Lutessa

15 attaques d’envergures en 2018

admin
02 May 2019

15 attaques d’envergures en 2018

Analyse des cyber attaques – 2018

L’année 2018 a été forte en émotion pour la cybersécurité. De nombreuses entreprises ont subi des attaques d’envergure :

 

Cybersécurité

 

Ransomware

Le ransomware était un pilier des malware en 2017, ces dernières années, on a vu son nombre continuellement diminuer. Malgré cet important déclin, ce type d’attaque est loin d’avoir entièrement disparu et continue d’être une préoccupation pour la majorité des industries du monde entier.

En accord avec une étude de check point (2019 security report), les acteurs utilisant des ransomware ont développé de nouvelles techniques permettant à des cyber criminelles débutants d’utiliser des ransomware et ainsi abuser de ce piratage très lucratif.

Atlanta Ransomware attaque :

En mars 2018, la ville d’Atlanta aux Etats-Unis s’est vu affecter par un ransomware, infectant de nombreux services de la ville pendant plus d’une semaine. La cour de justice faisait partie de l’un des services infectés, ainsi que de nombreux systèmes de paiements en ligne. Le malware était entré à travers l’un des serveurs FTP et une variété de VPNs. Une rançon de 7,000 dollars à payer en bitcoin a été demandée en échange du déblocage des ordinateurs.

Un total de $2,7 millions a été dépensé par la ville d’Atlanta afin de réparer les dommages dus au ransomware.

Source: Atlanta Journal-Constitution newspaper

Ministère de l’énergie Ukrainienne :

En avril 2018, c’est le ministère de l’énergie Ukrainienne qui a été hacké. Un ransomware a mis hors ligne le site web officiel du ministère de l’énergie et a encrypté l’ensemble des données.

 

Brèches de données

Ces nombreuses brèches de données en 2018 ont été un tournant décisif dans les politiques de données personnelles. Le respect des données privées est devenu un point phare de nombreuses politiques. Avec l’introduction de la RGPD en Mai, les organisations du monde entier ont dû faire en sorte que la protection de leurs données deviennent une priorité absolue, que ce soit au niveau légal et des réglementations, que pour leurs clients et l’image projetée de la marque.

Avec le cloud devenant de plus en plus populaire, les manières de stocker de la data a évolué. Même à travers les services SaaS, ou le cloud storage containers, il est devenu apparent que la sécurité simple sur le cloud provider n’est pas suffisant. Les organisations se doivent d’adopter une responsabilité mutuelle afin de protéger les données et les moyens pour y accéder.

Facebook Data brèche :

En Mars 2018, un report est apparu sur l’affaire Cambridge Analytica. L’entreprise aurait collecté les données personnelles de 50 millions d’utilisateurs Facebook via une application de “personnalité”. Elle aurait récupéré les détails personnels, les profils détaillés ainsi que leurs engagements sur la plateforme sociale.

76% des organisations ont expérimenté une attaque de type phishing lors des 5 dernières années.

Source: 2018 IT Professionals Security Report Survey

Exactis Data brèche :

En Juin, Exactis, une firme Américaine spécialisée en marketing et data analyse s’est vu dérober une database qui s’est ensuite retrouvée sur des accès publics. Au total, on comptabilise 2 terabytes d’informations, incluant des détails personnels, adresses e-mail, adresses physiques, numéros de téléphone et d’autres informations personnelles. On compte les données de 340 millions de citoyens Américains et d’entreprises.

Mariott Hotels Data brèche :

Une brèche massive a affecté le groupe hôtelier Mariott. Cette brèche aura affecté un total de 500 millions de comptes clients. C’est la deuxième plus grande Data brèche ayant jamais eu lieu. On y retrouve des informations plus que sensibles, telles que des numéros de passeports, des informations sur l’arrivée et le départ des clients, des adresses e-mail, des adresses postales, des numéros de téléphone, etc.

 

Mobile Malware

Malgré l’évolution des smartphones, des applications et des développeurs, la menace est toujours présente. La preuve, l’un des plus connus et réputés app stores continue d’avoir des problèmes et peine à se défendre contre les malwares. Et ce, malgré que ses stores continuent perpétuellement à développer leurs cyber défenses. Il existe toujours un taux important d’applications infectées par des malwares. Cela prouve en partie pourquoi les consommateurs et les employés doivent différentier leurs appareils. Les nombreuses attaques de ces dernières années nous confirment la vulnérabilité de nos données sur téléphone.

AdultSine’ Malicious apps :

On a récemment découvert un malware sur Google Play Store qui s’est caché dans plus de 60 game apps, dont la majorité était destinée aux enfants. D’après Google Play’s data, les applications auraient été téléchargées entre 3 et 7 millions de fois. Ce malware générait des pubs inappropriées (contenu pornographique) et spamait l’utilisateur. Il proposait ensuite une fausse application de sécurité, qui récoltait les données des utilisateurs.

Le malware ‘AdultSwine’ aurait été installé 7 millions de fois à travers 60 jeux pour enfants

Source: Check Point Research Blog

Les vulnérabilités de LG :

Il existe deux vulnérabilités récemment découvertes sur les keyboards des smartphones LG. Ces vulnérabilités sont solidaires aux appareils LG (qui comptent comme plus de 20% des smartphones sur le marché Américain). Ces deux vulnérabilités auraient pu être utilisées pour exécuter des codes administrateurs en manipulant les mises à jour du clavier. Actant comme une key logger, le hacker aurait pu compromettre l’ensemble des données du téléphone, mots de passe, messages, mails… Les deux vulnérabilités ont été transmises à LG qui les ont supprimées lors d’un récent patch.

 

Les attaques de crypto monnaie

Malgré la grande chute des crypto monnaies, le crypto-jacking reste très répandu. Contrairement au ransomware, le crypto-jacking offre aux cyber criminelles une manière beaucoup plus simple et sécuritaire d’obtenir des gains d’une organisation. Cela peut prendre des mois avant qu’une organisation ne détecte un malware de crypto-jacking sur leurs serveurs. Pendant ce temps, l’auteur gagne paisiblement ses gains.

Qui plus est, en comparaison au ransomware, le crypto-jacking permet aux hackers de gagner leurs gains avec bien moins de risques. Ils peuvent choisir d’infecter un ordinateur personnel, un site web, ou encore un serveur et cela ne leur prend que très peu de temps afin d’accumuler des gains importants.

Jenkins Miner :

Jenkins Miner est l’une des plus grandes opérations de crypto mining malveillantes jamais vues. Surnommée “Jenkins Miner”, l’opération ciblait de puissants serveurs Jenkins. Le malware utilisait l’hybridation d’un cheval de Troie à accès distant (RAT) et de XMRig. Distribué sur plusieurs mois, le malware de Cryptojacking a ciblé des victimes du monde entier afin d’exploiter leurs ordinateurs et de miner de la crypte-monnaie.

Plus de 20% des organisations sont impactés par des malware de Cryptojacking chaque semaine.

Source: Check Point ThreatCloud

Coinrail piraté :

La monnaie de crypto-monnaie sud-coréenne, Coinrial, a été piratée en Juin, entraînant une chute brutale du prix du bitcoin (-10%). Ce pirate a entraîné la perte d’environ 30% des échanges de cryptos, une perte d’une valeur d’environ 35 millions de dollars ! Il a qui plus est mis en évidence le manque flagrant de sécurité et la faible réglementation des marchés mondiaux de la crypto monnaie.

40% des organisations ont été impactées par des crypto mineurs l’année dernière.

Source: Check Point ThreatCloud

 

Botnets

Un botnet est un réseau de bots (robots), également connu sur le web comme une armée de zombies. C’est un réseau composé d’un grand nombre d’ordinateurs dont un malware a pris possession. En prenant le contrôle de centaines, voire de milliers d’ordinateurs, les botnets ont la capacité d’attaquer des infrastructures lourdes. Les botnets sont habituellement utilisés pour envoyer des pourriels ou des virus, voler des données ou encore réaliser des attaques DDoS. C’est l’une des plus grandes menaces en ligne.

Les prochaines années, avec l’ascension fulgurante de l’IoT, que ce soit dans les entreprises que chez les particuliers, risque d’être rude pour la cyber sécurité. L’idée étant que les hackers puissent utiliser les appareils d’IoT pour engendrer des attaques, et cela s’est déjà produit.

IoTroop’s Attaque :

Fin Janvier 2018, le ‘IoTroop’ Botnet découvert par les chercheurs de Check Point a lancé sa première attaque contre le secteur financier. IoTroop est un botnet spécialement conçu pour l’IoT, il est composé principalement de routeurs domestiques, de téléviseurs, d’enregistreurs numériques et de caméras IP compromis. C’est la première attaque de ce type que l’on a découverte, elle a utilisé 13 000 dispositifs IoT dans 139 pays afin de cibler une organisation financière avec une attaque DDoS, suivie de deux autres attaques contre des cibles similaires dans les 48 heures.

Le Botnet Ramnit aurait infecté plus de 100,000 appareils en seulement 2 mois

Source: Check Point Research

Pyeongchang – Jeux Olympiques d’hiver :

Selon le comité international des jeux Olympiques, une attaque DDoS de grande ampleur aurait réussi à mettre offline le site officiel des J.O d’hiver de Pyeongchang pendant 12 heures. Cela aurait de plus coupé le WiFi et les télévisions dans l’ensemble du stage Olympique. Heureusement, les jeux n’ont pas été interrompus, ils ont cependant dû éteindre le serveur des organisateurs et le site web officiel afin d’éviter des dommages supplémentaires.

49% des organisations ont expérimenté une attaque DDoS ces dernières années.

Source : 2018 IT Professionals Security Report Survey

L’attaque sur les candidats démocrates aux Etats-Unis :

En Juillet 2018, des hackers ont ciblé la campagne de deux candidats démocrates. En utilisant des attaques DDoS, ils ont réussi à couper leurs sites web pendant 21h, empêchant ainsi les personnes de voter et d’avoir accès à des informations clés.

 

Les attaques APT

Au cours des dernières années, un aperçu des attaques commises a démontré que les États et les organisations non étatiques feraient tout leur possible afin d’obtenir des renseignements sur leurs adversaires. De ce fait, les agences gouvernementales sont maintenant sur le qui-vive face à la menace actuelle de la cyberguerre. Les attaques APT sont devenues une arme de prédilection en raison de sa forte impacte, sa difficulté à être repéré, son faible risque d’attribution et de sa rentabilité.

Big Bang APT :

Le Check Point Threat Intelligence Team a récemment découvert le grand retour des attaques APT contre les gouvernementales, particulièrement au Moyen-Orient. Les autorités Palestiniennes ont d’ailleurs été ciblées. Les attaques commencent généralement par l’envoi d’un mail (phishing) dissimulant un malware exécutable. L’une des fonctions principales de ce malware est de prendre un “screenshot” de la machine infectée, les détails de connexions (loggin), voler des documents avec certaines extensions.

Les Etat-Unis et les Royaume-Unis ont blâmé la Russie pour le ransomware NotPetya, qui a causé des milliards de dollars de pertes dans le monde entier.

Source : Check Point Threat Cloud

SiliVacccine :

Lors de recherches exclusives, les chercheurs de Check Point ont révélé des détails alarmants sur un type d’anti-virus développé en Corée du Nord, le SiliVaccine. Un des facteurs étonnant est qu’un des composants clés du code de SiliVaccine est une copie directe du moteur d’analyse d’antiviraux de Trend Micro. Connus pour être envoyés à des journalistes étrangers qui couvrent les activités nord-Coréenne. Les chercheurs ont alors découvert que SiliVaccine avait un comportement très suspect et permettrait de surveiller l’activité des journalistes.

Les relations Russie &  Royaume-Unis :

Les tensions entre la Russie et le Royaume-Unis se sont vues s’intensifier face aux accusations britanniques selon laquelle la Russie aurait empoisonné deux citoyens sur leur propre sol. De ce fait, l’agence national de Cyber Sécurité britannique a averti les acteurs étatiques comme quoi la Russie ciblait les infrastructures critiques du Royaume-Unis en s’infiltrant via les chaînes d’approvisionnement. Bien que l’attribution de l’attaque soit notoirement difficile à émettre, les techniques de l’attaquant semblaient porter les marques distinctives de “Energetic Bear”, un groupe de pirates informatiques Russes liés à de nombreuses attaques sur le secteur de l’énergie depuis 2012.

614 Go de données relatives à l’armement Américains, les capteurs et les systèmes de communication ont été volés à un entrepreneur de la marine Américaine. L’attaque aurait été perpétuée par des Hackers du gouvernement Chinois.

Source : Check Point ThreatCloud