Copy
11 avril 2017

Threat Landscape - by Intrinsec


La newsletter hebdomadaire Threat Landscape d'Intrinsec vous renseigne sur les dernières menaces informatiques les plus sensibles. Un point d'information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.


Au programme cette semaine :
  • Les données personnelles de 95 000 candidats à des offres d'emploi McDonald's Canada compromises
  • Le retour inattendu des "Shadow Brokers" : de nouveaux outils de piratage de la NSA publiés
  • Les ransomwares s'attaquent aux industriels de la santé
  • Les communautés du réseau TOR s'intéressent de plus en plus aux techniques de fraude aux distributeurs automatiques de billet
  • Des cybercriminels sont parvenus à prendre le contrôle du trafic Internet d'une banque brésilienne
  • Les clients de compagnies aériennes victimes d'une campagne de phishing
  • Des informations sur des menaces informatiques provenant de nos sources russes et chinoises
  • Focus sur le groupe "KelvinSecTeam", l'acteur du réseau TOR "cosmicdark" et Anonymous OpIsrael
 
Bonne lecture et si vous souhaitez creuser l’intérêt d'un service de Threat Intelligence : contactez-nous !

 
Menaces Sectorielles

Numérique

Les données personnelles, cible des pirates : le portail d’offre d’emploi de McDonald’s Canada visé
Un pirate a dérobé les données personnelles (noms, adresses email, numéros de téléphone, adresses postales) de 95 000 candidats ayant postulé auprès de la chaîne de restauration rapide McDonald’s Canada. Tous les utilisateurs qui ont déposé leurs candidatures entre mars 2014 et mars 2017 sont affectés par cette fuite de données.
En savoir plus
 
Un logiciel espion baptisé Chrysaor, détecté sur des appareils Android
Google et Lookout ont annoncé le 3 avril 2017 avoir détecté une version Android du logiciel espion Pegasus présent chez les utilisateurs iOS. La version, baptisée "Chrysaor", est soupçonnée d'avoir été développée par la société israélienne NSO Group Technologies, également à l'origine de Pegasus. Le logiciel espion aurait été utilisé pour mener des attaques extrêmement ciblées : moins d'une quarantaine d'appareils infectés ont été détectés d'après Google et Lookout.
En savoir plus
 
La suite sur le piratage de comptes iCloud par le groupe "Turkish Crime Family"
Au cours des deux dernières éditions de Threat Landscape, nous avons évoqué ce piratage présumé de 200 à 300 millions de comptes iCloud par le groupe Turkish Crime Family. Le groupe avait menacé de supprimer ces comptes iCloud si une rançon ne leur était pas versée avant le 7 avril 2017. Troy Hunt a publié une analyse détaillée d’un échantillon (plus de 60 000 comptes) de la potentielle base de données de comptes iCloud. En substance, ses conclusions sont rassurantes : si le groupe détient une base de données de comptes utilisateur, ces derniers ne proviennent pas directement de la base de données d'Apple mais d'anciennes fuites de données. Entre les systèmes d'authentifications multi-facteurs, les mots de passe qui n'ont pas été réutilisés sur iCloud et les comptes protégés, le nombre de comptes iCloud réellement compromis est faible d'après Troy Hunt. 
En savoir plus

Retour des Shadow Brokers : de nouveaux outils de piratage informatique de la NSA mis en ligne
Le groupe "Shadow Brokers" qui avait dérobé une série d'outils de piratage informatique de la NSA à l'été 2016 a fait un retour médiatique inattendu ce samedi 8 avril 2017. Après avoir annoncé leur retraite en janvier 2017, les "Shadow Brokers" ont dévoilé il y a quelques jours le mot de passe permettant de déchiffrer les derniers fichiers qu'ils avaient volés l'année dernière. Grâce à ce mot de passe, le chercheur en sécurité informatique "x0rz" a fait quelques découvertes intéressantes : une liste de serveurs appartenant à des entreprises et des universités du monde entier que la NSA aurait piratés et utilisés pour déployer ses malwares et lancer des attaques ; une liste de noms d'utilisateur et de mot de passe utilisés par la NSA pour ses outils et ses backdoors ; un outil baptisé "TOAST", que la NSA aurait utilisé pour supprimer les traces de son passage sur des serveurs ; un outil baptisé "PitchImpair" utilisé pour pirater des serveurs. 
En savoir plus
 
Santé
 
Une attaque par ransomware vise un établissement pédiatrique aux États-Unis
ABCD Pediatrics, un établissement pédiatrique situé  au Texas a été la cible d’une attaque par ransomware le 6 février 2017. Les données de patients (noms, prénoms, adresses, numéros de téléphone, numéros de sécurité sociale) ont été chiffrées mais sans demande de rançon. Les services IT de l’institut pensent qu’une fuite de données est à envisager. Elle pourrait concerner plus de 55 000 patients.
En savoir plus
 
Une variante du ransomware Philadelphia vise les industriels de la santé
Ce ransomware est distribué via des campagnes de spear-phishing qui visent des hôpitaux. Le message envoyé contient un lien de redirection qui pointe la victime vers un site malveillant, lequel héberge trois fichiers Word porteurs du ransomware Philadelphia. Si l'utilisateur clique sur l'un des fichiers, le ransomware s'exécute et chiffre les données. Un hôpital situé en Oregon et un autre situé au Sud-Ouest de Washington (États-Unis) ont déjà été victimes de ce malware. 
Nous avons observé que le ransomware en question est proposé en vente sur le forum anglophone Alphabay du réseau TOR, au prix de 389 dollars. 
En savoir plus
 
Bancaire

Les menaces ciblant les distributeurs automatiques de billet se généralisent sur le réseau TOR
Nous avons observé une généralisation des ventes de produits permettant la compromission de distributeurs automatiques de billets sur le réseau TOR. Cette généralisation se traduit par une augmentation du nombre de produits mis en vente, de vendeurs et de plateformes de revente. Il peut s’agir de ventes de malwares (dont les prix peuvent aller jusqu’à 7 000 dollars) ou de tutoriels à bas prix (quelques dollars) pour mettre en place les techniques de "skimming" ou de "shimming". Ces techniques consistent respectivement à placer des dispositifs directement sur les distributeurs afin d’extraire les données des cartes à puce ou à bande magnétique des clients. Ces dispositifs sont parfois directement proposés à la vente à des tarifs variant entre 1 500 et 25 000 dollars (en fonction du nombre de modèles concernés). Parmi les modèles de distributeurs automatiques visés que nous avons pu observer : NRC, Diebold et Wincor.


Des cybercriminels sont parvenus à prendre le contrôle sur le trafic Internet d'une banque brésilienne
A l’occasion du Kaspersky Security Summit 2017, des chercheurs ont indiqué que des cybercriminels étaient parvenus le 22 octobre 2016, à dévier le trafic en ligne d’une banque brésilienne pendant 5 à 6 heures consécutives. Grâce à une modification des enregistrements DNS de 36 services en ligne de cette banque, les attaquants ont redirigé les utilisateurs vers des sites Web malveillants et ont ainsi pu collecter leurs données bancaires. Le nom de la banque n’a pas été dévoilé.
En savoir plus

Mauvaises pratiques de stockage en ligne, une base de données a été récupérée par Chris Vickery
La semaine dernière, Chris Vickery a indiqué avoir téléchargé une base de données MySQL de 160 Go contenant notamment les données de 20 000 clients de la société de courtage Scottrade. La société de courtage a par la suite confirmé cette fuite de données via un communiqué officiel. La fuite serait liée à une erreur de la société Genpact (qui propose des prestations de service en management de l'entreprise) qui aurait déposé la base de données en question sur l'un de ses serveurs SQL hébergés par Amazon, sans en verrouiller l'accès.  Cette situation rejoint les vagues de ransomwares orientés base de données : le volume de base de données exposées sans protection sur Internet est un problème en croissance – nous recommandons leurs cartographies régulières.
En savoir plus

Énergie
 

Nucléaire : le président de l’AIEA a confirmé qu’une centrale nucléaire avait été victime d’une cyberattaque
Le président de l’AIEA (Agence Internationale de l’Energie Atomique) a indiqué à l’agence de presse Reuters, sans donner d’information précise, qu’une centrale nucléaire avait été victime d’une cyberattaque. Il a affirmé que l’attaque a provoqué des perturbations mais sans incidence grave.
 
Aéronautique

Une campagne de phishing vise les clients de plusieurs compagnies aériennes
Une campagne de phishing visant des clients de compagnies aériennes a été détectée par le CERT US. Les messages reçus par les utilisateurs prétendent provenir d’une compagnie aérienne mais contiennent en réalité soit un malware, soit un lien qui redirige la victime vers un faux site Web d'une compagnie aérienne. L'objectif des attaquants est ensuite de pouvoir collecter les données personnelles des victimes.
En savoir plus
 
Ecosystème Régional


Ecosystème russe
 

Les pirates de Fancy Bear visent L'Association internationale des fédérations d'athlétisme
Le 3 avril 2017, un porte-parole de L'Association internationale des fédérations d'athlétisme (IAAF) a déclaré que l'organisation avait été victime d'une cyberattaque.
D’après lui, une intrusion dans le réseau de l’organisation a été détectée le 21 février dernier. Cela aurait pu notamment permettre aux pirates de compromettre les dossiers médicaux d'un certain nombre d'athlètes notamment les documents décrivant les autorisations exceptionnelles d’usages de médicaments (Therapeutic Use Exemption - TUE). L’enquête menée par l’IAAF, assistés d’experts externes, désigne les pirates russes de Fancy Bear comme à l’origine de cette attaque, sans étayer leur attribution.
Source
 

Ecosystème chinois
 

« Operation Cloud Hopper », une série de phishing ciblés sans précédent du groupe chinois APT10
PricewaterhouseCoopers et BAE Systems viennent de publier le rapport « Operation Cloud Hopper ». Ce document détaille les nouveaux modes opératoires du groupe cybercriminel chinois nommé APT10. Les chercheurs ont repéré l’utilisation des techniques de spear-phishing et une forte propension à utiliser un canal DNS dynamique. Par ailleurs, le but des opérations serait d’exfiltrer les productions intellectuelles via les serveurs des services managés à travers la planète. On sait que la France, le Brésil, la Suisse, l’Afrique du Sud et surtout le Japon ont été victime du groupe APT10 mais on ne connait pas le nom des cibles précises. En revanche, le rapport fournit une liste d’indicateurs de compromissions. Dans le même temps, « Operation Cloud Hopper » met en lumière les intrusions de 2016 mais il est probable que les opérations du groupe aient débuté en 2014.
Source
 
Individus & Groupes

"cosmicdark"

"cosmicdark" est un vendeur du marché noir anglophone Hansa Market, établi sur le réseau TOR. Il propose à la vente de nombreuses bases de données connues, dont certaines ont déjà été rendues publiques. Il propose, entre autres, 141 bases de données contenant au total un peu plus de deux milliards de comptes utilisateur, ainsi que des listes d’adresses email contenant entre 250 000 et 500 000 utilisateurs par pays (France, Allemagne, Grande-Bretagne, Etats-Unis). "cosmicdark" fait également la promotion du site Web leakbase.pw qu’il affirme posséder.


KelvinSecTeam

Ce groupe probablement d'origine hispanique, a revendiqué de nouveaux piratages la semaine dernière, via le réseau social Facebook. Ils ont annoncé avoir piraté des comptes utilisateur du site d'information "New Jersey Herald", des comptes collaborateur de la société National Iranian Oil Company ainsi que des données relatives à des serveurs Web ou à des collaborateurs du gouvernement vénézuélien. Chaque piratage pointe vers une base de données publiée sur le site de partage d’informations www.pastebin.com.

Anonymous OpIsrael
Le groupe Anonymous impliqué dans l’opération OpIsrael a été la cible d’une cyberattaque. OpIsrael est une campagne Anonymous qui vise des entités israéliennes (entreprises localisées en Israël ou organisations, israéliennes) et qui a lieu chaque 7 avril depuis 2013. Cette année, les pirates impliqués dans cette opération ont été eux-mêmes victimes d’une attaque. Un compte Twitter a proposé un service d’attaques DDoS à ces Anonymous pour les aider dans leur campagne. Le lien les redirigeait en réalité vers un lien de téléchargement d’une application Android contenant un fichier APK malveillant. 
En savoir plus
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients une veille ciblée sur des menaces spécifiques, des fuites d'informations, des activités de fraude et une vue pertinente quant à leur exposition sur l'ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d'alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s'orienter vers des besoins spécifiques.
Cliquez ici pour en savoir plus
Pensez à autoriser notre contact dans votre filtrage anti-spam.
Copyright 2017 Intrinsec Sécurité - Toute reproduction interdite sans autorisation explicite






This email was sent to <<Email>>
why did I get this?    unsubscribe from this list    update subscription preferences
Intrinsec · Tour CBX, 1 Passerelle des Reflets · Courbevoie 92400 · France

Email Marketing Powered by Mailchimp