ensuite leurs clients.

Le phishing, en tête de pont

Selon un nouveau rapport publié par F-Secure, plus d’un tiers des incidents de cyber sécurité viennent de phishing. Ce nouveau rapport présente les conclusions des enquêtes sur les interventions menées suite à un cyber incident et offre un aperçu des véritables modes opératoires des pirates informatiques.

21 % des cyber incidents analysés par F-Secure dans ce rapport font suite à des attaques ciblant les services web utilisés par les entreprises. Il s’agit du mode d’attaque le plus fréquemment utilisé par les pirates mettre la main sur les données d’une organisation. Toutefois, le phishing et les pièces jointes malveillantes totalisaient, ensemble, environ 34 % des attaques. Pour Tom Van de Wiele, Principal Security Consultant chez F-Secure, les attaques par e-mail constituent donc le plus gros danger pour les organisations. «L’exploitation des vulnérabilités logicielles est typique des attaques opportunistes mais les intrusions informatiques via e-mail sont bien plus fréquentes. Les pirates disposent de tout un éventail d’attaques par e-mail. Elles remportent un franc succès, puisque la plupart des entreprises utilisent les e-mails pour leurs communications », explique Tom Van de Wiele. « Il convient de toujours réfléchir à deux fois avant de cliquer sur une pièce jointe ou sur un lien… mais la pression professionnelle l’emporte souvent sur le bon sens. Les pirates comprennent et exploitent cette logique. »

Hacking

Cryptomonnaie : comment ne pas miner à l’insu de son plein gré !

Arenavision, un site de vidéos d’évènements sportifs à la demande, a été piraté et a ainsi permis de miner de la cryptomonnaie sans que ses utilisateurs ne s’en aperçoivent.

Alors que la France est classée quatrième en termes de nombre de visiteurs sur la plateforme de vidéos sportives ArenaVision, les amateurs de sport ont tout intérêt à rester vigilants face à ce type de menaces. Le site a été piraté.

Les malveillants n’ont pas « defacé » le site (barbouillé), ils ont caché un script qui leur a permis de miner de la cryptomonnaie à chaque passage de spectateurs. Le script utilisait la puissance machine des internautes pour générer des monnaies numériques.

« Les pirates exécutent des calculs de transactions à partir du navigateur de l’internaute ciblé. souligne Michal Salát, Threat Intelligence Director chez Avast. Partant du constat que plus un visiteur reste sur une page, plus un pirate a le temps de créer de la cryptomonnaie« . Plus le site a de l’audience, plus il va rapporter de l’argent aux pirates. Imaginez, le nombre d’internautes regardant un match de football, de rugby, de baseball … La plupart des téléspectateurs les regardent intégralement, donnant alors au pirate tout le loisir de miner !

Selon SimilarWeb, Arenavision a été visité 6,6 millions de fois en décembre dernier, avec une durée moyenne de trois minutes et trente secondes par visite sur la page d’accueil. En imaginant que de nombreux utilisateurs se soient servi d’un PC ou d’un ordinateur portable, l’éditeur estime le nombre de visiteurs à 6 millions au cours de cette période. A partir de ces chiffres, les gains estimés sont de 840 dollars sur le mois pour les pirates et uniquement via la page d’accueil du site.

Les programmes de minage ralentissent les performances des navigateurs, et par conséquent la batterie se décharge plus vite. Les visiteurs des sites ciblés peuvent éventuellement remarquer un fonctionnement général de l’ordinateur plus lent et bruyant. En cas de doute, il est possible de contrôler si un navigateur est secrètement miné grâce à plusieurs techniques : Vérifier quels scripts sont chargés. Si vous remarquez une importante charge de votre processeur mais qu’il n’y a qu’un seul onglet dans le navigateur ouvert, et il n’exécute aucun élément susceptible d’impacter cette charge, alors il est sûrement exploité pour du minage de cryptomonnaie. Bloquer les sites suspectés. Télécharger des bloqueurs de minage.

Selon AdGuard, 500 millions de personnes ont déjà été touchées, en 3 semaines, par les outils JSEcoin, CryptoLoot ou encore MineMyTraffic. 220 sites web, sur 1000 analysés minaient de la monnaie numérique. Bref, chacun fabrique sa petite planche à billet. 18,66% étaient américains ; 13,4% étaient indiens. 12,44% Russes et 8,13% étaient Brésiliens. 22,27% de ce sites proposaient de regarder des films et des vidéos. 17,73% proposaient de télécharger des fichiers. 10% concernaient des espaces pour adultes. 7,73% étaient des médias.

L’espace ZeroDot1 propose une liste de sites et de scritps à bloquer. Pour votre navigateur (sous Chrome), le widget No Coin permet de bloquer les tentatives de minage sur le dos de votre navigateur et CPU. Même action pour MinerBlock.

Hacking

La reconnaissance faciale de Panasonic récompensée par le NIST

Pour la deuxième année consécutive, la technologie de reconnaissance faciale de Panasonic remporte l’un des meilleurs scores lors du test comparatif réalisé par l’institut national des normes et de la technologie aux États-Unis (National Institute of Standards and Technology, NIST).

En collaboration avec l’organisme de recherche avancée du renseignement américain IARPA (Intelligence Advanced Research Projects Activity), le NIST a testé la future version de la technologie de reconnaissance faciale de Panasonic, actuellement en cours de développement au sein du Centre d’innovation de l’entreprise. Le test comparatif se compose de huit épreuves de vérification, d’identification, de détection, de regroupement et de traitement d’images surchargées.

Il s’est déroulé sur la base de contenus réunissant 67 000 images et 700 vidéos de visages ainsi que 10 000 images sans visages pour inclure la comparaison des taux d’échec et de réussite de chaque algorithme. L’algorithme développé par Panasonic est ressorti premier du comparatif pour le critère « Cumulative Match Characteristic », soit la fraction de correspondances située au-dessus d’un seuil d’exactitude donné.

Le test est généralement réalisé à l’aide d’images de photojournalisme en raison de leur grande variété de poses, de luminosité, d’expression et d’occlusion, procurant ainsi le niveau de difficulté recherché.

« Notre score NIST est une excellente nouvelle ; il atteste encore une fois de notre engagement à apporter une valeur ajoutée supplémentaire et offrir une qualité optimale au sein de notre gamme de technologies de sécurité », commente Gerard Figols, Product Marketing Manager chez Panasonic Security Solutions. « Panasonic s’est imposé comme premier titulaire de brevets au monde tout au long des 30 dernières années : nous misons pleinement sur l’innovation, la recherche et le développement ».

Base de données, BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Hacking, Sauvegarde

Matrix Appliances : Ne redoutez plus les attaques de malwares !

Matrix Appliances inclus désormais le mode « Stealth » dans toutes ses solutions de sauvegarde-archivage. Vos sauvegardes restent intactes, vos restaurations sont immédiates, saines et garanties à 100%.

La société Matrix Appliances, spécialisée dans la sauvegarde informatique, annonce officiellement que toutes les versions de son logiciel Dataclone disposent désormais d’une fonctionnalité unique qui la rend invisible aux yeux des virus (dont les ransomwares) : le mode Stealth.

Qu’est-ce que le logiciel Dataclone V10 ?
Matrix Appliances commercialise depuis 10 ans des Appliances de sauvegarde et d’archivage des données destinées aux entreprises, bénéficiant de la technologie disk2disk2disk© brevetée par son Directeur Général, Stéphane Pelletier. DataClone est le logiciel embarqué dans les Appliances VP Clone. Conçu pour protéger l’infrastructure informatique des TPE/PME, administrations et grands comptes, il permet de sauvegarder, cloner, répliquer à chaud, sans agent et sans limite en nombre de serveurs ou de postes, les données, bases de données, machines physiques ou virtuelles, dans l’Appliance, puis de les archiver sur des  médias extractibles. Mais surtout, il permet de restaurer avec une facilité sans commune mesure et sans faille, 100 % des données au moment où l’utilisateur en aura le plus besoin.
 
Dataclone Version 10
1. Une interface encore plus simple

2. Le support d’ESX6 (y compris les versions  gratuites) et de VCenter6

3. La  sauvegarde dans le Cloud couplée à  Microsoft Azure

4.  Des médias extractibles de type disque de 10 To : une première sur le marché !

5. Une imperméabilité unique aux malwares en tout genre (virus, chevaux de Troie, ransomwares) : grâce à son mode Stealth qui rend ses Appliances invisibles sur le réseau, Matrix Appliances garantit l’incorruptibilité des sauvegardes si vous êtes victime d’une attaque virale, ce qui, par les temps qui courent est malheureusement devenu tragiquement commun. Le mode Stealth intégré dans les machines masque l’Appliance aux yeux des virus et assure une restauration totale en cas de besoin.

« En 2016, nos Appliances ont permis à plusieurs de nos clients, non pas d’être protégés des malwares (c’est le travail d’un bon anti-virus) mais de pouvoir récupérer toutes les données enregistrées et de reprendre leur travail (en date de la dernière sauvegarde), sans perte de données donc sans perte de temps et d’argent. La totalité des clients qui ont été infectés et qui possédaient notre Appliance ont pu restaurer l’intégralité de leurs données sans délai et avec 100% de réussite » (Stéphane Pelletier).

backdoor, Cybersécurité, Hacking, Microsoft, Mise à jour

La faille de Microsoft Office CVE-2017-0199 utilisée pour diffuser l’espion LatentBot

Une faille dans Microsoft Office utilisée depuis des semaines par des pirates pour diffuser le logiciel espion LatentBot.

L’espion LatentBot aimait Office ! Microsoft vient de corriger une vulnérabilité dans Office. Une faille qui permet de cacher des instructions malveillantes dans un document sauvegardé au format .RTF. Dès le 4 mars 2017, des documents malicieux exploitant CVE-2017-0199 ont été utilisés pour délivrer le malware LATENTBOT. Le malware, qui possède une capacité de vol d’identités, n’a depuis lors été observé que via des pirates aux motivations financières. LATENTBOT est un type de malware modulaire et extrêmement bien caché qui a été découvert pour la première fois par FireEye iSIGHT Intelligence en décembre 2015. Il possède une variété de capacités, dont le vol d’identités, l’effacement de disque dur et de données, la désactivation de logiciel de sécurité, et l’accès à distance du poste de travail. Récemment, nous avons identifié des campagnes LATENTBOT utilisant Microsoft Word Intruder (MWI). Les documents leurre distribuant le malware LATENTBOT utilisent des méthodes de manipulation génériques, de type document.doc ou hire_form.doc.

Des échantillons de FINSPY et de LATENTBOT partagent la même origine

Cette faille a permis à d’autres pirates de diffuser un autre outil d’espionnage, FINSPY. Un logiciel légalement commercialisé par la société Gamma group. Des artefacts partagés dans les échantillons de FINSPY et de LATENTBOT suggèrent que le même assembleur a été utilisé pour créer les deux, ce qui indique que l’exploit 0day a été fourni à la fois pour des opérations criminelles et de cyber espionnage en provenance de la même source.

Des campagnes de spam DRIDEX juste après la divulgation de CVE-2017-0199

A la suite de la divulgation des caractéristiques de la faille zero day le 7 avril 2017, celle-ci a été utilisée dans des campagnes de spam DRIDEX, qui continuent encore à ce jour. Nous ne pouvons confirmer le mécanisme par lequel les acteurs ont obtenu l’exploit. Ces acteurs peuvent avoir exploité les connaissances sur la faille obtenues dans les termes de la divulgation, ou y avoir eu accès lorsqu’il est devenu clair que la diffusion d’un patch était imminent. Une campagne de spams a été diffusée le 10 avril 2017, exploitant un leurre « Scan Data. » Le document en attachement exploitait CVE-2017-0199 pour installer DRIDEX sur l’ordinateur de la victime.

Perspectives et implications

Même si un seul utilisateur de FINSPY a été observé exploitant cet exploit zero day, la portée historique de ce malware, dont les capacités ont été utilisées par plusieurs états nations, suggère que d’autres clients y ont eu accès. De plus, cet incident confirme la nature globale des cyber menaces et l’intérêt de disposer d’une perspective mondiale – un incident de cyber espionnage ciblant des russes peut fournir l’occasion d’en savoir plus et d’interdire des activités criminelles visant des individus parlant une autre langue ailleurs.