Bulletin d’information CYBER de votre CSIRT du 31/05/2024

Cellule de réponses aux incidents de sécurité

Dans ce bulletin d’informations, nous vous présentons les dernières avancées dans la lutte contre la cybercriminalité. L’opération Endgame, menée par plusieurs pays, a permis de perturber les activités des botnets et des droppers, tandis qu’Europol a réussi à démanteler LabHost, une plateforme de phishing majeure. En France, un gang de cybercriminels a été jugé pour avoir escroqué plus de 1 800 personnes. Nous aborderons également les conséquences des cyberattaques à Saint-Nazaire et en Nouvelle-Calédonie, ainsi que les mesures prises pour renforcer la sécurité informatique. Enfin, nous vous parlerons de deux étudiants qui ont piraté un million de machines à laver et de l’arrestation de l’administrateur chinois du botnet 911 S5.

En bref…

Des perquisitions, des arrestations et des serveurs démantelés : L’opération Endgame perturbe les activités des botnets et des droppers

L’opération Endgame a eu lieu entre le 27 et le 29 mai 2024. Cette opération, la plus grande jamais menée contre les botnets, visait à perturber les services criminels en ciblant des droppers, des outils pirates qui permettent aux criminels de contourner les mesures de sécurité et de déployer des programmes nuisibles, tels que des ransomwares. L’opération a été dirigée par la France, l’Allemagne et les Pays-Bas, avec le soutien d’Eurojust, des États-Unis et de plusieurs autres pays et partenaires privés. Les actions coordonnées ont conduit à 4 arrestations, 16 perquisitions et plus de 100 serveurs démantelés ou perturbés. Plus de 2 000 domaines sont désormais sous le contrôle des forces de l’ordre. Cette opération a eu un impact significatif sur l’écosystème de nombreuses organisations cybercriminelles, car les droppers, bien qu’ils ne causent généralement pas de dommages directs, sont cruciaux pour l’accès et la mise en œuvre de logiciels malveillants sur les systèmes affectés. Ils représentent une pierre angulaire dans le fonctionnement du Ransomware as a Service (RaaS).
Sources:
https://www.lemonde.fr/pixels/article/2024/05/30/operation-endgame-europol-mene-une-action-internationale-contre-les-logiciels-malveillants_6236347_4408996.html
https://www.silicon.fr/operation-endgame-europol-attaque-botnets-479043.html
https://krebsonsecurity.com/2024/05/operation-endgame-hits-malware-delivery-platforms/
https://www.zdnet.fr/actualites/internet/quatre-arrestations-suite-a-endgame-une-vaste-operation-policiere-contre-cinq-droppers-392274.htm
https://www.zataz.com/operation-endgame-une-frappe-mondiale-contre-les-botnets-et-la-cybercriminalite/

Les forces de l’ordre de 19 pays unissent leurs efforts pour mettre fin à LabHost, une plateforme de phishing majeure

L’opération Endgame n’a pas été la seule à donner des résultats. Europol, en collaboration avec les forces de l’ordre de 19 pays, a réussi à démanteler l’une des plus grandes plateformes de phishing-as-a-service (PaaS), LabHost. Entre le 14 et le 17 avril, 70 perquisitions ont été menées, aboutissant à 37 arrestations, dont 4 au Royaume-Uni. Ces individus seraient liés à l’exploitation des différents sites web affiliés à LabHost. Suite aux perquisitions, la police a mis hors ligne tous les sites web recensés ayant un lien avec le réseau cybercriminel. Environ 2 000 pirates informatiques utilisaient LabHost pour accéder aux informations personnelles de leurs victimes grâce à des attaques de phishing. Au moins 70 000 Britanniques auraient été piégés, et LabHost aurait obtenu 80 000 numéros de carte de crédit, 64 000 codes PIN et plus d’un million de mots de passe. Cependant, les forces de police restent vigilantes, car il est possible que les hackers derrière la plateforme poursuivent leurs activités sur le dark web ou que les membres non arrêtés remettent leurs outils en ligne.
Sources:
https://siecledigital.fr/2024/04/19/europol-met-hors-ligne-une-plateforme-dhameconnage-utilisee-par-des-milliers-de-cybercriminels/

Arnaque au faux support technique : Des peines allant jusqu’à huit ans de prison requises

Un gang de cybercriminels, opérant entre Montpellier et la Tunisie, a escroqué plus de 1 800 personnes, principalement âgées, pour un préjudice total d’environ 2 millions d’euros. Leur méthode consistait à bloquer l’ordinateur de la victime et à lui proposer d’appeler un faux centre d’assistance pour résoudre le problème, puis à lui facturer des prestations inutiles. Le parquet de Paris a requis des peines allant de six à huit ans de prison contre les quatre principaux prévenus, lors d’un procès qui a duré une dizaine de jours. Le gang utilisait un réseau complexe de sociétés pour faire transiter les fonds détournés et blanchir l’argent. Le chef supposé du gang n’a pas été arrêté et est probablement en Tunisie. Le ministère public a justifié la sévérité des peines requises par le nombre de victimes, le montant du préjudice et la nécessité d’une sanction préventive pour décourager de futurs cybercriminels.
Sources:
https://incyber.org/article/france-six-huit-ans-prison-requis-pour-reseau-arnaque-support-technique/

Plus généralement

Les conséquences de la cyberattaque de Saint-Nazaire : des mois de récupération et des coûts élevés

Un mois et demi après la cyberattaque de la Ville de Saint-Nazaire et de l’Agglomération, la remise en route des outils numériques se fait progressivement. Les audits techniques ont révélé l’ampleur de l’attaque et les dégâts commis par le groupe Lockbit, qui a réussi à passer à travers les mesures de sécurité en craquant un mot de passe associé à une adresse électronique technique. L’enquête judiciaire est toujours en cours, et bien que les audits n’aient révélé aucune fuite de données jusqu’à présent, Lockbit a indiqué qu’ils publieront les données volées plus tard. La situation s’améliore chaque semaine, mais un retour à la normale complet prendra plusieurs mois et engendrera des coûts supplémentaires.
Sources:
https://www.zataz.com/cyberattaque-retablissement-progressif-pour-la-ville-de-saint-nazaire/

Cyberattaque en Nouvelle-Calédonie : les conséquences et la réponse du gouvernement

le 21 mai, peu après l’annonce de la visite d’Emmanuel Macron dans l’archipel, la Nouvelle-Calédonie a été victime d’une cyberattaque par déni de services distribués (DDoS).
Cette attaque, qui visait à saturer les infrastructures du réseau calédonien, a été stoppée et n’aura pas de conséquences dans la durée, selon l’Agence française de sécurité informatique (Anssi). Le parquet de Paris s’est saisi de l’enquête, et la section de lutte contre la cybercriminalité est en cours d’analyse de la situation. Le Sénat a adopté une proposition de loi visant à renforcer l’arsenal de lutte contre les ingérences étrangères, en réponse à cette cyberattaque et à l’influence dénoncée de l’Azerbaïdjan en Nouvelle-Calédonie.
Sources:
https://www.francetvinfo.fr/france/nouvelle-caledonie-iles-loyaute/cyberattaque-en-nouvelle-caledonie-le-parquet-de-paris-se-saisit-de-l-enquete_6559436.html
https://www.undernews.fr/hacking-hacktivisme/cyberattaque-contre-les-infrastructures-en-nouvelle-caledonie.html
https://www.lemonde.fr/politique/article/2024/05/23/le-senat-adopte-une-proposition-de-loi-pour-lutter-contre-les-ingerences-etrangeres_6234922_823448.html
https://www.lemonde.fr/politique/article/2024/05/23/le-senat-adopte-une-proposition-de-loi-pour-lutter-contre-les-ingerences-etrangeres_6234922_823448.html

Un parlementaire français sur cinq victime de fuites de données : une étude appelle à de meilleures pratiques en matière de cybersécurité

Une étude menée par Proton, en partenariat avec Constella Intelligence, a révélé que les informations personnelles d’un parlementaire français sur cinq ont été exposées sur le Dark Web. Les adresses e-mail des victimes ont été exposées 1 306 fois, et un parlementaire a subi plus de 137 fuites de données. En plus des adresses e-mail, 320 mots de passe, 22 numéros de téléphone et 30 adresses postales de parlementaires ont également été piratés et diffusés en ligne. Bien que ces chiffres puissent sembler alarmants, ils sont relativement faibles par rapport à d’autres pays européens, tels que le Royaume-Uni, où deux tiers des responsables politiques ont vu leurs informations personnelles fuiter sur le Dark Web. L’étude a également révélé des disparités au sein de la classe politique française, avec un tiers des sénateurs ayant été victimes de fuites de données, contre seulement 9 % des députés.
Sources:
https://www.bfmtv.com/tech/cybersecurite/166-parlementaires-francais-ont-vu-leurs-donnees-personnelles-etre-piratees-et-diffusees-en-ligne_AV-202405300016.html
https://www.20minutes.fr/high-tech/by-the-web/4093687-20240530-cybercriminalite-donnees-dizaines-deputes-senateurs-francais-fuite-dark-web

Pour aller plus loin :

Deux étudiants piratent un million de machines à laver grâce à une faille de sécurité

Deux étudiants de l’université de Santa Cruz ont découvert une faille de sécurité dans l’application mobile de la société CSC ServiceWorks, qui leur a permis de lancer des cycles de lavage gratuitement sur plus d’un million de machines à laver en Europe et en Amérique du Nord. La faille a été détectée sur l’application mobile de l’entreprise, permettant aux étudiants de recharger leur compte, de payer et de lancer un cycle de lavage sans dépenser d’argent. Les étudiants ont alerté l’entreprise, mais celle-ci n’a pas répondu à leurs messages et n’a pas corrigé la faille, se contentant d’effacer les millions de dollars ajoutés sur leur compte. Les étudiants ont ensuite envoyé leurs conclusions au centre de coordination CERT de l’université Carnegie Mellon pour aider à alerter les entreprises sur les failles de sécurité.
Sources:
https://incyber.org/article/deux-etudiants-revelent-une-faille-dans-une-application-de-laveries-automatiques/
https://www.20minutes.fr/high-tech/4092045-20240521-deux-etudiants-americains-decouvrent-bug-permet-utiliser-gratuitement-million-lave-linges

L’administrateur chinois du botnet 911 S5 arrêté : encore une opération internationale réussie !

Le département du Trésor des États-Unis a récemment sanctionné un réseau de cybercriminalité composé de trois ressortissants chinois et de trois entreprises basées en Thaïlande pour leur implication dans le botnet 911 S5. Ce botnet, qui contrôlait un service de proxy résidentiel, a compromis environ 19 millions d’adresses IP dans le monde entier. Les cybercriminels ont utilisé ces adresses IP pour soumettre des demandes frauduleuses liées à la loi sur les soins de santé d’urgence et la sécurité économique des coronavirus, entraînant des milliards de dollars de pertes. Le botnet a également été utilisé pour commettre une fraude généralisée à l’aide d’adresses IP résidentielles liées à des ordinateurs compromis et pour faire des menaces à la bombe aux États-Unis.
Le département de la Justice des États-Unis a également inculpé YunHe Wang, un ressortissant chinois de 35 ans, pour avoir créé et géré le botnet 911 S5 de 2014 à 2022. Wang a été arrêté à Singapour et risque une peine maximale de 65 ans de prison s’il est reconnu coupable. Les autorités américaines ont également saisi des actifs d’une valeur d’environ 30 millions de dollars dans le cadre de cette affaire.
Cette opération conjointe entre les États-Unis, Singapour, la Thaïlande et l’Allemagne a permis de perturber 23 domaines et plus de 70 serveurs qui constituaient l’infrastructure principale de 911 S5. Cette action montre l’engagement des gouvernements à travers le monde à lutter contre la cybercriminalité et à protéger les individus et les entreprises contre les menaces en ligne.


Sources:
https://thehackernews.com/2024/05/us-dismantles-worlds-largest-911-s5.html
https://www.bleepingcomputer.com/news/security/us-govt-sanctions-cybercrime-gang-behind-massive-911-s5-proxy-botnet-linked-to-illegitimate-residential-proxy-service/

Des cybercriminels utilisent Dropbox pour voler les identifiants d’employés du secteur financier

Les chercheurs de Kaspersky ont découvert une campagne de phishing ciblée visant des employés du secteur financier. Dans un premier temps, les victimes reçoivent un e-mail provenant d’une adresse légitime d’un cabinet d’audit, dans le but de les rendre moins méfiantes. Ensuite, elles reçoivent une notification de « Dropbox » contenant des liens malveillants vers des archives où les cybercriminels ont déposé des fichiers de phishing destinés à voler leurs informations d’identification. Kaspersky identifie ces attaques comme étant des attaques ciblées.
Sources:
https://www.undernews.fr/hacking-hacktivisme/des-cybercriminels-utilisent-dropbox-pour-voler-les-identifiants-demployes-du-secteur-financier.html

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *