Planète Warez

Un chercheur en sécurité a identifié un nouveau logiciel malveillant destructeur de données, nommé AcidPour, et qui cible les équipements réseau ainsi que des appareils avec un système Linux. Voici ce que l’on sait sur cette menace.

AcidPour, qui est considéré comme une variante du malware AcidRain, est, ce que l’on appelle un “data wiper”, c’est-à-dire un malware dont l’unique but est de détruire les données présentes sur l’appareil infecté. Autrement dit, le malware AcidPour est destiné à effectuer des actes de sabotages. D’ailleurs, AcidRain a été utilisé dans le cadre d’une cyberattaque contre le fournisseur de communications par satellite Viasat, ce qui avait eu un impact important sur la disponibilité des services en Ukraine et en Europe.

Le malware AcidPour quant à lui, a été identifié par Tom Hegel, chercheur en sécurité chez SentinelLabs, et il a été téléchargé depuis l’Ukraine le 16 mars 2024. Il présente plusieurs similitudes avec AcidRain, notamment au sein des chemins pris pour cible sur les machines infectées. Néanmoins, les deux malwares ont uniquement 30% de code source en commun. AcidPour pourrait être une variante beaucoup plus évoluée et puissante qu’AcidRain, grâce à la “prise en charge” de la destruction de données sur une plus grande variété d’appareils.

AcidPour est un malware destructeur de données capable de s’attaquer à des équipements réseau, notamment des routeurs, mais aussi des appareils avec une distribution Linux embarquée (Linux x86). Par exemple, il pourrait s’agir de cibler des NAS dont le système est basé sur Linux, car le malware s’intéresse aux chemins de type "/dev/dm-XX.

Sur X (ex-Twitter), Rob Joyce, directeur de la cybersécurité de la NSA, affiche une certaine inquiétude vis-à-vis de ce logiciel malveillant :

Il s’agit d’une menace à surveiller. Mon inquiétude est d’autant plus grande que cette variante est plus puissante que la variante AcidRain et qu’elle couvre davantage de types de matériel et de systèmes d’exploitation.

Enfin, sachez que SentinelLabs a partagé un échantillon de ce malware sur VirusTotal, et vous pouvez le retrouver sur cette page publique.

– Sources :

https://www.bleepingcomputer.com/news/security/new-acidpour-data-wiper-targets-linux-x86-network-devices/

https://www.it-connect.fr/acidpour-un-malware-destructeur-de-donnees-qui-cible-linux-et-les-equipements-reseau/

@Violence
Oui c’est clair ils sont discrets et c’est bien normal.
A mon avis, comme c’est de la pulvérisation de mot de passe, les hackeurs visaient des mdp trop faibles. Le bruteforce sur des hash s’effectue généralement hors ligne.

@michmich
Héhé de toute façon tu avais raison ; c’est la loose pour Micro$oft 😉

Il reste les serveurs DNS racines. C’est plutôt ceux là qu’il faudrait pas faire tomber.
Mais ça mettrait quand même le dawa 😉

Toujours plus malins ces h@x4r

Frère cadet de l’individu incriminé dans l’affaire impliquant ces 311 millions

Les procureurs ont accusé Gary Harmon d’un crime très inhabituel : le piratage à distance d’un appareil informatique que le gouvernement avait déjà saisi dans une autre affaire, intentée contre son frère aîné, Larry Harmon et qui contenait une clé d’accès à des bitcoins. Alors que les autorités regardaient impuissantes, 713 jetons numériques - alors d’une valeur de près de 5 millions de dollars - ont été en quelque sorte détournés du « portefeuille matériel » qu’ils détenaient dans un casier à preuves.

Des rapports récents indiquent que plus de 5 millions de dollars de jetons crypto ont été volés d’un périphérique de stockage détenu par les autorités fédérales (plus précisément le périphérique contenait la clé d’accès à des bitcoins d’une valeur de 5 millions de dollars). Selon des rapports relayés par Bloomberg, les autorités fédérales ont acquis ce périphérique (et donc ces jetons) suite aux enquêtes criminelles sur Helix Mixer. Les fédéraux avaient saisi le périphérique de stockage qui était supposé contenir la clé d’accès à des actifs numériques mal acquis.

C’était sans compter sur le piratage à distance de ce périphérique de stockage qui a conduit au vol de la clé d’accès. La personne accusée d’être derrière ce piratage n’est autre que Gary Harmon. Selon les procureurs, alors que Gary était dans une baignoire remplie de billets d’un dollar, il s’est pris en photo avec son téléphone portable. Les rapports indiquent que la photo est une preuve suffisante des méfaits d’Harmon.

Les procureurs accusent Harmon d’avoir volé à distance des bitcoins stockés dans un appareil informatique qui était déjà sous le contrôle du gouvernement, ce qui est, rappelons-le, un raccourci dans la mesure où des bitcoins ne peuvent pas être « détenus » sur un périphérique, mais uniquement la clé d’accès à ces bitcoins.

Un document judiciaire indique que :

« L’accusé Gary James Harmon a été inculpé pour avoir accédé à distance et s’être enfui avec 712,6 BTC des portefeuilles en question, représentant des biens saisis en vertu d’un mandat légal et soumis à une confiscation pénale dans le cadre d’une procédure en cours contre Larry Harmon ».

D’autres rapports montrent que les fonds volés ont été initialement apportés au gouvernement fédéral par le frère de Gary, Larry Harmon. Les rapports montrent qu’environ 713 jetons Bitcoin, d’une valeur de plus de 5 millions de dollars au moment du vol, ont été récupérés alors qu’ils étaient détenus dans un casier à preuves. Le portefeuille en question était un portefeuille matériel Trezor 1.

Toute cette affaire a commencé lorsque Larry Harmon, le frère aîné, a été accusé de blanchiment d’argent et d’exploitation d’un mixeur crypto illégal Helix. Ce dernier a été conçu principalement pour les services de mixage Bitcoin. Il a permis à de nombreux clients d’envoyer des bitcoins tout en dissimulant et en obscurcissant l’origine de la transaction.

Selon les rapports, le mixeur Helix a aidé les investisseurs à effectuer des transactions sur 354468 Bitcoins, d’une valeur de plus de 311 millions de dollars. Les enquêteurs ont réussi à acquérir le portefeuille Trezor contenant les clés d’accès aux cryptomonnaies.

Cependant, tout en le détenant, les fonds dans le portefeuille ont été épuisés. Selon un document lié au tribunal*;

« À partir du 19 avril 2020 ou vers cette date et jusqu’au 24 avril 2020 ou vers cette date, l’IRS-CI a observé une série de huit transactions bitcoin des 16 portefeuilles concernés vers de nouveaux portefeuilles bitcoin jusque-là inconnus des forces de l’ordre… Les transferts ont totalisé environ 712,6003 BTC.*»

L’accusé Gary Harmon, qui a d’abord vécu une vie modeste même à un moment donné en 2020, recevant des allocations de chômage, a commencé à dépenser énormément. Il a envoyé la plupart des fonds via des mixeurs Bitcoin comme Chipmixer.com et le portefeuille Wassabi. Des agents du gouvernement ont retracé environ 519 BTC via des mixeurs. Gary a déposé d’autres BTC dans la société de financement BlockFi. La date du procès a été fixée au mois de février.

Le premier “mixeur” de bitcoins sanctionné pour avoir enfreint la législation anti-blanchiment d’argent

En octobre 2020, le Financial Crimes Enforcement Network (FinCEN) du Département du Trésor américain a annoncé la toute première sanction contre un service de “mixage” de cryptomonnaies. Larry Dean Harmon, le fondateur et l’exploitant des services de mixage de monnaies électroniques Helix et Coin Ninja, devait alors payer une amende civile de 60 millions de dollars, pour avoir violé la loi sur le secret bancaire (BSA) et ses règlements en exploitant les deux services en tant qu’entreprises de transfert de fonds non enregistrées (MSB), selon une publication de l’agence.

Harmon était l’opérateur du service de mixage de bitcoins Helix entre 2014 et 2017, et l’opérateur et le directeur général de Coin Ninja de 2017 à 2020. La sanction civile contre Harmon, qui était déjà accusé par le ministère américain de la Justice au moment de la sanction du FinCEN, représentait la première du genre imposée par le réseau de lutte contre les crimes financiers du Trésor contre un mixeur ou “tumbler” de devises virtuelles. L’agence a défini un tumbler ou mixeur de cryptomonnaies comme une entreprise qui fait payer à ses clients des frais pour envoyer des devises virtuelles à une adresse désignée d’une manière conçue pour dissimuler la source ou le propriétaire de la devise.

Cette mesure d’exécution est intervenue sept ans après que le FinCEN a publié ses premières directives exigeant des bureaux de change et des administrateurs de devises virtuelles convertibles qu’ils s’enregistrent en tant qu’entreprises de services monétaires et qu’ils adoptent des programmes de conformité à la législation sur le blanchiment d’argent. L’agence a précisé en 2019 que les institutions financières qui sont des mixeurs et des administrateurs de monnaie virtuelle convertible doivent également se conformer à ces exigences.

Harmon était poursuivi devant la Cour de District des États-Unis pour le District de Columbia pour conspiration de blanchiment d’instruments monétaires et exploitation d’une entreprise de transfert de fonds sans licence en relation avec son exploitation de Helix. Selon le Wall Street Journal, Charles Flood, un avocat du cabinet Flood & Flood représentant Harmon dans l’affaire du ministère de la Justice, a déclaré que Harmon n’était pas représenté par le conseil dans l’affaire FinCEN.

Cependant, Flood a déclaré que l’action du FinCEN était similaire à une partie de l’affaire pénale du DOJ, en ce sens qu’elle « repose sur une détermination incorrecte qu’un tumbler de bitcoins était un “transmetteur d’argent” conformément à la loi fédérale pendant la période sous-jacente à l’acte d’accusation », a-t-il écrit dans un courriel. « Nous sommes impatients d’expliquer tout cela à un jury de Washington dans le cadre du procès pénal », a-t-il ajouté.

Helix a effectué 356 000 transactions de bitcoins en trois ans en ne respectant pas la BSA en matière d’enregistrement

Harmon, d’Akron, Ohio, aurait exploité Helix comme une entreprise de services financiers non enregistrée, selon FinCEN. Faisant des affaires sous le nom de Helix, Harmon aurait accepté et transmis des millions de dollars de 2014 à 2017, selon les mesures d’exécution.

L’enquête du FinCEN a révélé que « Harmon, faisant affaire sous le nom de Helix et Coin Ninja, opérait en tant qu’échangeur de devises virtuelles convertibles en acceptant et en transmettant des millions de dollars par divers moyens. De juin 2014 à décembre 2017, Helix a effectué plus de 1 225 000 transactions pour ses clients et a été associé à des adresses de portefeuilles de devises virtuelles qui ont envoyé ou reçu plus de 311 millions de dollars ». L’enquête du FinCEN a identifié au moins 356 000 transactions de bitcoins par le biais de Helix.

« L’enquête de FinCEN a également révélé que Harmon a délibérément violé les exigences de la BSA en matière d’enregistrement, de programme et de déclaration en ne s’inscrivant pas en tant que MSB, en ne mettant pas en œuvre et en ne maintenant pas un programme efficace de lutte contre le blanchiment d’argent et en ne déclarant pas les activités suspectes », a déclaré FinCEN lundi dans sa publication.

Harmon a fait la publicité des services des deux bureaux de mixage de bitcoins « dans les espaces les plus sombres de l’Internet » comme étant des moyens sûrs et anonymes de « payer pour des choses comme la drogue, les armes à feu et la pornographie enfantine ». Sur la base des enquêtes de FinCEN, alors qu’il opérait avec le mixeur de bitcoins Helix, Harmon s’est engagé dans des transactions avec des contrefacteurs, des fraudeurs, des trafiquants de stupéfiants, ainsi que divers autres criminels.

Le plus grand volume de cryptomonnaies blanchies par le tumbler Helix provenait des marchés illégaux du dark Web, notamment AlphaBay, Dream Mark, Agora Market, Nucleus, et plusieurs autres, d’après l’acte d’accusation.

FinCEN a également poursuit Harmon pour blanchiment d’argent

Harmon a également été poursuivi pour conspiration de blanchiment d’instruments monétaires, exploitation d’une entreprise de transfert de fonds sans licence et transmission de fonds sans licence.

« Helix aurait blanchi des centaines de millions de dollars de produits illicites des stupéfiants et d’autres profits criminels pour les utilisateurs de Darknet dans le monde entier », a déclaré en février 2020 Brian A. Benczkowski, procureur général adjoint de la division criminelle du ministère de la Justice. « Cet acte d’accusation souligne que le fait de chercher à dissimuler des transactions en monnaie virtuelle de cette manière est un crime, et que le ministère peut et va s’assurer que ce crime ne paie pas », avait-il ajouté.

Harmon aurait également possédé et exploité le moteur de recherche dark Web Grams à partir d’avril 2014, selon l’acte d’accusation à trois chefs d’accusation. Il s’est également associé à AlphaBay en novembre 2016, qui était alors le plus grand marché du dark web, de décembre 2014 à juillet 2017, date à laquelle les forces de l’ordre l’ont fermé.

« En ou vers juin 2014, peu avant le lancement de Helix, Harmon a mis en ligne que Helix a été conçu pour être un “tumbler de bitcoins” qui “nettoie” les bitcoins en fournissant aux clients de nouveaux bitcoins “qui n’ont jamais été sur le darknet avant”, » peut-on lire dans l’acte d’accusation.

En ou vers novembre 2016, le site AlphaBay a recommandé à ses clients d’utiliser un service de mixage de bitcoins pour « effacer toute trace de [leurs] jetons provenant d’AlphaBay », et a fourni un lien intégré vers le site de Tor pour Grams-Helix.

Sources : USA contre Gary Harmon, developpez.com

En quelques mois, les hackers AgainstTheWest se sont fait un nom dans l’underground interlope du web. Sans que l’on saisisse vraiment qui ils sont réellement.

Décidément, ils sont bien intrigants, ces membres d’AgainstTheWest. Sont-ils des hacktivistes pétris d’idéalisme, incluant en partie des membres français ? Ou des agents d’un service de renseignement menant une opération d’influence sous un faux drapeau ? Ou tout simplement des mythomanes ? À défaut de pouvoir trancher définitivement, on peut toutefois déjà retracer leur drôle d’épopée.

Pour AgainstTheWest, également connu par ses initiales ATW et plus tard sous le nom de Blue Hornet, tout commence le 14 octobre 2021. Le groupe de hackers fait alors son apparition publique sur le défunt Raidforums. Dans leur second message sur ce site central dans la fuite de données, AgainstTheWest affirme ainsi avoir piraté la banque centrale chinoise. L’opération, qui aurait demandé deux mois de travail, est dénommée « Renminbi », en référence au yuan chinois. Le groupe assure que cet accès non autorisé lui a permis d’avoir accès à des données internes, vendues seulement 1 200 dollars.

Le groupe revendique ensuite à la fin octobre le piratage du ministère chinois de la sécurité publique. Puis propose, à la mi-novembre, des échantillons de code source volés chez ByteDance, les créateurs du réseau social TikTok. Grâce à une série de fuites de données répertoriées par le chercheur indépendant en sécurité Aaron de Vera, les hackers se construisent donc très vite, en quelques semaines, une solide réputation dans les milieux interlopes du web.

Pour défendre les démocraties libérales

Mais leur profil intrigue. Comme leur nom l’indique mal, ces hackers veulent défendre les démocraties libérales occidentales. « Nous sommes un groupe de personnes qui ont une dent contre les gouvernements autoritaires et corrompus », détaillent-ils dans un thread posté à la fin octobre sur Raidforums.

Ils mentionnent ainsi leur exaspération des cyberattaques chinoises. Autre sujet de mécontentement : le soutien de Beijing à la Corée du Nord. Ils s’indignent enfin du sort réservé à la minorité ouïghoure. Sur Github, le groupe résume le périmètre de ses activités entre journalisme, hacktivisme et cybersécurité.

Cherchant la notoriété, AgainstTheWest se plie volontiers au jeu de l’interview. Comme celle publiée par le site Databreaches.net au début du mois d’avril. La personne interrogée affirme que le groupe rassemble six anciens membres de services de renseignement regroupés autour de Pascal. Un prénom français, qui laisse suggérer un lien entre le groupe et la France. Tout comme l’utilisation, avec parcimonie, de quelques mots de la langue de Molière, comme « merci ».

Le tournant de l’invasion russe

Sans surprise, l’invasion russe de l’Ukraine va donner du grain à moudre à AgainstTheWest. Le groupe prétend ainsi s’être offert les cybercriminels du «

», qui venait d’annoncer avoir rejoint le camp russe. Fait plutôt inhabituel, les hackers indiquent alors avoir transmis les données des cybercriminels du CoomingProject aux aux autorités françaises compétentes, là encore un lien avec la France.

Les hackers revendiquent également de nombreuses escarmouches cyber lancées après le début des opérations militaires. AgainstTheWest partage ainsi de nouvelles fuites de données ciblant des entreprises et des administrations russes issues de son opération « Ruble »… le rouble, c’est-à-dire la monnaie russe. Les hackers assurent avoir aussi mis la main sur des informations compromettantes à propos de groupes de hacking chinois et russes. Ils publient même un dox d’un soi-disant membre de Killnet, ce collectif de hackers pro-russes.

Autant de faits d’armes qui prouvent, pour Cyberint, qu’il s’agit des hacktivistes « les plus intéressants » de ces derniers mois. « Leurs capacités les positionnent comme l’un des meilleurs à ce jour» , résume cette entreprise dans une publication.

Pourtant, d’autres chercheurs sont bien plus dubitatifs sur l’action d’ATW. La firme de cybersécurité Checkpoint s’interroge ainsi sur la réalité des piratages menés. « Une vérification plus approfondie révèle que pour de nombreuses affirmations, il n’y a pas de preuves solides à part des captures d’écran très génériques qui proviendraient prétendument des organisations violées », remarque l’entreprise. La société Socradar se demande également si le groupe ne remettait pas en ligne d’anciennes fuites pour se faire mousser.

Goût du mystère

Une controverse qui n’a pas dû déplaire à ce groupe, qui maîtrise clairement le marketing de l’intrigue. Il a ainsi choisi comme avatar l’effigie de Max Headroom, un clin d’œil au clip Rap God d’Eminem. Mais cette série de science-fiction des années 1980 est toutefois plus connue aujourd’hui pour un mystérieux hack. Un homme portant un masque à l’effigie de ce personnage d’une série était brièvement apparu en 1987 à l’écran d’une télévision locale de Chicago. Quant à la première adresse de messagerie mentionnée, [email protected], elle cache un message ironique en mentionnant une URL devenue une légende du web.

Et à propos de Pascal, présenté comme foudroyé par un cancer en mars, le porte-parole du groupe précise de manière étrange: « Nous ne sommes pas sûrs que cela soit la vérité car seuls ses parents nous ont dit qu’il était décédé. » Les hackers ont ensuite affirmé dans un message, depuis supprimé, être un groupe affilié à un État. Ce qui serait plutôt surprenant, si c’était vrai. Les hackers ont enfin annoncé plusieurs fois l’arrêt de leurs activités, comme dans le message (ci-dessous) à la mi-avril sur Telegram.

Mais plus d’un mois plus tard, à tort ou à raison, une nouvelle fuite visant le GRU, le renseignement militaire russe, vient pourtant de leur être récemment

. « AgainstTheWest ou BlueHornet n’existe plus. Cependant, je travaille moi-même maintenant pour le compte de deux agences de renseignement en Europe », assure pourtant à Numerama la personne qui gère la boîte mail d’ATW.

Comme le relevait Aaron De Vera dans sa newsletter, les spécialistes de la cybersécurité peuvent être circonspects quand un groupe de soi-disant hacktivistes émerge d’un coup au milieu de nulle part. « Mais avec AgainstTheWest, il y a peut-être un soupçon d’authenticité », ajoutait-il. À ce titre, les messages parfois déroutants du groupe plaident plutôt en faveur de la thèse d’idéalistes. Certes doués, mais restant des amateurs.

SOURCE: Cyberguerre

Qui a piraté Microsoft, Nvidia, Samsung, LG Electronics et d’autres entreprises en quelques mois

Des chercheurs en cybersécurité enquêtant sur une série de piratages contre des entreprises technologiques, dont Microsoft Corp. et Nvidia Corp., ont retracé les attaques jusqu’à un jeune de 16 ans vivant dans la maison de sa mère près d’Oxford, en Angleterre. Quatre chercheurs enquêtant sur le groupe de piratage Lapsus$, au nom des entreprises qui ont été attaquées, ont déclaré qu’ils pensaient que l’adolescent était le cerveau derrière la récente série d’attaques contre les entreprises technologiques. Lapsus$ a dérouté les experts en cybersécurité alors qu’il s’est lancé dans une vague de piratages de haut niveau. La motivation derrière les attaques n’est toujours pas claire, mais certains chercheurs en cybersécurité disent croire que le groupe est motivé par l’argent et la notoriété.

Lapsus$ est un nom qui a gagné en visibilité du fait des cibles de haute valeur qu’il a pris pour cible : parmi les noms les plus significatifs figurent Samsung, Nvidia, Ubisoft, LG Electronics (deux fois) et Vodafone; il s’agit donc principalement des entreprises évoluant dans le secteur de la tech, au sens large. Et dernièrement, Lapsus$ a attaqué Microsoft, en lui dérobant des portions de code source.

Microsoft a expliqué que le groupe de cybercriminels a concentré ses efforts d’ingénierie sociale pour recueillir des connaissances sur les opérations commerciales de leur cible. Ces informations comprennent des connaissances intimes sur les employés, les structures d’équipe, les services d’assistance, les flux de travail de réponse aux crises et les relations de la chaîne d’approvisionnement. Des exemples de ces tactiques d’ingénierie sociale incluent le spam d’un utilisateur cible avec des invites d’authentification multifacteur (MFA) et l’appel du service d’assistance de l’organisation pour réinitialiser les informations d’identification d’une cible.

Microsoft Threat Intelligence Center (MSTIC) évalue que l’objectif de Lapsus$ est d’obtenir un accès élevé grâce à des informations d’identification volées qui permettent le vol de données et des attaques destructrices contre une organisation ciblée, entraînant souvent une extorsion. Les tactiques et les objectifs indiquent qu’il s’agit d’un acteur cybercriminel motivé par le vol et la destruction.

Les actions de Lapsus$ n’ont pas été anodines pour les entreprises touchées. Le code source de plusieurs applications clés de Microsoft (son moteur de recherche Bing, son assistant virtuel Cortana, son outil cartographique Bing Maps) a été diffusé. Pour Nvidia, ce sont des informations sur ses cartes graphiques actuelles et futures et certaines technologies qui ont été exposées.

Sans doute pour empêcher les hackers de les faire chanter en s’appuyant sur ces données, Nvidia aurait riposté en se faufilant dans le système du pirate et en chiffrant les données volées. C’est ce qu’affirme une publication sur le compte twitter de Vx-underground (qui évolue dans la Threat Intelligence - une discipline basée sur des techniques du renseignement, qui a pour but la collecte et l’organisation de toutes les informations liées aux menaces du cyberespace, afin de dresser un portrait des attaquants ou de mettre en exergue des tendances), captures d’écran à l’appui :

« Le groupe d’extorsion LAPSU$, un groupe opérant en Amérique du Sud, affirme avoir pénétré par effraction les systèmes de NVIDIA et exfiltré plus de 1 To de données propriétaires. LAPSU$ affirme que NVIDIA a effectué un piratage et déclare que NVIDIA a réussi à attaquer ses machines à l’aide d’un ransomware ».

Mais les hackers ont déclaré disposer d’une sauvegarde des données, rendant ainsi vains les efforts de Nvidia : « Heureusement, nous disposions d’une sauvegarde. Mais pourquoi pensaient-ils qu’ils pouvaient se connecter à notre machine privée et installer un ransomware ? »

L’un des cerveaux de l’affaire pourrait avoir 16 ans

La police de la ville de Londres a arrêté sept adolescents en raison de leurs liens présumés avec un groupe de piratage qui serait le groupe récemment prolifique Lapsus$ : « La police de la ville de Londres a mené une enquête avec ses partenaires sur les membres d’un groupe de piratage. Sept personnes âgées de 16 à 21 ans ont été arrêtées dans le cadre de cette enquête et ont toutes été libérées sous enquête. Nos enquêtes restent en cours », a déclaré l’inspecteur-détective Michael O’Sullivan de la police de la ville de Londres dans un communiqué.

Un jeune de 16 ans d’Oxford est soupçonné d’être l’un des chefs du gang de cybercriminalité Lapsus$. Avec son surnom en ligne, “Breachbase” ou “White”, l’adolescent a gagné l’équivalent de 14 millions de dollars en Bitcoin à ce jour. Il n’a pas été précisé si celui qui est décrit comme la tête pensante du groupe figure parmi les sept interpellés.

“Breachbase” ou “White” a été victime de doxxing (une pratique consistant à rechercher les informations sensibles de quelqu’un pour les publier sur Internet. Les pirates y ont recours pour se venger d’internautes, les harceler ou les faire chanter) sur un site Web pirate par son partenaire commercial après un différend entre eux. Les pirates ont révélé son nom, son adresse, des photos sur les réseaux sociaux et ont également publié une biographie de sa carrière de pirate.

L’administrateur de LAPSUS$, “Breachbase” ou “White”, était supposé verser à l’administrateur de Doxbin “KT” plus de 25 000*$ pour retirer son dox de son site et diffuser de la désinformation sur sa véritable identité. Voici la conversation et le motif de la publication.

4e56a5c4-cffa-407c-9747-ae68c5eb66ee-image.png

066efe43-cdbc-47d1-8997-78682dd1674c-image.png

Les chercheurs soupçonnent l’adolescent d’être à l’origine de certains des principaux piratages effectués par Lapsus$, mais ils n’ont pas été en mesure de le lier de manière concluante à tous les piratages revendiqués par Lapsus$. Les cyber-chercheurs ont utilisé des preuves médico-légales provenant des hacks ainsi que des informations accessibles au public pour lier l’adolescent au groupe de piratage.

Les chercheurs en cybersécurité suivent “White” depuis près d’un an et l’ont lié à Lapsus$ et à d’autres incidents de piratage. L’adolescent a commis de multiples erreurs qui ont aidé les chercheurs à suivre son activité sur les comptes en ligne.

Allison Nixon, responsable de la recherche à la société d’enquête sur la cybersécurité Unit 221B, a déclaré: « Nous avons son nom depuis le milieu de l’année dernière et nous l’avons identifié avant le doxxing ». Et d’ajouter : « Nous l’avons observé sur ses exploits tout au long de 2021 ».

BBC News indique avoir parlé au père de l’adolescent, qui n’était apparemment pas au courant de son implication dans le groupe : « Je n’avais jamais entendu parler de tout cela jusqu’à récemment. Il n’a jamais parlé de piratage, mais il est très doué en informatique et passe beaucoup de temps sur l’ordinateur », a déclaré le père, selon les informations de la BBC. « J’ai toujours pensé qu’il jouait. Nous essaierons de l’empêcher d’utiliser des ordinateurs ».

Le récit livré par le média anglophone surprend du fait de l’âge de celui que l’on présente comme la tête pensante de l’un des groupes les plus médiatisés ces dernières semaines. Mais cette particularité n’est pas forcément rare : au sein du collectif LulzSec, qui s’était fait connaître en 2011 avec diverses intrusions informatiques, certains membres n’avaient pas 20 ans.

Un autre membre de Lapsus$ est soupçonné d’être un adolescent résidant au Brésil, selon les enquêteurs. Une personne enquêtant sur le groupe a déclaré que les chercheurs en sécurité avaient identifié sept comptes uniques associés au groupe de piratage, ce qui indique qu’il y a probablement d’autres personnes impliquées dans les opérations du groupe.

L’adolescent est si doué pour le piratage (et si rapide) que les chercheurs ont d’abord pensé que l’activité qu’ils observaient était automatisée, a déclaré une autre personne impliquée dans la recherche.

Lapsus$ a publiquement nargué ses victimes, en divulguant son code source et ses documents internes. Lorsque Lapsus$ a révélé qu’il avait réussi à entrer par effraction dans Okta Inc., il a plongé l’entreprise dans une crise de relations publiques.

Pour mémoire, Okta est une entreprise américaine propose des solutions de gestion d’accès sécurisé (authentification) à des serveurs en ligne à ses clients. Son activité relève donc de la cybersécurité et de la protection. Parmi ses clients, on retrouve les français Engie, Foncia, ou encore La Croix Rouge française. Un piratage de ses systèmes, qui sont eux-mêmes chargés d’en sécuriser des centaines d’autres, pourrait donc avoir des répercutions majeures.

Okta a échangé avec Lapsus$ par communiqués de presse interposés, entre le 20 et le 22 mars. Tentant dans un premier temps d’éteindre l’incendie, l’entreprise a reconnu, dans son plus récent communiqué qu’une partie de ses clients avait bien été affectée.

« Après une enquête approfondie, nous en avons conclu qu’un petit pourcentage de clients, approximativement 2,5%, ont potentiellement été affectés, et dont les données ont été vues ou manipulées. Nous avons identifié ces clients et les avons contactés », a déclaré David Bradbury, directeur des ventes d’Okta, dans un communiqué publié le 22 mars. Cela représente, sur les 15 000 clients revendiqués par l’entreprise, au moins 375 d’entre eux.

17f45af7-6922-4581-b9a2-b805926ed17c-image.png

Lapsus$ est même allé jusqu’à rejoindre les appels Zoom des entreprises dont ils ont forcé l’accès, où ils ont provoqué des employés et des consultants qui ont tenté de colmater les brèches de leur piratage.

Quoiqu’il en soit, sur sa page Telegram, Lapsus$ a déclaré le 23 mars : « Certains de nos membres ont des vacances jusqu’au 30/3/2022. Nous pourrions être silencieux pendant quelques temps. Merci pour votre compréhension - nous essaierons de divulguer des trucs dès que possible ». Le 25 mars, Lapsus$ a annoncé l’arrivée d’un nouveau modérateur de chat.

23c6c54c-4317-4e79-bec4-bf2d216aa9a7-image.png

Source : securite.developpez.com

Le cybergang AvosLocker a ajouté à son arsenal d’attaques une version Linux de son ransomware. Il cible les serveurs sur lesquelles les hyperviseurs ESXi de VMWare sont installés. Avec à la clé a déjà des victimes et des demande de rançon atteignant le million de dollars.

Les machines virtuelles ont la cote auprès des pirates. On comprend pourquoi car une seule commande malveillante ciblant cet environnement ESXi de VMware chiffre rapidement des données serveurs sur lesquelles elles sont installées. Et une belle opportunité pour les cybergangs de maximiser les gains. Ils sont ainsi nombreux à l’avoir compris et ont depuis quelques mois conçu des variantes de leurs ransomwares pour s’en prendre aux serveurs hébergeant des hyperviseurs ESXi. C’est le cas par exemple de Babuk, DarkSide, Mespinoza, RansomExx/Defray ou encore dernièrement de REvil.

Dans son sillage, il faudra aussi maintenant compter sur AvosLocker, un groupe de cybercriminels apparu dans le courant de l’été dernier qui n’hésite pas à faire sa publicité sur les forums du dark net pour trouver des affiliés. Positionné sur le juteux créneau du RaaS (Ransomware As A Service),

AvostLocker a lancé en octobre dernier des variantes de ses rançongiciels (

). Le groupe de chercheurs en sécurité MalwareHunterTeam a expliqué qu’AvosLocker avait commencé à utiliser le cryptolocker Linux à partir de novembre 2021.

Une version Linux d’un ransomware taillée ESXi

Pour rappel, ESXi est l’hyperviseur de type 1 de VMware pour créer et exécuter des machines virtuelles. Il s’installe directement au niveau matériel d’un serveur hôte pour gérer plusieurs VM clientes et partager avec elles des ressources virtualisées (mémoire, capacités de calcul…). « La raison pour laquelle la plupart des groupes de ransomwares ont mis en oeuvre une version basée sur Linux de leur ransomware est de cibler spécifiquement ESXi », affirme Fabian Wosarn, CTO d’Emsisoft.

Une fois lancé sur un système Linux, AvosLocker stoppera toutes les machines virtuelles gérées par ESXi sur un serveur à l’aide d’une seule commande. Une fois qu’il tourne sur un système compromis, le ransomware ajoute l’extension .avoslinux à tous les fichiers chiffrés et les notes de rançons sont affichées. Ces dernières précisent de ne pas éteindre les systèmes pour éviter la corruption de fichiers et redirigent vers un lien Tor pour payer une rançon. Cette dernière peut s’avérer particulièrement salée : selon BleepingCOmputer au moins une victime s’est vue demander de régler 1 million de dollars.

Article rédigé par Dominique Filippone (Chef des actualités LMI) - le 12 Janvier 2022

SOURCE: Le monde informatique

[troll]
0662f25c-0374-4df9-a51e-6f50c4202502-image.png
[/troll]

Le gouvernement Suisse ne veut pas gérer l’identité numérique des citoyens, soit ils ne savent pas comment, soit ils savent très bien pourquoi.
Les Suisses ont encore des fichiers avec des cartes, finalement, ils vont devenir l’avant-garde de la sécurité :lol:

L’homme d’affaires Carlos Guerrero a notamment servi d’intermédiaire entre l’entreprise italienne Hacking Team et des autorités mexicaines.

7b9cf3b9-a2ad-4d74-bce2-a24c611055ae-image.png
Une publicité réalisée pour l’entreprise Hacking Team. HACKING TEAM

C’est un développement rare dans l’industrie de la vente de logiciels espions. Mardi 15 février, le département de la justice des Etats-Unis a annoncé qu’un homme d’affaires mexicain avait plaidé coupable dans un dossier impliquant la commercialisation d’outils de surveillance. Carlos Guerrero était notamment soupçonné de contrôler un réseau d’entreprises au Mexique et aux Etats-Unis, lui permettant de servir d’intermédiaire entre des vendeurs de logiciels espions et leurs clients, le plus souvent étatiques.

Selon le communiqué de la justice américaine, l’homme d’affaires a notamment, en 2014 et 2015, vendu à des autorités locales mexicaines des outils de surveillance pour le compte de l’entreprise de sécurité informatique italienne Hacking Team. Carlos Guerrero savait, selon un document judiciaire, que le logiciel espion qu’il vendait ne servait pas uniquement à assister les forces de l’ordre dans des procédures judiciaires – ce que les entreprises de ce secteur promettent depuis des années – mais pouvait être détourné à des fins d’espionnage illégal.

L’homme d’affaire a notamment « aidé le maire d’une ville de l’Etat mexicain de Morelos à accéder sans autorisation aux comptes Twitter, Hotmail et iCloud d’un rival politique », selon l’accord de reconnaissance de culpabilité. Carlos Guerrero est également accusé d’avoir utilisé lui-même, avec un de ses partenaires, des outils de Hacking Team pour écouter les conversations téléphoniques d’un de ses concurrents opérant au Mexique et aux Etats-Unis. Ses sociétés commerciales ont également servi d’intermédiaire pour vendre des outils de surveillance commercialisés par d’autres entreprises privées, dont une société israélienne non identifiée publiquement. Le suspect, dont la peine doit encore être déterminée par un juge, encourt jusqu’à cinq ans de prison et 250 000 dollars d’amende (environ 220 000 euros).

L’entreprise Hacking Team, qui a depuis cessé ses activités, a été en 2015 au cœur d’un scandale levant le voile sur l’industrie de la surveillance privée. A la suite d’un piratage, une vaste quantité de données confidentielles et d’e-mails internes à l’entreprise avait été publiée sur Internet. Ces documents montraient que l’entreprise italienne, qui développe des logiciels espions à destination des Etats, avait vendu ses outils à des gouvernements régulièrement accusés de violations des droits de l’homme. A l’époque, plusieurs ONG avaient appelé à renforcer le cadre légal entourant le commerce international de ces outils, soulignant qu’ils étaient régulièrement détournés pour espionner des opposants politiques, journalistes et militants humanitaires.

Une étape symbolique

Les autorités mexicaines ont régulièrement été épinglées pour l’usage abusif qu’elles faisaient de tels logiciels. En juillet 2021, l’enquête des médias participant au « Projet Pegasus » a, par exemple, révélé qu’en 2016 et 2017 les numéros de téléphone d’au moins cinquante personnes de l’entourage de l’opposant et futur président Andres Manuel Lopez Obrador avaient été ciblés par un autre logiciel, Pegasus, en vue d’une potentielle tentative d’infection.

Pour certains experts, le dossier Carlos Guerrero est une étape dans la lutte contre les utilisations abusives des logiciels de surveillance. « Je parie que quelques distributeurs de logiciels espions vont très mal dormir cette nuit, et réfléchiront à deux fois avant de prendre un vol pour les Etats-Unis dans les prochains temps », s’est félicité auprès du magazine Vice John Scott-Railton, chercheur auprès du laboratoire canadien Citizen Lab, qui observe cette industrie depuis plusieurs années.

« Ce plaider-coupable va aider à endiguer la prolifération des outils numériques utilisés pour la répression. C’est une avancée pour la sécurité numérique des citoyens nord-américains et mexicains », a déclaré, mardi 15 février, le procureur californien Randy Grossman. Ce développement judiciaire intervient par ailleurs alors que les autorités américaines ont récemment infligé un camouflet à NSO Group, l’entreprise israélienne qui commercialise le logiciel Pegasus. Le 3 novembre, le département du commerce a placé la société sur une liste noire d’entreprises soumises à d’importantes restrictions en matière d’exportations et d’importations.

Source : lemonde.fr

“Certaines grandes puissances militaires mondiales fabriquent aussi des bombes nucléaires, incitent à la guerre, assassinent avec des drones, trichent, mentent tout en essayant de nous faire croire que c’est pour notre bien.”

Rien qu’à voir notre pays qui est tous simplement classé 3 ème des vendeurs d’armes au monde (rien que ça).
On est fort pour voir chez notre voisin mais pas capable de voir ce qui se passe sous notre nez (ou tous simplement hypocrite à souhait).

oh non notre dette va encore exploser text alternatif

L’Europe est à la recherche d’hackers éthiques. Des récompenses allant jusqu’à 5 000 EUR sont disponibles pour la découvertes de failles de sécurité dans LibreOffice, LEOS, Mastodon, Odoo et CryptPad, des solutions open source utilisées par les services publics dans toute l’Union européenne.

Un nouvel ensemble de primes de bogues a été lancé le 13 janvier en utilisant la plateforme de primes de bogues Intigriti. Au total, un montant de 200 000 euros a été financé par le Bureau du programme Open Source de la Commission européenne (EC OSPO).

Les chercheurs sont appelés à trouver des failles de sécurité telles que les fuites de données personnelles, l’élévation horizontale/verticale des privilèges et SQLi. La récompense la plus élevée sera de 5 000 EUR pour les vulnérabilités exceptionnelles et un bonus de 20 % si le correctif est également fourni.

Source : programmez.com