La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseignera sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par la Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

  • Une nouvelle variante du ransomware Ryuk chiffrerait certains ordinateurs et en épargnerait d’autres
  • Le site internet de La Poste expose les données personnelles de ses clients à la suite d’un incident informatique
  • Trois universités américaines affectées par un vol de données
  • Les données personnelles d’1,6 million d’utilisateurs d’un site de recherche d’emploi exposées
  • Le monde militaire du Moyen Orient visé  par « Bouncing Golf », un nouveau malware de cyber-espionnage
  • Une société de transport américaine victime d’attaques parransomware
  • Importante fuite de données pour le Groupe Desjardins : les informations personnelles de 2,9 millions de clients compromises
  • Retour sur l’activité des groupes OceanLotus et Waterbug

Bonne lecture et si vous souhaitez creuser l’intérêt d’un service de Threat Intelligence : contactez Intrinsec ! Si vous ne l’êtes pas encore, abonnez-vous à leur newsletter

Menaces Sectorielles

Multisectorielle

Une nouvelle variante du ransomware Ryuk chiffrerait certains ordinateurs et en épargnerait d’autres Des chercheurs de MalwareHunterTeam ont récemment annoncé avoir découvert une nouvelle variante du ransomware Ryuk. Celle-ci, signée par un certificat numérique, vérifierait la sortie de l’ARP (Address Resolution Protocol) pour rechercher des listes d’adresses IP particulières, et les whitelister. Outre cette liste d’adresses IP, la nouvelle variante de Ryuk comparerait également le nom de la machine aux chaînes de caractères “SPB”, “Spb”, “spb”, “MSK”, “Msk” et “msk” (Msk pouvant signifier Moscou tandis que Spb signifierait Saint-Petersbourg). Si le nom de la machine contient l’une de ces caractères, le ransomware Ryuk ne le chiffrerait pas. Selon les chercheurs, il est probable que ces différentes mesures aient pour vocation d’empêcher le chiffrement des machines situées en Russie. Dans le cas où ces caractères ne seraient pas présent sur la machine, celle-ci  sera chiffrée et une extension .RYK  sera ajoutée aux fichiers chiffrés. Lors du chiffrement des fichiers, le ransomware créerait également des notes de rançon RyukReadMe.html contenant la phrase “balance of shadow universe” et des adresses électroniques pouvant être contactées afin d’obtenir les instructions de paiement. En savoir plus

Postal

Le site internet de la Poste expose les données personnelles de ses clients à la suite d’un incident informatique Le 20 juin dernier, un incident informatique affectant le site internet de La Poste a engendré une fuite de données personnelles de clients du Groupe. En effet, plusieurs clients se sont ainsi retrouvés connectés aux comptes d’autres clients de manière aléatoire. En raffraichissant la page Web du portail client, un utilisateur aurait alors pu accéder à un nouveau compte client. Le bug aurait notamment permis d’accéder à des informations personnelles telles que le nom, l’adresse postale, la date de naissance, l’historique de commandes ou encore les opérations en cours. En revanche, les données bancaires tout comme le service de coffre-fort électronique Digiposte n’auraient pas été exposés. Selon La Poste, l’incident serait survenu en raison d’une mise à jour du site internet et aurait duré une vingtaine de minutes seulement, mais aurait malgré tout engendré l’exposition de 2 928 comptes clients. Seuls les utilisateurs qui étaient connectés à leur compte durant l’incident pendant ce laps de temps auraient eu accès aux données d’autres clients. En savoir plus

Enseignement

Trois universités américaines affectées par un vol de données pendant 48h Graceland University, Oregon State University et Missouri Southern State University, trois universités américaines ont annoncé avoir été victime d’un vol de données confidentielles appartenant à certains de leurs étudiants et de leurs employés. Le vol en question serait notamment dû à des accès illégaux à certaines boîtes de messagerie. La Graceland University a affirmé que le vol de données aurait eu lieu entre le 29 mars et le 12 mai derniers. Les informations présentes sur les comptes de messagerie concernés étaient relatives aux noms, prénoms, adresses postales, email mais aussi à des informations plus sensibles comme le salaire des personnes exposées ou encore leur numéro de sécurité sociale. L’Oregon State University a indiqué, pour sa part, que 636 dossiers d’étudiants auraient potentiellement été exposés lors de cette attaque. Les dossiers en question contenaient des informations sur les étudiants ainsi que sur leur famille, et notamment des adresses email qui auraient été utilisées pour procéder à des tentatives de phishing. Enfin, la Southern State University a indiqué qu’elle avait été victime d’une attaque de type phishing le 9 janvier dernier visant des employés de l’université. Les informations collectées seraient là encore relatives aux noms, prénoms et numéros de sécurité sociale des victimes. En savoir plus

Réinsertion professionnelle

Les données personnelles d’1,6 million d’utilisateurs d’un site de recherche d’emploi exposées Une base de données contenant 3 GB de données personnelles et exposée sur Internet aurait été découverte par les chercheurs du site Web SafetyDetective. Le serveur hébergeant ces données, basé à Bombay, appartiendrait à Talanton.ai, une plateforme d’offre et de recherche d’emploi spécialisée dans le secteur IT. Découverte le 30 mai dernier par le chercheur Anurag Sen, la base de données en question aurait été exposée entre le 17 mai et le 15 juin 2019. Ce sont les informations personnelles d’environ 1,6 million d’utilisateurs qui auraient ainsi été compromises, qu’il s’agisse de recruteurs, d’employeurs, de salariés ou de chercheurs d’emploi. Les données exposées contenaient notamment les numéros de téléphone et les adresses email personnelles, mais aussi le genre, la nationalité, le poste occupé, l’identité de l’employeur, et les prétentions salariales des utilisateurs. Les mots de passe chiffrés de plus de 50 000 utilisateurs auraient également été compromis. Cette fuite de données aurait touché des utilisateurs dans de nombreux pays, parmi lesquels les Etats-Unis, Israël, l’Australie, Singapour, ou encore de nombreux pays européens (notamment la France et le Royaume-Uni). En savoir plus

Défense

Le monde militaire du Moyen Orient visé  par « Bouncing Golf », un nouveau malware de cyber-espionnage Une vaste campagne de cyber-espionnage aurait été détectée, visant les appareils sous Android au Moyen Orient. En effet, selon Trend Micro, des individus malveillants auraient reconditionnés des applications légitimes (notamment les applications de messagerie Télégram, Kik et Plus) afin de les doter d’un code malveillant. Selon des experts en sécurité informatique, cette campagne viserait principalement des données liées au monde militaire. A ce jour, le mode de diffusion de ces fichiers malveillants reste encore inconnu, puisque ces applications reconditionnées n’ont été détectées sur aucune plateforme standard de téléchargement. L’état actuel du malware lui permettrait d’avoir un accès quasiment total à l’appareil Android infecté, et lui permettrait également de se connecter aux serveurs Web afin de se maintenir à jour et de communiquer avec des seveurs C&C (Command And Control). Le malware n’aurait pour l’instant affecté que 660 appareils, mais les premières cibles et l’apparente complexité du malware semblent indiquer que sa progression n’est pas terminée. Si l’identité de ses créateurs est à l’heure actuelle inconnue, la campagne Bouncing Golf présente des similarités avec la campagne Domestic Kitten, liée aux services de renseignement iraniens, qui avait eu lieu entre 2016 et 2018. En effet, le code source semble viser le même type d’informations. En savoir plus ici et

Transport

Une société de transport américaine victime d’attaques par ransomware La société de transport américaine basée en Pennsylvanie « A. Duie Pyle » a annoncé avoir été victime d’une attaque par ransomware le 17 juin dernier. L’incident aurait provoqué l’arrêt des systèmes de communication de la société et l’inaccessibilité de certains services Web. Sur son site Web, l’entreprise a publié tout au long des opérations de réponse à incident une mise à jour des actions de remédiation mises en œuvre par ses opérationnels. Dans les divers communiqués officiels, la société affirme que l’attaque n’aurait pas eu d’impact sur ses systèmes de back up et qu’aucune donnée n’aurait été exfiltrée par les attaquants. « A. Duie Pyle » indique aussi avoir restauré ses systèmes de communication les jours suivant l’incident. En savoir plus

Finance

Importante fuite de données pour le Groupe Desjardins : les informations personnelles de 2,9 millions de clients compromises  Le Mouvement Desjardins, plus grand établissement bancaire du Canada a révélé le 20 juin dernier avoir été victime d’un important vol de données personnelles appartenant à 2,9 millions de ses membres dont 173 000 membres d’entreprises. L’origine de la fuite serait notamment le fait de l’action malveillante d’un employé de la banque Desjardins, ayant accès à certaines données sensibles. En effet, des noms, prénoms, dates de naissance, numéros de sécurité sociale, adresses postales, numéros de téléphone, emails ainsi que des informations portant sur les habitudes bancaires des clients et sur des produits appartenant au Mouvement Desjardins auraient été transmis illégalement à des tiers par l’employé à l’origine de la fuite. Le groupe Desjardins a promis de contacter les personnes touchées par cette fuite sous deux semaines et affirme avoir déjà amélioré les procédures permettant d’éviter ce type d’incident. En savoir plus

Individus & Groupes

OceanLotus

Le groupe OceanLotus aurait récemment ciblé une organisation de protection de l’environnement au Vietnam en utilisant de nouvelles techniques. Repéré pour la première fois en Avril 2012 par SkyEye Lab, le groupe APT vietnamien fait de nouveau l’objet d’une étude approfondie par les experts en sécurité informatique de Qianxin. Ces derniers s’intéressent tout particulièrement à une nouvelle approche originale adoptée par le groupe. Dans un premier temps, celui-ci aurait utilisé un leurre sous forme d’un fichier ZIP contenant des photos de déchets et d’usines polluantes. C’est à partir de ces photos et du nom de ce fichier ZIP que les experts auraient pu déterminer que l’attaque visait bien le dirigeant d’une organisation environnementale. Un script HTA inclus dans ce fichier aurait ensuite été utilisé pour charger des données supplémentaires. Dans un deuxième temps, le groupe aurait utilisé une technique de DLL Side Loading, connue en matière de cyber attaque. Par la suite, OceanLotus se serait appuyé sur Adobe Reader afin de se connecter au serveur de commande et contrôle (C&C). Pour finir, le but de cette communication C&C serait d’obtenir un accès complet à la machine touchée. En savoir plus

Waterbug

Au cours des dix-huit derniers mois, le groupe d’espionnage Waterbug aurait continué à s’attaquer à des gouvernements et des organisations internationales à travers une série de trois campagnes distinctes, caractérisées par des outils différents. La première campagne aurait impliqué l’utilisation infrastructures appartenant à un autre groupe d’espionnage connu sous le nom de Crambus (alias OilRig, APT34). Une deuxième campagne utiliserait Meterpreter (un outil qui permet de réaliser toutes sortes d’actions sur une machine cible et qui serait utilisé par le groupe depuis le début de l’année 2018), une backdoor accessible au public ainsi que deux charges utiles personnalisées et deux backdoors personnalisées. La troisième campagne aurait déployé une backdoor RPC personnalisée différente de celle utilisée lors de la deuxième campagne. Cette backdoor aurait utilisé du code dérivé de l’outil PowerShellRunner accessible au public pour exécuter des scripts PowerShell sans utiliser le programme par défaut powershell.exe lui permettant de contourner la détection.  En savoir plus

Cette newsletter est émise par la cellule de Threat Intelligence : le service fournit à ses clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les analystes & veilleurs, capables de travailler en français, anglais, espagnol, arabe, russe, turc & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour plus d’information, contactez-nous !

Copyright 2019 Intrinsec Sécurité – Toute reproduction interdite