Ransomware ça va mal: Un Canadien inculpé pour avoir lancé des attaques

Sécurité : Les autorités américaines enquêtaient depuis 2018 sur le citoyen canadien Matthew Philbert, âgé de 31 ans.

Par Jonathan Greig | Mercredi 08 Décembre 2021

Le FBI et le département de la Justice américain ont levé hier les scellés des actes d'accusation contre le Canadien Matthew Philbert, 31 ans, pour son implication présumée dans plusieurs attaques de ransomware.

Des représentants de la police canadienne ont tenu une conférence de presse ce mardi pour annoncer les accusations et l'arrestation du prévenu à Ottawa.

Le suspect serait affilié à un groupe de ransomware

Dans un communiqué, le procureur américain Bryan Wilson, du district de l'Alaska, indique que Matthew Philbert « a conspiré avec d'autres personnes connues et inconnues des Etats-Unis pour endommager des ordinateurs. Dans le cadre de cette conspiration, il a endommagé un ordinateur appartenant à l'Etat d'Alaska en avril 2018 ».

La justice canadienne a également annoncé des accusations contre le Canadien, notant qu'il avait été arrêté le 30 novembre. Les fonctionnaires n'ont pas précisé de quel groupe de ransomware il faisait partie ni de quelles attaques il était responsable.

« Les cybercriminels sont opportunistes et cibleront toute entreprise ou personne qu'ils identifient comme étant vulnérable », avertit Chuck Cox, commissaire adjoint de la police provinciale de l'Ontario.

Une nouvelle coopération entre les forces de l'ordre

Le suspect est notamment accusé de complot en vue de commettre une fraude et de fraude et d'activité connexe en rapport avec des ordinateurs. Bryan Wilson et les fonctionnaires canadiens soulignent qu'ils ont reçu l'aide des autorités néerlandaises et d'Europol dans cette affaire.

Au cours de la conférence de presse, Chuck Cox a indiqué que le FBI avait contacté les autorités canadiennes au sujet des activités de Matthew Philbert, notamment au sujet des attaques par ransomware contre des entreprises, des organismes gouvernementaux et des particuliers.

Lors de l'arrestation de Matthew Philbert, la police a indiqué qu'elle avait pu saisir plusieurs ordinateurs portables, des disques durs, des cartes vierges à bande magnétique et une phrase de passe permettant de récupérer l'accès à un portefeuille de cryptomonnaie.

Des cybercriminels basés partout dans le monde

En janvier, la police de Floride a arrêté un autre citoyen canadien en relation avec plusieurs attaques du groupe de ransomware Netwalker. Selon le département de la Justice américain, le suspect a réussi à gagner environ 27,6 millions de dollars grâce à plusieurs attaques par ransomware contre des organisations canadiennes comme la Northwest Territories Power Corporation, l'Ordre des infirmières et infirmiers de l'Ontario et un magasin de pneus situé en Colombie-Britannique.

D'après Brett Callow, analyste des menaces chez Emsisoft, on suppose généralement que les attaques par ransomware proviennent de Russie. Mais, même si le ransomware peut être "fabriqué" dans ce pays, il explique que les cybercriminels qui l'utilisent pour mener des attaques peuvent être basés n'importe où.

« En fait, il y a tellement d'argent à gagner avec les ransomwares qu'il serait extrêmement surprenant que des individus de pays comme le Canada, les Etats-Unis et le Royaume-Uni ne soient pas entrés sur le marché. Toutefois, ces personnes dorment peut-être un peu moins bien la nuit qu'avant. Dans le passé, il n'y avait pratiquement aucune chance qu'ils soient poursuivis pour leurs crimes, mais cela commence enfin à changer », affirme l'analyste à ZDNet.

Source : ZDNet.com

 

REF.:   https://www.zdnet.fr/actualites/ransomware-un-canadien-inculpe-pour-avoir-lance-des-attaques-39933783.htm?utm_source=NL_cybersecurite&utm_medium=email&utm_campaign=ZD_NL_cybersecurite&utm_content=&utm_term=20211220

 

 

On peut maintenant réinitialiser un iPhone verrouillé sans Mac

Une petite fonctionnalité d’iOS 15.2 qu’Apple nous a bien cachée lors du déploiement de sa mise à jour.

Publié le

 16 décembre 2021 à 08:31

Par

iPhon.fr

S’il est relativement facile, en passant par l’app Réglages, d’effacer son iPhone avant de par exemple le revendre, la manœuvre n’est pas si simple si l’appareil a été verrouillé. Ceci peut arriver pour plusieurs raisons, comme l’oubli de votre mot de passe ou encore le blocage de l’iPhone après qu’il ait été volé puis finalement retrouvé.

Afin d’y remédier, Apple propose avec le déploiement d’iOS 15.2 un nouvel outil pour réinitialiser son iPhone sans avoir à accéder à son contenu. Pour y avoir droit, il faut donc avoir installé cette version. Notons par ailleurs que le développeur précise aussi que certaines tablettes sont compatibles, si elles tournent sous iPadOS 15.2 qui est sorti en même temps.

Autres prérequis : disposer d’une connexion Internet, que ce soit via Wi-Fi ou par données mobiles avec une carte SIM.

Tutoriel détaillé

Voici, en quelques étapes simples, la marche à suivre pour réinitialiser votre iPhone si il est bloqué après trop de tentatives de déverrouillage infructueuses :

1. Touchez Effacer [nom de votre appareil] en bas à droite de l’écran de verrouillage
2. Répétez la première étape une deuxième fois en touchant de nouveau Effacer [nom de votre appareil]
3. Saisissez le mot de passe de votre identifiant iCloud (cette opération va alors vous déconnecter de l’iPhone)

L’iPhone va alors redémarrer automatiquement, il vous faudra ensuite suivre les instructions qui s’afficheront à l’écran. Ces indications permettront de reconfigurer l’appareil selon vos besoins, et de restaurer une sauvegarde si vous avez pu en effectuer une en amont, d’où l’intérêt de cette méthode très recommandée. Avec iCloud, il est possible de déclencher des sauvegardes automatiques régulièrement.

Apple vous demandera aussi de définir un nouveau mot de passe pour déverrouiller l’iPhone. Cette fois-ci, tenter de trouver une combinaison de mnémotechnique.

 

REF.:   https://www.iphon.fr/post/reinitialiser-iphone-sans-mac?fbclid=IwAR2zaVD25aXebmcAKfFtKpknHrW2jDtMgpSQQNICr2JjvlI6Yy2779AGu_U

 

 

Protection de l’enfance (CSAM) : Apple fait marche arrière ?

En fait pas vraiment, selon des déclarations d’un représentant de la marque.

Publié le

 16 décembre 2021 à 13:00

Par

iPhon.fr

Assez discrètement et apparemment entre le 10 et le 13 décembre derniers, Apple a supprimé de son site toute mention à la fonctionnalité de détection du CSAM annoncée plus tôt dans l’année. Celle-ci avait, on le rappelle, suscité la controverse car elle consistait -basiquement- à lire le contenu de votre iPhone à la recherche d’images pédopornographiques.

Dans un entretien avec le magazine américain The Verge, il apparaît cependant que Cupertino ne souhaite pas vraiment mettre un terme à cette initiative mais qu’elle est simplement reportée comme c’est notamment le cas d’Universal Control sur macOS Monterey ou encore des cartes d’identité numérisées sur iOS 15. C’est en tout cas ce qu’affirme Shane Bauer, un employé de la Pomme interrogé par le journal.

Il y a encore du travail

En fait, il semble qu’Apple a pris conscience de la critique collective générée par son annonce que certains comparent sans hésiter à un véritable risque pour la confidentialité de leurs données personnelles. Des inquiétudes d’ailleurs récemment confirmées par le non moins sérieux New York Times, qui assure que l’Europe réfléchit déjà à développer un programme similaire dont l’objectif serait de surveiller ses citoyens sous couvert de lutte contre le terrorisme.

Impossible de savoir précisément quand le scan des images iCloud sera déployé, mais avec 5 Go de stockage offert chaque utilisateur ne dispose potentiellement plus que de quelques mois pour trier sa photothèque afin d’éviter tout danger. Quant à ceux qui ont opté pour un forfait payant avec encore plus de données, nous n’avons plus qu’à leur souhaiter bon courage.

Les dérives existent bel et bien

Si le principe même de la solution de protection de l’enfance est certes louable, c’est bien ce que peuvent en faire des acteurs institutionnels qui pose problème. Cupertino est d’ailleurs totalement transparente sur le sujet et publie régulièrement des chiffres détaillant les demandes étatiques de déblocage d’iPhone suspects.

Or, comme a pu le montrer l’usage détourné du spyware Pegasus, il suffit que des officiels choisissent d’axer leur stratégie sur d’autres canaux (identification des activistes et de l’opposition, etc.) pour qu’iOS abandonne indirectement et en un clin d’œil sa fameuse promesse de sécurité sans cesse renouvelée par son éditeur.

* child sexul abuse material = fichiers à caractère pédopornographique

 

REF.:   https://www.iphon.fr/post/protection-enfance-marche-arriere

 

 

Une règle fail2ban contre la vuln log4j

@Korben  —  17 décembre 2021

Si vous êtes encore en train de lutter avec la faille log4j, il y a des tas de techniques pour parer l’attaque comme vous pouvez le lire ici ou grâce à Crowdsec. Mais même si vous avez tout patché et que vous ne risquez plus rien, il y a probablement des tas de rigolos qui tentent quand même leur chance. Et ça pourrit vos logs.

La meilleure solution serait donc de bannir toutes les IPs qui tentent d’exploiter cette vulnérabilité.

Jay Caines-Gooby a mis en ligne sur son site une règle fail2ban qui détecte et bannit immédiatement les IPs des affreux qui jouent avec log4j.

Pour cela, ajoutez la règle suivante dans /etc/fail2ban/jail.local

[log4j-jndi]
maxretry = 1
enabled = true
port = 80,443
logpath = /path/to/your/*access.log

Puis créez le fichier

/etc/fail2ban/filter.d/log4j-jndi.conf

et mettez y la définition regex suivante :

[Definition]
failregex   = (?i)^<HOST> .* ".*$.*(7B|{).*(lower:)?.*j.*n.*d.*i.*:.*".*?$

Et voilà !

Merci à Henri pour l’info et si vous voulez suivre les discussions sur cette règle Fail2Ban, le gist du code est ici.

 

REF.:   https://korben.info/fail2ban-log4j.html?fbclid=IwAR24UIAhp3zRokF5-gpbBRpQN_i38YWtGEEhGWkl73ZhGNJWJezN7Vo2bRg

Des pirates informatiques exploitant la vulnérabilité Log4j2 dans la nature pour déployer un ransomware

Des pirates informatiques exploitant la vulnérabilité Log4j2 dans la nature pour déployer un ransomware
Par
BALAJI N -
16 décembre 2021 0
Des pirates informatiques exploitant la vulnérabilité Log4j2 dans la nature pour déployer un ransomware

Une mise à jour de sécurité d'urgence a été publiée récemment par Apache Software Foundation pour corriger une vulnérabilité de 0 jour dans la bibliothèque de journalisation Log4j populaire.

Cette vulnérabilité 0-day dans Log4j a été exploitée par les acteurs de la menace pour déployer un ransomware.

Log4j est une bibliothèque Java largement utilisée dans les systèmes d'entreprise et les applications Web. Les experts en cybersécurité ont suivi cette vulnérabilité de 0 jour en tant que CVE-2021-44228 et avec la version 2.15.0, le correctif a été publié.
Profil de défaut

Cette vulnérabilité de 0 jour a été nommée Log4Shell et a obtenu un score de 10 points sur 10 sur l'échelle d'évaluation de la vulnérabilité CVSS.

Ce 0-day permet aux attaquants d'exécuter du code arbitraire à distance puisqu'il s'agit d'un RCE.

    ID CVE : CVE-2021-44228
    Nom du défaut : Log4Shell
    Date de publication : 10/12/2021
    Dernière modification : 14/12/2021
    Source : Apache Software Foundation
    Gravité : critique
    Note de base : 10,0

Log4j est un environnement de travail pour le journal d'activité dans Apache qui permet de surveiller l'activité dans une application, et ici pour exploiter la faille 0-day, un attaquant devait envoyer un morceau de code malveillant.

Il oblige les applications et serveurs Java qui utilisent la bibliothèque Log4j à enregistrer une ligne spécifique dans leurs systèmes internes.

Lorsqu'une application ou un serveur traite de tels journaux, une chaîne peut amener le système vulnérable à charger et à exécuter un script malveillant à partir du domaine contrôlé par l'attaquant.
Produits et projets concernés

Cette vulnérabilité 0-day a été découverte à l'origine lors de la recherche de bugs sur les serveurs de Minecraft, mais Log4j est présent dans presque toutes les applications d'entreprise et les serveurs Java.

Donc, ici, nous avons mentionné ci-dessous tous les produits et projets populaires concernés : -

    Jambes de force Apache
    Apache Flink
    Druide Apache
    Canal Apache
    Apache Solr
    Apache Flink
    Apache Kafka
    Apache Dubbo
    Redis
    Recherche élastique
    Logstash élastique
    Ghidra

Les attaquants exploitant la vulnérabilité

La faille 0day, CVE-2021-44228 ne peut être exploitée que si le paramètre log4j2.formatMsgNoLookups est défini sur false. dit Bitdefender.

Dans la version Log4j 2.15.0, ce paramètre est défini sur true, principalement pour arrêter de telles attaques.

En bref, les utilisateurs de Log4j qui ont déjà mis à jour vers la version 2.15.0 puis mis le drapeau à false deviendront à nouveau vulnérables à ces attaques, les utilisateurs qui n'ont pas mis à jour la même chose resteront en sécurité.

Cependant, ici, les pirates exploitent cette vulnérabilité 0-day en déployant plusieurs botnets, mineurs, malwares et ransomwares. C'est pourquoi nous avons mentionné ici les déploiements utilisés par les pirates : -

    Botnet Muhstik
    Mineur XMRIG
    Khonsari (Nouvelle famille Ransomware)
    Orcus (cheval de Troie d'accès à distance)

Atténuations

Ici, les analystes de la cybersécurité ont recommandé aux utilisateurs de suivre quelques étapes immédiates pour atténuer cette vulnérabilité 0-day, et les voici mentionnées ci-dessous :

    Pour identifier tous les systèmes qui implémentent l'infrastructure de journalisation Apache Log4j2, effectuez un audit complet de l'infrastructure et des applications logicielles.
    Assurez-vous de revoir toutes vos nomenclatures de logiciels et votre chaîne d'approvisionnement de logiciels.
    Appliquer une approche de défense en profondeur.
    Surveillez activement l'infrastructure pour détecter d'éventuelles tentatives d'exploitation.

En dehors de cela, avec cette dernière mise à jour (mise à jour Apache Log4j 2.16.0) aucun risque supplémentaire n'est posé par cette vulnérabilité pour les utilisateurs.

 C'est pourquoi certains ont comparé Log4j à Heartbleed, une vulnérabilité dans SSL qui a affecté de nombreux sites Web et services importants, mais qui était également difficile à détecter et à gérer. À l'instar de Heartbleed, dont les conséquences continuent de se faire sentir depuis des années, on craint déjà que les vulnérabilités de Log4j ne soient un problème à long terme. 

  La CISA a imposé aux agences fédérales américaines de corriger la vulnérabilité de Log4j en quelques jours. Mais pour tous les autres, le processus pourrait prendre des années et il y aura de nombreux cas où, malgré les vulnérabilités critiques, certains systèmes ne recevront jamais le correctif.

Il suffit de regarder EternalBlue, le catalyseur derrière WannaCry et NotPetya en 2017, qui figure encore régulièrement parmi les vulnérabilités les plus couramment exploitées et qui, des années plus tard, est toujours utilisé par les cybercriminels pour lancer des attaques. En fin de compte, tant que des systèmes seront menacés par la vulnérabilité Log4j, il y aura des cybercriminels ou des pirates soutenus par des États-nations qui chercheront à en tirer parti.

Et même si une organisation de premier plan a l'impression d'être protégée contre cette vulnérabilité, il est possible que des attaquants compromettent un fournisseur qui ne gère pas son informatique de manière aussi rigoureuse. Les criminels pourraient alors exploiter cette faille comme une passerelle vers une cible plus importante et plus lucrative.

REF.:  https://gbhackers.com/hackers-exploiting-log4j2-to-deploy-ransomware/?fbclid=IwAR0AZa-NRuK-TxlTiXiyxefgLGgSwBL2YSf480i3g5OxjefJ1D_8ECFni7Y