Bulletin d’information CYBER de votre CSIRT du 30/04/2024

Cellule de réponses aux incidents de sécurité

Les cyberattaques sont de plus en plus fréquentes et sophistiquées, ciblant les entreprises et les infrastructures critiques dans le monde entier. Les gouvernements et les organisations doivent être vigilants et prendre des mesures pour se protéger contre ces menaces en constante évolution. Dans ce bulletin d’information, nous examinerons les récentes attaques de ransomware contre l’hôpital de Cannes et les entreprises françaises, ainsi que les efforts déployés par les forces de l’ordre et les entreprises de cybersécurité pour lutter contre la cybercriminalité. Nous discuterons de l’importance de la préparation et de la réaction rapide face aux cyberattaques, comme l’a démontré l’exemple de Mitre. Nous verrons enfin comment les cyberattaques peuvent avoir des conséquences importantes pour les victimes.

En bref…

Cyberattaque à l’hôpital de Cannes : LockBit revendique l’attaque !

Le Centre Hospitalier de Cannes a été victime d’une cyberattaque le 16 avril dernier, revendiquée par le groupe de pirates informatiques LockBit 3.0. L’hôpital fonctionne toujours en mode dégradé et un tiers des opérations non urgentes ont été déprogrammées. Des transferts d’activités ont été réalisés vers d’autres établissements pour assurer la prise en charge des patients. Les autorités compétentes ont désormais une cartographie précise des données dérobées et les organismes de cybersécurités sont en train de réaliser un travail de fond pour analyser l’attaque.
Sources:
https://www.francetvinfo.fr/internet/securite-sur-internet/cyberattaques/cyberattaque-a-l-hopital-de-cannes-l-etablissement-fonctionne-toujours-en-mode-degrade_6492563.html
https://www.zataz.com/le-pirate-de-lockbit-annonce-etre-lauteur-du-piratage-du-ch-de-cannes/

les entreprises et les infrastructures françaises ciblé par Sandworm, 8Base et d’autres groupes de pirates informatiques

Le groupe de pirates informatiques Sandworm a récemment mené une attaque contre une infrastructure de gestion de l’eau en France, mettant en lumière la menace croissante que représentent les cyberattaques pour les infrastructures critiques. Bien que leur cible initiale était une centrale hydroélectrique, ils ont en réalité atteint un moulin. Cette attaque souligne les efforts déployés par les pirates pour perturber et déstabiliser les pays étrangers.
Cette attaque n’est pas un cas isolé, car de nombreuses entreprises et institutions françaises ont également été la cible de pirates informatiques ces dernières semaines. Le nombre d’incidents de cybersécurité visant des structures françaises a connu une augmentation significative, touchant des entreprises de tous les secteurs. Récemment, Sport 2000, une entreprise française renommée dans le domaine du sport, a été victime d’une cyberattaque, mettant en danger les informations personnelles de ses clients. Speedy a également été touchée par une cyberattaque signée par les pirates de 8Base, entraînant l’interruption des services de prise de rendez-vous en ligne et mettant en danger les informations personnelles des clients.
Parmi les autres victimes figurent la mairie d’Albi, la Fédération française de football, le groupe Volkswagen touchant des point de vente en France, etc. Les implications d’une cyberattaque sont vastes et souvent imprévisibles, avec des conséquences potentiellement désastreuses pour la confidentialité et la sécurité des données des clients.
Il est donc crucial que les entreprises et les institutions renforcent leurs mesures de sécurité informatique et restent vigilantes face aux cyberattaques, en particulier les structures dites critiques.
Sources:
https://www.20minutes.fr/societe/4087823-20240423-cyberattaque-mairie-albi-paralysee-attaque-informatique
https://www.20minutes.fr/monde/russie/4087153-20240418-marne-hackeurs-russes-piratent-erreur-moulin-petit-village-francais
https://www.lemonde.fr/pixels/article/2024/04/17/comment-sandworm-les-hackeurs-d-elite-de-l-armee-russe-ont-pirate-un-moulin-francais-en-pensant-attaquer-un-barrage_6228320_4408996.html
https://www.zataz.com/le-piratage-massif-de-volkswagen-une-faille-revelee-plusieurs-annees-apres/
https://www.zdnet.fr/actualites/sport-2000-des-donnees-clients-en-vente-suite-a-une-intrusion-391087.htm
https://www.usine-digitale.fr/article/speedy-france-victime-d-une-cyberattaque-des-donnees-personnelles-compromises.N2211860

Opérations policières en série contre la cybercriminalité en France et en Europe

Les forces de l’ordre et les entreprises de cybersécurité ont récemment mené des opérations de grande envergure contre la cybercriminalité, démontrant leur engagement à protéger les citoyens et les entreprises contre les menaces en ligne.
Europol, en collaboration avec les forces de l’ordre de 19 pays, a réussi à démanteler l’une des plus grandes plateformes de phishing-as-a-service (PaaS) au monde, connue sous le nom de LabHost. Cette plateforme permettait aux cybercriminels d’accéder à des outils leur permettant de pirater les comptes de leurs cibles grâce à des attaques de phishing. Entre le 14 et le 17 avril, 70 perquisitions ont été menées dans le monde entier, aboutissant à 37 arrestations, dont quatre au Royaume-Uni. Les autorités ont également mis hors ligne tous les sites web affiliés à LabHost.
En France, les forces de l’ordre ont également été actives dans la lutte contre la cybercriminalité. Trois plateformes douteuses ont été visées par des opérations policières ces dernières semaines. Un jeune Corse de 26 ans a été arrêté pour avoir géré Fast Scama, un channel Telegram proposant des kits de hameçonnage. Les gendarmes de l’Unité nationale cyber de la gendarmerie ont également saisi le marché noir Cosa Nostra, accessible via le navigateur Tor, qui proposait des ventes de drogues et des services cybercriminels. Enfin, la police a fait fermer SelkiScan, un site qui aurait généré 2,7 millions de faux documents depuis sa création en septembre 2021.
Sources:
https://siecledigital.fr/2024/04/19/europol-met-hors-ligne-une-plateforme-dhameconnage-utilisee-par-des-milliers-de-cybercriminels/
https://www.zdnet.fr/actualites/fast-scama-cosa-nostra-selkiscan-arrestations-en-serie-dans-la-cybercriminalite-francaise-390919.htm
https://www.zdnet.fr/actualites/apres-trois-ans-de-business-douteux-la-plateforme-de-phishing-as-a-service-labhost-demantelee-390859.htm

Plus généralement

Plaintes à la CNIL : un record en 2023 et une année 2024 à risque

La Commission nationale informatique et libertés (Cnil) a publié son bilan annuel d’activité pour l’année 2023, révélant une augmentation record du nombre de plaintes et de violations de données. En effet, la Cnil a enregistré 16 433 plaintes, soit une hausse de 35% par rapport à l’année précédente. De plus, 4 600 violations de données ont été signalées, soit une augmentation de 22% par rapport à l’année précédente.
Ces violations de données sont principalement dues à des cyberattaques, telles que des actes de hameçonnage ou de rançongiciels, qui visent à voler les informations personnelles des internautes. Le début de l’année 2024 a déjà été marqué par des vols massifs de données chez deux prestataires de tiers-payant, Viamedis et Almerys, et chez l’opérateur public France Travail, menaçant potentiellement des millions de Français.
Face à cette menace croissante, la Cnil sera particulièrement vigilante lors des Jeux olympiques et paralympiques organisés à Paris cet été, un événement durant lequel les autorités s’attendent à voir les cyberattaques se multiplier contre des organismes français. La présidente de la Cnil, Marie-Laure Denis, a assuré que toutes les garanties avaient été prises pour assurer la meilleure protection possible des Français, des athlètes et de toutes les personnes présentes en France à cette occasion, tout en respectant les libertés publiques.
Sources:
https://www.20minutes.fr/societe/4087836-20240423-cnil-vol-donnees-personnelles-fait-objet-record-plaintes-2023-notamment-jeux-olympique
https://www.rtl.fr/actu/sciences-tech/un-francais-sur-deux-a-vu-ses-donnees-personnelles-compromises-depuis-debut-2024-7900377227

Les entreprises doivent être prêtes à faire face aux attaques cyber et à réagir efficacement

Les entreprises à travers le monde sont de plus en plus conscientes des dangers du cyberespace, en particulier en ce qui concerne les rançongiciels. Selon Coveware, la part des victimes acceptant de payer une rançon a chuté de 85% au premier trimestre 2019 à seulement 28% aujourd’hui. Cette tendance s’explique en partie par le fait que les entreprises sont mieux préparées à faire face à une attaque de chiffrement et à restaurer leurs opérations depuis des sauvegardes externalisées.
Cependant, en France, de nombreuses petites et moyennes entreprises ne se sentent toujours pas concernées et doivent prendre conscience de la nécessité de se protéger et de savoir réagir.
Mitre montre l’exemple et illustre l’importance d’une réaction rapide et transparente face aux menaces cyber. En janvier 2024, l’entreprise a été victime d’une attaque sophistiquée menée par un groupe de pirates informatiques soutenu par un État. Cependant, Mitre a rapidement détecté l’attaque et a pris des mesures pour contenir les dommages et informer les parties prenantes concernées. Cette réaction rapide et transparente a permis à l’entreprise de minimiser l’impact de l’attaque et de maintenir la confiance de ses clients et partenaires.
En somme, les entreprises doivent être conscientes des dangers du cyberespace et prendre des mesures pour se protéger contre les menaces telles que les rançongiciels. Une réaction rapide et transparente face aux attaques est essentielle pour minimiser les dommages et maintenir la confiance des parties prenantes. L’exemple de Mitre montre que même les entreprises les plus sophistiquées peuvent être victimes d’attaques, mais que la manière dont elles réagissent peut faire toute la différence. Il est donc crucial pour toutes les entreprises, quelle que soit leur taille, de se préparer à faire face aux menaces cyber et de réagir rapidement et efficacement en cas d’attaque.
Sources:
https://www.bleepingcomputer.com/news/security/mitre-says-state-hackers-breached-its-network-via-ivanti-zero-days
https://www.zdnet.fr/actualites/rancongiciel-pourquoi-de-moins-en-moins-dentreprises-payent-390930.htm

Pour aller plus loin :

La cybersécurité, un enjeu crucial pour les entreprises comme Cisco face aux menaces croissantes

Des chercheurs en cybersécurité ont découvert une campagne malveillante ciblant les équipements réseau de plusieurs fournisseurs, dont Cisco, pour déployer des malwares personnalisés et collecter secrètement des données sur des réseaux gouvernementaux. Les dispositifs de protection d’un périmètre réseau, tels que les pare-feu ou VPN, ont été ciblés. Cette campagne, baptisée ArcaneDoor, a été attribuée à un acteur malveillant non documenté jusqu’à présent, UAT4356 ou Storm-1849, qui a déployé deux portes dérobées, Line Runner et Line Dancer, pour mener des actions malveillantes sur la cible.
Cisco a été alerté d’une activité suspecte sur l’un de ses appareils de sécurité adaptatifs (ASA) en janvier 2024, et a ensuite identifié un petit ensemble de clients, tous impliquant des réseaux gouvernementaux à l’échelle mondiale. Les hackers ont exploité deux failles de sécurité jusqu’alors inconnues, ou vulnérabilités zero-day, pour accéder au système. Les routeurs Cisco sont particulièrement vulnérables et ont déjà été ciblés par des cybercriminels agissant pour le compte d’un État.
Les appareils de réseau constituent le point d’intrusion idéal pour les campagnes d’espionnage, en particulier dans les domaines des télécommunications et de l’énergie, qui sont des entités d’infrastructures critiques probablement ciblées par de nombreux gouvernements étrangers. Les deux vulnérabilités critiques ont été corrigées, et il est conseillé d’appliquer les mises à jour de sécurité avant de déconnecter l’équipement pour mener les actions d’investigation et de remédiation. Les entreprises comme Cisco jouent un rôle crucial dans la sécurité des réseaux et la protection des données gouvernementales.
Sources:
https://www.zdnet.fr/actualites/arcanedoor-une-campagne-de-piratage-de-haut-vol-qui-sattaque-a-des-equipements-cisco-391135.htm

Des cyberattaques sophistiquées et d’autres plus simples : des conséquences importantes pour les victimes dans les deux cas.

Les cyberattaques peuvent être simples ou sophistiquées, mais leur impact est tout aussi dévastateur pour les cibles visées. Alors que les attaques simples peuvent toucher des cibles importantes, les attaques sophistiquées peuvent également atteindre des victimes insoupçonnées. Deux exemples récents illustrent cette dichotomie : les perturbations de GPS en Finlande et les cyberattaques contre Israël.

En Finlande, des perturbations de GPS ont été signalées sur toute la frontière orientale du pays, causant des problèmes pour le trafic aérien et les éleveurs de rennes, ainsi que pour le personnel de secours et les médecins. Bien que le gouvernement finlandais n’ait pas encore désigné de responsable, les experts pointent du doigt la Russie, car le signal en cause vient de l’Est et il n’y a que la Russie et la péninsule de Kola à l’Est de la Finlande. De plus, il y a eu des précédents similaires dans le passé, notamment en Norvège et en Suède.
Dans un contexte politique tendu au Moyen-Orient, Israël et l’Iran se livrent une cyberguerre dans laquelle des infrastructures clés telles que les hôpitaux et les organisations gouvernementales sont visées. Depuis le début de la guerre contre le Hamas en octobre 2023, Israël a subi 800 attaques de ce type, soit trois fois plus que l’année précédente sur la même période. Les hackers iraniens utilisent des techniques de phishing pour piéger des soldats israéliens sur des sites de rencontres et prendre le contrôle de leurs ordinateurs. L’Iran a investi massivement dans le domaine numérique pour atteindre son ennemi, tandis qu’Israël développe un « cyberdôme » pour neutraliser les cyberattaques.
Ces deux exemples montrent que les cyberattaques peuvent avoir des conséquences graves sur la sécurité nationale et la vie quotidienne des gens.
Sources:
https://www.francetvinfo.fr/monde/proche-orient/cyberattaques-phishing-cyberterrorisme-l-autre-guerre-entre-israel-et-l-iran_6493718.html
https://www.rfi.fr/fr/europe/20220314-la-finlande-subit-des-perturbations-de-gps-certains-pointent-la-russie-du-doigt
https://www.geo.fr/geopolitique/aviation-brouillages-gps-par-russie-avions-civils-au-dessus-baltique-est-europe-pourrait-mener-a-desastre-kaliningrad-tartu-finnair-220003

Les conséquences des failles zéro day : comment minimiser les risques ?

Les failles de sécurité, en particulier les failles zéro day, représentent une menace importante pour la cybersécurité. Ces vulnérabilités logicielles non découvertes ou non corrigées sont exploitées par les cybercriminels pour lancer des cyberattaques avant que la vulnérabilité ne soit connue ou corrigée. Les conséquences peuvent être graves, allant de l’injection de malware au vol de données en passant par l’installation de ransomware. Pour se protéger, il est nécessaire d’avoir un outil anti-spam fonctionnel et de suivre des pratiques de sécurité rigoureuses telles que la vigilance constante, les mises à jour régulières et l’utilisation de solutions de cybersécurité avancées. Les failles zéro day sont particulièrement difficiles à contrer, mais l’intelligence artificielle est de plus en plus utilisée pour anticiper ces cyberattaques et chercher automatiquement des vulnérabilités encore non détectées.
Sources:
https://www.undernews.fr/reseau-securite/les-failles-zero-day-quelles-sont-leurs-consequences-sur-la-securite-de-votre-messagerie.html

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *