Voici le tour d’horizon des cyberattaques marquantes de la semaine : cibles visées, méthodes employées et premières conséquences déjà connues.
Faits marquants de la semaine
- Des hackers PRC utilisent BRICKSTORM pour un accès persistant aux systèmes américains.
- Le botnet Aisuru a atteint 29,7 Tbps lors d’une attaque DDoS record.
- ShadyPanda a espionné 4,3 millions d’utilisateurs Chrome et Edge.
- Le groupe Cl0p a compromis des données de facturation de Barts Health NHS.
Dans le domaine de la cybersécurité, les menaces continuent de se diversifier et de s’intensifier. Les acteurs malveillants redoublent d’ingéniosité pour exploiter les vulnérabilités des systèmes informatiques et des infrastructures critiques. Cette semaine, les incidents vont des attaques DDoS massives orchestrées par des botnets à l’espionnage de longue durée via des extensions de navigateur. Les systèmes de santé, les infrastructures critiques et les applications financières ne sont pas épargnés, soulignant la nécessité d’une vigilance constante et d’une adaptation rapide aux nouvelles tactiques des cybercriminels.
Selon The Hacker News, la CISA a révélé l’utilisation de BRICKSTORM, un backdoor sophistiqué, par des hackers parrainés par l’État chinois pour maintenir un accès à long terme aux systèmes compromis. Ce malware, ciblant principalement les secteurs gouvernementaux et technologiques, permet aux acteurs de la menace de naviguer, télécharger et manipuler des fichiers tout en utilisant des protocoles tels que HTTPS et WebSockets pour dissimuler leurs communications. BRICKSTORM, écrit en Golang, a été documenté pour la première fois en 2024 et est lié à des vulnérabilités zero-day d’Ivanti Connect Secure. Les attaques ont visé divers secteurs aux États-Unis, y compris les services juridiques et les fournisseurs de SaaS. Le malware est capable de se réinstaller automatiquement, assurant sa persistance malgré les tentatives de suppression.
Comme le détaille Bleeping Computer, le botnet Aisuru a lancé une attaque DDoS record atteignant 29,7 Tbps en trois mois, utilisant jusqu’à quatre millions d’hôtes infectés. Cloudflare a réussi à atténuer cette attaque qui a duré 69 secondes et ciblait 15,000 ports par seconde. Aisuru, un service de botnet à louer, a également été impliqué dans une attaque de 15 Tbps contre le réseau Azure de Microsoft. Les attaques hyper-volumétriques de ce botnet ont augmenté de 189% en un trimestre selon une analyse de Cloudflare, impactant divers secteurs tels que le jeu et les services financiers. Les attaques dépassant 1 Tbps ont plus que doublé, illustrant la capacité destructrice de ce botnet.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
D’après HackRead, le groupe ShadyPanda a mené une opération d’espionnage sur sept ans, infectant plus de 4,3 millions d’utilisateurs de Chrome et Edge. Les attaquants ont utilisé des extensions de navigateur apparemment légitimes pour introduire des logiciels espions. En 2023, ils ont exploité 145 extensions pour des fraudes affiliées, puis ont évolué vers le détournement de recherche et le vol de données en temps réel. Une campagne majeure a impliqué l’extension WeTab, collectant des données de navigation et des clics de souris, envoyées à des serveurs en Chine. Cette attaque a révélé une faiblesse critique dans les places de marché officielles d’extensions.
Selon HackRead, Barts Health NHS a confirmé une violation de données par le ransomware Cl0p, exploitant une faille dans Oracle E-Business Suite. Bien que les systèmes cliniques n’aient pas été affectés, des données de facturation ont été exposées, incluant des noms et adresses de patients. L’incident, survenu en août mais détecté en novembre, a conduit à la fuite de plus de 240 Go de données sur le site de Cl0p. Barts a signalé l’incident aux autorités compétentes et cherche à bloquer la diffusion des données volées. Cette attaque s’inscrit dans une série de cyberattaques ciblant les services de santé du Royaume-Uni.
Comme le rapporte TechRadar, le malware Albiriox cible les utilisateurs Android autrichiens via plus de 400 applications financières. Ce MaaS, Malware-as-a-Service, utilise des dropper et des techniques de manipulation d’écran pour voler des données sensibles, exfiltrées via Telegram. Les chercheurs lient cette campagne à des acteurs russes, exploitant des pages de téléchargement frauduleuses. Le malware offre un contrôle total des appareils et a été observé sur des forums cybercriminels. Le ciblage est pour l’instant limité à l’Autriche, mais pourrait s’étendre.
D’après TechRadar, le groupe MuddyWater a utilisé un jeu Snake malveillant pour cibler les infrastructures critiques en Israël et en Égypte. Ce groupe iranien a déployé un nouveau backdoor via un chargeur déguisé en jeu Snake, pour masquer ses intentions. Les attaques ont ciblé les secteurs des télécommunications et de l’énergie, utilisant des e-mails de spearphishing pour installer des logiciels malveillants. Le backdoor MuddyViper, écrit en C/C++, collecte des informations système et vole des données d’identification Windows.
Selon Daily Dark Web, le groupe LockBit 5.0 a revendiqué des attaques contre plusieurs organisations, dont Insight Hospital et Berjaya Air. Les données compromises incluent près de 200 Go de « secrets médicaux » et des documents internes. LockBit a publié des minuteries de compte à rebours menaçant de divulguer les données si leurs exigences ne sont pas satisfaites. Le groupe a ciblé 23 victimes au total, avec des données variées selon les organisations. L’incident souligne la menace persistante des ransomwares pour les infrastructures critiques.
Comme le révèle The Register, l’Inde a détecté des incidents de brouillage et de spoofing GPS dans huit grands aéroports, dont Delhi et Mumbai, depuis 2023. Ces incidents n’ont causé aucun dommage, mais ont nécessité une navigation manuelle pour certains vols. Les autorités indiennes cherchent à identifier la source des interférences et ont mis en œuvre des solutions de cybersécurité avancées pour protéger les infrastructures. Le ministre a souligné les menaces mondiales de cybersécurité pour le secteur de l’aviation.
D’après The Hacker News, le groupe Water Saci a utilisé un ver WhatsApp pour propager un cheval de Troie bancaire au Brésil. Cette campagne utilise des fichiers HTA et PDF pour inciter les utilisateurs à télécharger le malware. Les attaquants ont migré de PowerShell à Python pour contourner les contrôles de sécurité. Le trojan collecte des données bancaires et est distribué via un script vérifiant la langue du système pour cibler spécifiquement les utilisateurs brésiliens. Cette attaque montre l’évolution des tactiques de Water Saci.
Des serveurs, des API et du temps.
DCOD est bénévole, mais l'hébergement a un coût. Participez aux frais techniques.
