1 juillet 2020
La veille du 1er janvier 2020, la société internationale de change Travelex a été affectée par un ransomware. Les attaquants ont demandé une rançon de 3 millions de dollars en échange du déverrouillage des systèmes critiques du groupe, tout en menaçant de divulguer les données personnelles de ses clients. Travelex a réglé 2,3 millions de dollars pour récupérer ses fichiers.
La propagation globale du coronavirus a inspiré certains cybercriminels utilisant des malwares. Ils ont ainsi joué sur les incertitudes et la peur générées par la pandémie.
Comme un grand nombre d’employés travaillent de chez eux et ont recours à des outils de visioconférence tels que Zoom, une pratique a commencé à émerger. Il s’agit du « ZoomBombing » qui consiste, pour des personnes non invitées, à interrompre des réunions, partager des vidéos inappropriées ou, simplement, « troller » les personnes présentes.
Des chercheurs de CyberArk ont découvert une vulnérabilité dans Microsoft Teams, qui permet à un attaquant de prendre la main sur des comptes en envoyant un GIF ordinaire. Lorsque des individus communiquent sur Teams, l’authentification s’effectue au moyen de deux jetons. Si l’attaquant a accès à ces jetons, il peut lire et envoyer des messages, créer des groupes, ajouter ou supprimer des utilisateurs, etc.
Plusieurs superordinateurs en Europe ont dû être arrêtés après que leur infection par un malware de minage de cryptomonnaies ait été établie. Il s’agit du premier incident connu de ce type impliquant des acteurs externes. Antérieurement, seuls avaient été publiés des incidents durant lesquels des employés avaient installé des mineurs de cryptomonnaies pour leur intérêt personnel.
Les opérateurs de REvil (Sodinokibi) lancent une page d’enchères pour faire peser davantage de pression sur leurs victimes. En plus de les menacer de chiffrer leurs serveurs, ils exfiltrent aussi leurs données pour porter atteinte à la confidentialité d’informations sensibles. Si la victime décide de ne pas payer la rançon, ses données sont publiées sur leur site dédié.
Des attaquants ont eu accès à plusieurs comptes influents sur Twitter en ciblant un petit nombre d’employés pendant une campagne de spearphishing par téléphone. Au moyen des informations collectées, ils ont pu accéder aux systèmes internes et poursuivre leur campagne en ciblant d’autres utilisateurs dotés de privilèges plus élevés.
En août, la NSA et le FBI ont publié un rapport décrivant un nouveau malware développé par le groupe russe Fancy Bear (APT28) et ciblant les systèmes Linux. Le malware, appelé Drovorub, crée une porte dérobée sur le système de la victime pour permettre les transferts de fichiers et l’exécution de commandes arbitraires.
Une attaque par ransomware contre l’hôpital universitaire de Düsseldorf a causé la mort d’une patiente. En conséquence de cette attaque, l’hôpital n’a pas été en mesure d’admettre de nouveaux patients aux urgences. Une femme dont l’état était critique a dû être transférée vers un autre hôpital, plus éloigné. Elle n’a pas survécu.
Le gang Egregor a publié 20 Mo de données supposément liées à Watch Dogs: Legion, le dernier opus de la franchise à succès d’Ubisoft. Sur la base des informations connues, il n’est toujours pas possible d’affirmer avec certitude si le vol des données a bien eu lieu. A noter que les cybercriminels ont plusieurs fois notifié avoir hacké Ubisoft.
Le 13 novembre 2020, le Cigref (Club informatique des grandes entreprises françaises) adresse un courrier au Premier ministre français, Jean Castex, pour lui faire part de la préoccupation des grandes entreprises et des administrations publiques françaises quant à l’augmentation, en nombre et en intensité, des cyberattaques.
AMNESIA:33 est le nom donné par l’éditeur de solutions de cybersécurité Forescout à un ensemble de 33 vulnérabilités découvertes dans des objets connectés. Ces vulnérabilités touchent notamment quatre stacks TCP/IP open source (uIP, FNET, picoTCP et Nut/Net).
Cette rétrospective fait partie de l’édition 2021 de notre Security Navigator. Pour le télécharger, cliquez ici.