L’un des groupes de ransomwares les plus actifs au monde a adopté une tactique inhabituelle, voire sans précédent, pour faire pression sur l’une de ses victimes afin qu’elle paie : signaler la victime à la Securities and Exchange Commission des États-Unis.

Cette tactique de pression a été révélée dans un article publié mercredi sur le site dark web géré par AlphV, un syndicat criminel de ransomware en activité depuis deux ans. Après avoir d’abord affirmé avoir violé le réseau de la société de prêt numérique cotée en bourse MeridianLink, les responsables d’AlphV ont publié une capture d’écran d’une plainte qu’ils ont déclaré avoir déposée auprès de la SEC via le site Web de l’agence. En vertu d’une règle récemment adoptée qui entrera en vigueur le mois prochain, les sociétés cotées en bourse doivent déposer une déclaration auprès de la SEC dans les quatre jours suivant la connaissance d’un incident de sécurité ayant eu un impact « matériel » sur leur activité.

“Nous souhaitons attirer votre attention sur un problème préoccupant concernant la conformité de MeridianLink aux règles de divulgation des incidents de cybersécurité récemment adoptées”, ont écrit les responsables d’AlphV dans la plainte. « Il a été porté à notre attention que MeridianLink, à la lumière d’une violation importante compromettant les données clients et les informations opérationnelles, n’a pas réussi à déposer la divulgation requise au point 1.05 du formulaire 8-K dans les quatre jours ouvrables stipulés, comme l’exige le nouveau Règles de la SEC.

La catégorie de violation sélectionnée dans le rapport en ligne était « Inexactitude ou omission importante dans les documents déposés ou les états financiers d’une entreprise ou défaut de déclaration ».

La publication sur le dark web de mercredi comprenait également ce qui semblait être une réponse automatique reçue de la SEC accusant réception de la plainte.

a491d4f0-ee2f-495a-95de-fa95d253ebc7-image.png

Soit:
“Nous souhaitons attirer votre attention sur un problème préoccupant concernant la conformité de MeridianLink aux règles de divulgation des incidents de cybersécurité récemment adoptées”, ont écrit les responsables d’AlphV dans la plainte. « Il a été porté à notre attention que MeridianLink, à la lumière d’une violation importante compromettant les données clients et les informations opérationnelles, n’a pas réussi à déposer la divulgation requise au point 1.05 du formulaire 8-K dans les quatre jours ouvrables stipulés, comme l’exige le nouveau Règles de la SEC.

Comme indiqué, la règle n’est pas encore entrée en vigueur, donc même si la violation répond à la définition juridique d’un événement important, il est peu probable que MeridianLink soit en violation. Cela dit, AlphV capitalise probablement sur l’anxiété à l’échelle du secteur provoquée par la récente décision de la SEC de poursuivre en justice le responsable de la sécurité de l’information de SolarWinds. La SEC a allégué que le dirigeant de SolarWinds avait induit les investisseurs en erreur sur les pratiques de cybersécurité de l’entreprise avant une cyberattaque menée en 2020 par des pirates informatiques russes, qui ont ensuite infecté 18 000 clients de SolarWinds avec des logiciels malveillants.

Les responsables de MeridianLink ont ​​refusé une demande d’entretien ou de réponse à des questions demandant si les données des clients ont été violées lors d’une intrusion dans le réseau ou si une attaque de sécurité pouvant être considérée comme importante a eu lieu. Au lieu de cela, la société a publié une déclaration confirmant que les responsables avaient identifié un « incident de cybersécurité » et a ajouté :

Dès notre découverte, nous avons agi immédiatement pour contenir la menace et engagé une équipe d’experts tiers pour enquêter sur l’incident. Sur la base de notre enquête à ce jour, nous n’avons identifié aucune preuve d’accès non autorisé à nos plateformes de production, et l’incident a provoqué une interruption minime de nos activités. Si nous déterminons que des informations personnelles de consommateurs ont été impliquées dans cet incident, nous vous enverrons des notifications, comme l’exige la loi.

Brett Callow, analyste en sécurité chez Emsisoft, a noté qu’un groupe de ransomwares connu sous le nom de Maze avait déjà averti les victimes qu’il « reste en communication avec les principaux régulateurs de valeurs mobilières et financiers et les accusera de toutes les fuites et violations de données si l’accord n’est pas conclu ». .»

“Je ne suis pas sûr qu’ils l’aient jamais fait”, a déclaré Callow à Ars. “Les gangs ont également menacé de porter plainte contre le RGPD et, IIRC, l’un d’entre eux a peut-être donné suite à cela.” Il a déclaré qu’il n’était au courant d’aucun groupe ayant déposé une plainte auprès de la SEC. RGPD est l’abréviation de Règlement général sur la protection des données, une loi de l’Union européenne accordant aux individus de larges protections de la vie privée.

AlphV est apparu pour la première fois en novembre 2021 et se distingue par son utilisation d’un ransomware, nommé BlackCat, développé dans le langage de script Rust. Le groupe cible à la fois les environnements Windows et Linux.

« En avril 2023, ALPHV est devenu l’un des groupes de ransomwares les plus prolifiques dans le paysage actuel des menaces, derrière le groupe de ransomwares Lockbit en termes d’activité observée », a écrit l’analyste géopolitique et de cybersécurité Chris Lucas en mai . « Etant principalement un groupe basé en Russie, l’ALPHV ne ciblera probablement pas les organisations basées en Fédération de Russie ou dans le reste de la Communauté des États indépendants (CEI) qui composent l’ex-Union soviétique. »

Le groupe était déjà connu pour sa pratique rare consistant à menacer de lancer des attaques par déni de service distribué sur les cibles qu’il avait déjà compromises dans le but d’exercer une pression supplémentaire pour qu’elles paient.

Jeudi, les actions MeridianLink ont ​​chuté de 0,2 pour cent, ou 4 cents, à 18,51 dollars.

Source: https://arstechnica.com/security/2023/11/ransomware-group-reports-victim-it-breached-to-sec-regulators/

Bien que différent, mais du même tonneau au pays du gruyère:

https://www.rts.ch/info/suisse/10886146-le-scandale-des-fiches-eclatait-en-suisse-il-y-a-tout-juste-trente-ans.html

Entre les avions et les ports maritimes les hackeurs ne chôment pas en ce moment.

Intéressant. Je suis curieux de voir si c’est efficace à l’usage.

La semaine dernière, la société DP World a été impactée par une cyberattaque qui a affecté son activité en Australie et qui a perturbé très fortement 4 ports du pays. Ce lundi matin, l’activité portuaire a reprise. Voici ce que l’on sait.

Une cyberattaque a paralysé les activités de DP World, une société qui gère environ 40% du volume de marchandises entrant et sortant d’Australie. Cet incident de sécurité a impacté le système de conteneurs des ports de Melbourne, Sydney, Brisbane et Fremantle. L’intrusion a été détectée vendredi 10 novembre 2023 par les équipes de DP World. Dans la foulée, la décision suivante a été prise : déconnecter d’Internet les systèmes informatiques, ce qui a eu un impact considérable sur le transport de marchandises. En effet, il n’était plus possible de charger ou décharger de la marchandise.

Après avoir testé tous les systèmes au cours de la nuit, DP World a remis en ligne son système ce matin (13/11/2023) et l’activité à pu reprendre sur les différents ports australiens impactés. Désormais, 5 000 conteneurs s’apprêtent à partir dans la journée : c’est proche du flux habituel. Même si les principaux services sont relancés, il s’agit toutefois d’un mode dégradé, car en parallèle, il y a toujours des travaux en cours sur l’infrastructure informatique, notamment sur le réseau. Ceci pourrait engendrer quelques perturbations.

Pour le moment, nous ignorons l’origine de cette attaque, car DP World n’a pas communiqué sur ce sujet. Nous ne savons pas non plus si cette cyberattaque est associée à une demande de rançon.

Par la voix de Clare O’Neil, ministre de la cybersécurité, le gouvernement australien a réagi :

L’incident de sécurité de DP World montre à quel point notre pays est vulnérable aux cyberincidents et à quel point nous devons mieux travailler ensemble pour assurer la sécurité de nos citoyens.

Ce n’est pas la première fois que l’Australie est impactée par un incident de sécurité important : il y avait eu les affaires liées à Medibank et Optus en 2022. Même à l’autre bout du monde, la menace est réelle et les problématiques similaires.

https://www.it-connect.fr/les-principaux-ports-daustralie-a-larret-suite-a-une-cyberattaque/

@Psyckofox a dit dans Les pirates iraniens lancent des attaques via malware contre le secteur technologique israélien :

Edit : pas de problème Violence, je suis 100 % ok avec toi

No hay problemas amigo @Psyckofox 😁
Sé que todo esto está cerca de tu corazón.

Déjà que Tesla n’est pas réputé pour la solidité de son habitacle, plastiques etc…

@Boobacsco a dit dans Le smartphone en corée du nord :

Voila c’est triste d’avoir à t’expliquer plus simplement mais bon ça explique le genre de réponse que tu fais

Heu fallait pas prendre la mouche mais toi non plus t’as pas compris que mon com était une plaisanterie…
Fin de la polémique pour moi…

La police royale malaisienne a annoncé la saisie de BulletProftLink, célèbre plateforme de phishing-as-a-service (PhaaS) qui a fourni plus de 300 modèles de phishing

La plateforme a vu le jour en 2015, mais est devenue plus active depuis 2018 et comptait des milliers d’abonnés, certains payant pour l’accès à des lots de logs d’identification.

Les plateformes PhaaS fournissent aux cybercriminels des outils et des ressources pour effectuer des attaques de phishing via des kits et modèles «prêts à l’emploi», l’hébergement de fausses pages web, des options de personnalisation, de la récolte d’informations d’identification et des outils de reverse proxy.

La plateforme BulletProftLink a déjà été documentée. En 2020, un expert en cybersécurité Gabor Szathmari détaillait dans une série en trois parties de recherches, comment il a créé une grande confiance avec un opérateur de la plateforme, un ressortissant malaisien vivant une vie de luxe.

Un rapport Microsoft de septembre 2021, mettait en garde contre le volume élevé d’attaques de phishing que la plateforme pourrait faciliter et le grand nombre de modèles disponibles pour les acheteurs. Le service a également collecté toutes les informations d’identification que ses abonnés (1 618 à l’époque) ont volées dans des attaques de phishing.

Aidée par la police fédérale australienne et le FBI, la police malaisienne a réussi à démanteler la plateforme et à supprimer plusieurs domaines qu’elle utilisait.

La police a arrêté huit personnes le 6 novembre, dont un autodidacte qui serait le chef de l’opération. Les autorités ont également saisi des portefeuilles de cryptomonnaie contenant environ 213 000 $, des serveurs, des ordinateurs, des bijoux, des véhicules et des cartes de paiement.

Les serveurs étant confisqués, les forces de l’ordre peuvent les examiner pour identifier les utilisateurs de la plateforme, certains d’entre eux payant des frais d’abonnement de 2000$ /mois pour accéder à des lots réguliers de logs d’informations d’identification.

La société de renseignement sur la cybercriminalité Intel471 affirme qu’en avril 2023, BulletProftLink comptait 8 138 abonnés actifs avec accès à 327 modèles de pages de phishing.

– Le dashboard de BulletProftLink (Intel471)

Il s’agit d’une augmentation de cleints de l’ordre de 403% depuis le rapport de Microsoft en 2021, reflétant la popularité massive de la plate-forme dans la communauté de la cybercriminalité.

Intel 471 dit que les ressources de phishing que BulletProftLink offrait avant d’être supprimées étaient “des pages de connexion incluses pour Microsoft Office, DHL, la plateforme en ligne basée en Corée du Sud Naver et des institutions financières, notamment American Express, Bank of America, Consumer Credit Union et la Royal Bank of Canada.”

– Pages de phishing disponibles à l’achat pour les membres (Intel471)

Certaines de ces pages de phishing ont été hébergées sur des services cloud légitimes tels que Google Cloud et Microsoft Azure pour échapper aux outils de sécurité.

L’inventaire de BulletProftLink offrait également l’outil de proxy inverse Evilginx2 qui permet des attaques de phishing AITM (Adversary-In-The-Middle), qui peuvent contourner les protections d’authentification multifactorielle.

BulletProftLink était une source importante de référence pour les cybercriminels professionnels afin d’obtenir des accès privilégiées aux systèmes d’entreprises. Avec un premier pied dans leur réseau, les attaquants peuvent commencer la phase de reconnaissance et avancer vers des machines contenant des informations bien plus importantes.

– Source

https://www.bleepingcomputer.com/news/security/police-takes-down-bulletproftlink-large-scale-phishing-provider/

Des puces vieilles de 10 à 15 ans, moins de microphones, une gestion thermique inférieure, et bien plus encore.

b37694ac-7d2e-4a20-b6ad-ee48a0100b04-image.png
Le blog de Lumafield a partagé cette image montrant des tomodensitogrammes de trois écouteurs. La gauche est un vrai AirPods Pro (2e génération). Les deux fils criblés de droite sont des faux.

Qu’il s’agisse de produits prétendant être fabriqués par une marque ou d’appareils prétendant être quelque chose qu’ils ne sont pas (comme une carte microSD se faisant passer pour un SSD ), les appareils électroniques frauduleux constituent une menace pour le portefeuille des acheteurs sans méfiance et, parfois, pour leur sécurité. En raison de leur popularité et de leurs prix élevés, les fraudeurs ciblent souvent les produits Apple. Mais qu’y a-t-il réellement à l’intérieur de ces faux appareils Apple ?

Pour le savoir, Lumafield a sorti son scanner CT à 75 000 $ pour illustrer ce que les gens obtiennent lorsqu’ils se retrouvent avec des chargeurs MacBook contrefaits ou des AirPods Pro contrefaits.

Lumafield fabrique des tomodensitomètres et des logiciels industriels. Dernièrement, il a utilisé son scanner Neptune pour examiner des appareils électroniques, comme le câble Thunderbolt 4 d’Apple à 130 $ . Cette semaine, Lumafield a fourni des tomodensitogrammes (avec lesquels vous pouvez jouer via le logiciel Voyager en ligne de Lumafield) des AirPods Pro 2e génération ( ici ), deux contrefaçons ( ici et ici ), ainsi qu’un aperçu de l’adaptateur secteur MagSafe 2 de 85 W d’Apple. ( ici ) et un faux ( ici ).

Chargeur MagUnsafe

Commençons par le chargeur car les mauvais chargeurs peuvent être dangereux. Par exemple, un rapport publié fin 2016 par UL Solutions a révélé un taux de défaillance de plus de 99 % lors de l’examen de 400 adaptateurs Apple contrefaits, dont 397 présentaient des « risques d’incendie et d’électrocution »

3dc082f6-2a01-4450-954b-1994d63d3ac5-image.png

8a230ce6-19f0-4303-a235-36917618f7b4-image.png

Le scanner de Lumafield a scanné un faux chargeur Apple acheté auprès d’un vendeur eBay “sommaire” ( les politiques d’eBay interdisent les produits contrefaits), a déclaré Jon Bruner, responsable du marketing de Lumafield, à la chaîne YouTube Tested d’Adam Savage dans une vidéo sponsorisée par Lumafield publiée mardi. Bruner a déclaré à Ars Technica par e-mail que le chargeur coûtait environ 30 $. Il présentait des différences notables par rapport au véritable adaptateur secteur Apple 85 W MagSafe 2, qui coûte actuellement 79 $ sur le site Web d’Apple .

Dans la galerie ci-dessus, vous pouvez voir une image montrant à quel point les deux chargeurs se ressemblent à l’extérieur. Mais comme détaillé dans la vidéo YouTube, celui acheté sur eBay n’a que deux inductances, ainsi qu’un gros condensateur électrolytique, mais beaucoup moins de circuits dans l’ensemble.

un article du blog Un scanner du chargeur d’Apple a montré une gestion “sophistiquée” de l’alimentation avec divers composants pour le conditionnement et la conversion de l’alimentation" , a déclaré mardi Lumafield. Les composants internes du dupe, cependant, sont “beaucoup moins complexes”, dépourvus des “fonctionnalités de filtrage qui garantissent sécurité et longévité du chargeur Apple.”

“Cette structure interne simplifiée soulève non seulement des inquiétudes quant aux performances de la contrefaçon, mais également à sa capacité à gérer en toute sécurité l’alimentation électrique fournie à vos appareils”, indique le blog de Lumafield.

La gestion de la chaleur entre les deux chargeurs, bien qu’elle n’ait pas été testée, diffère probablement également. Le mince dissipateur thermique d’Apple est plus avancé que celui du copieur et enveloppe la majeure partie du transformateur du chargeur.

Les tomodensitogrammes soulignent la large couverture du dissipateur thermique du chargeur Apple, ce qui peut aider à prévenir la formation de points chauds. Le dissipateur thermique utilise plus de métal que le faux pour probablement une meilleure dissipation de la chaleur. De plus, l’utilisation de convertisseurs par le chargeur Apple, à laquelle l’imitateur renonce, améliore probablement l’efficacité et permet au chargeur de générer moins de chaleur.

Bien qu’il y ait une quantité impressionnante d’ingénierie dans le faux chargeur pour un produit frauduleux, il est possible que le chargeur ne fournisse pas les tensions souhaitées. Mais en supposant que ce soit le cas ou que l’ordinateur connecté puisse ajuster les tensions, la probabilité que le chargeur frauduleux chauffe davantage ne constitue peut-être pas une menace immédiate. Mais à long terme, ou si on le dissimule, cela pourrait être dangereux.

“Au fil du temps, si des fils s’effilochent et que cela crée un peu plus de résistance, cela augmentera la chaleur et toutes ces choses… peuvent s’accumuler et produire une situation dangereuse”, Zach Radding, ingénieur en électronique chez Build Cool . Stuff , a déclaré sur la vidéo Tested d’Adam Savage.

Enfin, le chargeur contrefait est doté d’une fausse broche de mise à la terre qui n’est réellement connectée à rien à l’intérieur du chargeur et ne serait pas conforme au Royaume-Uni :

5a24f6bf-bc2e-4bf1-b06a-0817e7da0a2c-image.png
Quelque chose doit être connecté à l’endroit où se trouve le trou (au nord du pointeur)

AirPod Pro Non

Les problèmes avec les deux ensembles d’AirPods Pro frauduleux soulignent un manque de qualité et de fonctionnalités.

Par exemple, dans un fil de discussion sur Twitter, Bruner a souligné les contrefaçons utilisant des fils (plutôt que des PCB flexibles), que les AirPod n’ont pas utilisés depuis l’offre originale non-Pro.

Lumafield a acquis deux paires contrefaites d’écouteurs sans fil Apple de deuxième génération (nous avons demandé à Lumafield d’où ils les obtenaient et mettrons à jour cette pièce si nous recevons une réponse). L’une coûtait 50 dollars sur eBay, tandis que la contrefaçon la moins impressionnante coûtait 25 dollars sur Amazon, a déclaré Bruner à Ars.

Ils utilisent chacun un “condensateur électret rudimentaire disponible dans le commerce”, a déclaré Bruner , par rapport aux trois microphones MEMS (systèmes microélectro-mécaniques) réels.

Comme pour le faux chargeur d’ordinateur portable, les tomodensitogrammes ont révélé les composants internes clairsemés des produits non Apple, qui comprennent des haut-parleurs de qualité inférieure, moins de circuits de commande, une barre métallique ajoutée aux boîtiers en plastique bon marché pour plus de poids, des éclaboussures de soudure dans les écouteurs et , dans le cas de l’un des dupes, pas de bobine de charge inductive pour la recharge sans fil.

5cb6840c-74fe-441a-80fd-2ac98f0669c2-image.png
La flèche pointe vers la barre métallique ajoutée au faux boîtier pour plus de poids

Les usurpateurs forcent également des piles de poche plus petites et de qualité inférieure dans une zone circulaire de l’écouteur, contrairement à l’utilisation par Apple de piles bouton plus grosses.

Le soi-disant boîtier AirPods Pro pour l’un des contrefaçons manquait également de puces BGA (ball Grid Array) et les a remplacés par ce qui semblait être des SOIC (circuits intégrés à petit contour) vieux de 10 à 15 ans, a déclaré Radding .

L’analyse de Lumafield montre également l’une des puces d’antenne Bluetooth des écouteurs inauthentiques située au sommet du circuit imprimé, gênant la portée :

1d6160a9-3b7c-40f8-801d-acbdde95a77c-image.png
Vous pouvez voir la puce Bluetooth sur le dessus du circuit imprimé

Cela dit, il a fallu des gens qui savent ce qu’ils faisaient pour créer les faux AirPods Pro. La vidéo d’Adam Savage Tested montrait même un iPhone lisant les faux pods comme de véritables AirPod pendant le processus de couplage et s’appairant avec les écouteurs de la même manière qu’avec de véritables AirPod.

Encore une bonne quantité d’ingénierie

Alors que les produits Apple en herbe étaient beaucoup moins chers que les versions OEM authentiques, le scanner de Lumafield montre un aperçu des raisons pour lesquelles les gens paient pour des appareils électroniques authentiques.

Les analyses rappellent également qu’il faut être prudent lorsque l’on achète des technologies auprès de tiers inconnus, y compris des vendeurs inconnus sur des marchés en ligne populaires comme eBay . Comme le prouvent les analyses, un appareil peut ressembler à l’original à l’extérieur tout en étant très différent là où cela compte.

Pendant ce temps, l’ingénierie intelligente derrière ces conceptions de fortune ne passe pas inaperçue.

Faisant référence à l’un des faux écouteurs, Bruner a déclaré :

“C’est un véritable témoignage du chemin parcouru par l’ensemble de l’écosystème électronique que l’on puisse créer une contrefaçon aussi sophistiquée. C’est beaucoup moins sophistiqué qu’un vrai produit Apple, mais comparé à ce que n’importe quel écouteur aurait fait il y a 15 ans. , c’est géant.”

Source: https://arstechnica.com/gadgets/2023/11/sparse-innards-of-25-counterfeit-airpods-pro-revealed-by-ct-scans/

C’est la même chose pour les chinoiseries Android ou autres accessoires PC/consoles de jeu/etc, le bon marché est toujours trop cher.

3 ans de retard, ok pour le principe de condamner pour ne pas tenir les engagements mais ces 26 millions seraient plus utiles au déploiement… 🙄

Ha ben je comprends mieux pourquoi ça ne fonctionnait pas hier ! Et dire qu’on m’a accusé d’avoir mal formulé ma question 🙄

@Violence On est bien d’accord, d’autres sont plus malins avec un système de demandes et donc échanges de liens en privé.

Ba au delà de l’exploit, de faire chier le monde, de l’intelligence et la complexité mis en oeuvre, le but est quand même de se faire du pognon. Ils ne bossent pas pour rien à ce stade 😈😆

J’espère ça va bien marcher, mais bon le fait de passer par un bon de commande ça va pas aider, faut vite qu’ils fassent un truc simple sur leur site

Jamais eu de soucis avec ublock origin à jour et enhancer for youtube

Alors eux des traîtres ils vont passer un sale moment

L’office de contrôle des avoirs étrangers (OFAC - Office of Foreign Assets Control) du Département du Trésor américain a sanctionné la ressortissante russe Ekaterina Zhdanova pour avoir blanchi des millions de dollars en cryptomonnaie pour le compte de diverses personnes, notamment des acteurs de ransomwares.

Zhdanova a utilisé son expertise dans les réseaux de crypto-monnaie et de blockchain pour transférer de l’argent via diverses plateformes telles que Garantex (sanctionné en avril 2022 pour avoir aidé le marché Hydra) afin d’échapper aux contrôles de « lutte contre le blanchiment d’argent et le financement du terrorisme » (AML/CFT).

Un rapport de la société d’analyse blockchain Chainalisys a fourni des informations supplémentaires sur les entreprises publiques de Zhdanova, qui peuvent ou non faire partie de ses stratagèmes complexes de blanchiment d’argent.

L’OFAC et Chainalysis notent que Zhdanova a également exploité ses connexions avec un vaste réseau mondial d’autres blanchisseurs d’argent pour masquer davantage ses activités financières et accéder à une clientèle plus traditionnelle.

– Activité de transfert d’argent de Zhdanova (Chainalysis)

Zhdanova aurait également blanchi plus de 2 300 000 $ de rançons présumées versées à une filiale de l’opération de ransomware Ryuk.

Le gang Ryuk a été actif entre 2018 et 2021 et s’est répandu en attaquant des organisations dans tous les secteurs, y compris les soins de santé pendant la pandémie, et en extorquant aux victimes le montant le plus élevé possible.

– Processus de blanchiment de rançon (Chainalysis)

Le système utilisé par Zhdanova pour dissimuler l’origine illégale de l’argent de la filiale Ryuk impliquait l’ouverture frauduleuse d’un compte d’investissement et la réalisation d’achats immobiliers.

Il est intéressant de noter qu’un autre citoyen russe qui a blanchi de l’argent pour le gang du ransomware Ryuk pendant trois ans a été extradé des Pays-Bas et a récemment plaidé coupable aux États-Unis.

Outre les ransomwares, Zhdanova a également aidé les oligarques russes à échapper aux sanctions imposées par le monde occidental en réponse à l’invasion de l’Ukraine par la Russie.

Dans un cas, elle a facilité le transfert de plus de 100 millions de dollars au nom d’un oligarque russe vers les Émirats arabes unis. Les autorités ont également confirmé plusieurs cas dans lesquels elle a fait en sorte que des clients russes obtiennent la résidence fiscale, des cartes d’identité et des comptes bancaires aux Émirats arabes unis.

À la suite des sanctions de l’OFAC, Ekaterina Zhdanova verra tous ses avoirs basés aux États-Unis gelés, tandis qu’il sera interdit aux personnes et entités américaines d’effectuer des transactions avec elle.

– Source

https://www.bleepingcomputer.com/news/security/us-sanctions-russian-who-laundered-money-for-ryuk-ransomware-affiliate/

Le groupe de piratage Sandworm parrainé par l’État Russe, a compromis onze prestataires de services de télécommunications en Ukraine entre mai et septembre 2023.

Cette information est basée sur un nouveau rapport de l’équipe ukrainienne d’intervention en cas d’urgence informatique (CERT-UA - Computer Emergency Response Team) citant des «ressources publiques» et des informations récupérées auprès de certains fournisseurs victimes de Sandworm.

L’agence déclare que les pirates russes “ont interféré” avec les systèmes de communication de 11 opérateurs de télécommunications dans le pays, ce qui a entraîné des interruptions de service et des potentielles vols de données.

Sandworm est un groupe d’espionnage très actif lié au GRU russe (forces armées). Les assaillants se sont concentrés sur l’Ukraine tout au long de 2023, en utilisant le phishing, des malwares Android, et des data-wipers.

Les attaques commencent quand Sandworm effectue des reconnaissances sur les réseaux des sociétés de télécommunications en utilisant l’outil masscan pour effectuer des analyses et scans sur le réseau de la cible.

– Exemple du script masscan (CERT-UA)

Sandworm recherche principalement des ports ouverts et des interfaces RDP ou SSH non protégées qu’ils peuvent exploiter pour pénétrer le réseau.

De plus, les attaquants utilisent des outils tels que ffuf, dirbuster, gowitness et nmap pour trouver des vulnérabilités potentielles dans les services Web qui peuvent être exploitées pour y accéder.

Des comptes VPN compromis qui n’étaient pas protégés par l’authentification multifactorielle (2FA) ont également été exploités pour accéder au réseau.

Pour rendre leurs intrusions plus furtives, Sandworm utilise Dante, socks5 et d’autres serveurs proxy pour acheminer leurs activités malveillantes via d’autres serveurs dans la région Internet ukrainienne qu’ils ont compromis auparavant, ce qui le rend moins suspect.

Le rapport détaillé du CERT-UA (très intéressant au passage) à repéré deux portes dérobées dans les systèmes ISP compromis, à savoir Poemgate et Poseidon.

Poemgate capture les informations d’identification des administrateurs qui tentent de s’authentifier dans des accès compromis, offrant aux attaquants un accès à des comptes supplémentaires qu’ils peuvent utiliser pour une infiltration plus profonde du réseau.

Poseidon est une porte dérobée Linux qui, selon l’agence ukrainienne, “comprend la gamme complète d’outils de contrôle informatique à distance.”
La persistance de Poséidon est obtenue en modifiant Cron pour ajouter des jobs compromettant le système.

– Modification binaire de CRON pour ajouter de la persistance à Poséidon (CERT-UA)

Sandworm utilise l’outil Whitecat pour supprimer les traces de l’attaque et supprimer les journaux d’accès (log).

Aux dernières étapes de l’attaque, les pirates ont été repérés en train de déployer des scripts qui provoqueraient une perturbation du service, en particulier en se concentrant sur des équipements Mikrotik, et en supprimant les backups pour rendre la récupération de données plus difficile.

– Script pour altérer les appareils Mikrotik (CERT-UA)

Le CERT-UA informe que tous les fournisseurs de services du pays doivent suivre les recommandations de leur guide pour rendre plus difficile pour les cyber-intrus d’infiltrer leurs systèmes.

– Sources

https://www.bleepingcomputer.com/news/security/russian-sandworm-hackers-breached-11-ukrainian-telcos-since-may/

https://cert.gov.ua/article/6123309

Ouai c’est sur… mais je pense qu’il y a un entre deux à avoir.

A mon sens, ce n’est pas mieux d’avoir une IA sans restriction aucune, out of control, sans règles d’encadrement dans l’apprentissage du modèle de langage (LLM), sous couvert que censurer l’IA reviens à censurer la liberté d’expression au nom de la sécurité. (Propos de l’entreprise de FreedomGPT)

FreedomGPT va à l’encontre de tout cadre éthique et juridique et cela au nom de la liberté d’expression. Je ne suis pas sur que ce soit là aussi le meilleur chemin à prendre.

J’avais lu un article sur 01net ou l’auteur s’était mis dans la peau d’une personne psychologiquement fragile et instable en conversant avec le chatbot FreedomGPT. Celui-ci est même aller dans le sens de la personne en lui indiquant les meilleures façons de se suicider.

Alors ok, des gens ont surement voulu tester et repousser les limites du LLM mais quelle importance? Le mal est déjà fait.

De mon point de vue, comme je l’ai déjà dit sur un autre topic, l’IA deviendra ce qu’on en fera et vu l’humain, ça ne sera pas beau à voir si il n’y a pas un minimum de cadre éthique.

Mais je le reconnais, c’est loin d’être simple.