Dragonfly 2.0 avait attaqué des sociétés énergétiques aux Etats-Unis, en Turquie et en Suisse

Dragonfly 2.0 Hackers ciblant le secteur de l'énergie, selon,Symantec!Symantec attire l'attention sur le fait qu'un groupe de hackers ayant attaqué en premier des sociétés d'énergie en 2014 est de retour, et cette fois il pourrait avoir des objectifs plus perturbateurs.

Dragonfly:
Symantec a averti le 6 septembre qu'il voyait la réapparition d'un groupe de hackers connu sous le nom de Dragonfly qui cible directement les entreprises du secteur de l'énergie et les infrastructures du système de contrôle industriel (ICS).Symantec a émis des avertissements sur les premières attaques de Dragonfly en juillet 2014, après quoi les attaques du groupe de hackers ont diminué. Le nouveau round d'attaques, baptisé Dragonfly 2.0 par Symantec, est en cours depuis décembre 2015, avec un nombre croissant d'attaques en 2017."Une grande partie de cette activité n'a pas été détectée par l'industrie de la sécurité et est très ciblée", a déclaré à eWEEK Jon DiMaggio, analyste principal des renseignements sur les menaces chez Symantec. "Une fois que nous avons identifié l'activité et commencé à regarder ce qui se passait, nous avons réalisé que c'était une opération majeure ciblant l'industrie de l'énergie."

Les attaques Dragonfly 2.0 impliquent plusieurs éléments, y compris des courriels de phishing conçus pour inciter les utilisateurs à ouvrir des pièces jointes, ainsi que de fausses mises à jour Flash qui finissent par installer des backdoors de chevaux de Troie.

"Le fait que l'attaquant puisse créer des logiciels malveillants qui ne sont pas détectés et a des opérations orientées vers des objectifs montre que l'adversaire a à la fois le financement et les capacités habituellement réservés aux attaquants des Etats-nations", a déclaré DiMaggio.Selon Symantec, Dragonfly 2.0 a attaqué des sociétés énergétiques aux Etats-Unis, en Turquie et en Suisse. On ne sait pas combien d'organisations ont été touchées, bien qu'à ce stade, les attaques n'aient pas directement mené à des pannes opérationnelles connues.«Nous travaillons avec les victimes pour identifier et atténuer les récentes attaques de Dragonfly
, mais étant donné qu'elles sont de véritables victimes d'une cyberattaque majeure, nous ne pouvons pas fournir de détails à ce niveau», a déclaré M. DiMaggio. "Cependant, je dirai que nous n'avons pas vu d'impact majeur sur les opérations, et nous espérons que cette information publiée publiquement empêchera les systèmes ICS vitaux d'être endommagés ou altérés."

Les attaquants de Dragonfly 2.0 utilisent un processus en plusieurs étapes pour accéder aux réseaux ICS et aux compagnies d'énergie. Selon Symantec, Dragonfly s'appuie fortement sur des informations d'identification volées pour compromettre un réseau. Les attaques utilisent une technique d'attaque "trou d'eau" où des sites Web légitimes sont utilisés pour compromettre les visiteurs de la page et les inciter à se connecter et ensuite transmettre les informations d'identification à une infrastructure contrôlée par l'attaquant, a déclaré DiMaggio.En outre, Dragonfly utilise des courriels de spear-phishing principalement utilisés pour déposer des logiciels malveillants, qui ensuite capture et transmet les informations d'identification de l'utilisateur à une infrastructure de l'attaquant. DiMaggio a déclaré que les attaquants de Dragonfly 2.0 utilisent principalement l'outil Phishery disponible pour la campagne de phishing.«Une fois l'accès à distance établi, l'attaquant utilise des outils publics ou des outils d'administration dans l'environnement de la victime pour obtenir des informations d'identification post-compromettantes afin de renforcer leur influence et leur accès aux systèmes d'intérêt», explique DiMaggio.




 Le principal candidat parmi la panoplie d'équipes de hackers russes est un groupe de cyberspies, plus connu sous le nom d'Energetic Bear, mais également connu sous des noms tels que DragonFly, Koala et Iron Liberty. D'abord repéré par la firme de sécurité Crowdstrike en 2014, le groupe a d'abord piraté sans discernement des centaines de cibles dans des dizaines de pays depuis 2010, en utilisant des attaques dites «watering hole» qui infectaient les sites Web et plantaient un cheval de Troie appelé Havex. ' Machines. Mais il est vite devenu clair que les pirates avaient un objectif plus spécifique: ils utilisaient également des courriels d'hameçonnage pour cibler les vendeurs de logiciels de contrôle industriel, faisant glisser Havex dans les téléchargements des clients. L'entreprise de sécurité FireEye a découvert en 2014 que le groupe avait violé au moins quatre de ces cibles de contrôle industriel, ce qui a permis aux hackers d'accéder à tout, des systèmes de réseaux électriques aux usines de fabrication.Selon Adam Meyers, vice-président du renseignement de Crowdstrike, le groupe semblait au moins en partie concentré sur une large surveillance de l'industrie pétrolière et gazière. Les cibles d'Energetic Bear incluaient tout, des producteurs de gaz aux entreprises qui transportaient du gaz liquide et du pétrole jusqu'aux sociétés de financement de l'énergie. Crowdstrike a également découvert que le code du groupe contenait des artefacts en langue russe et qu'il fonctionnait pendant les heures d'ouverture de Moscou. Tout cela suggère, selon Meyers, que le gouvernement russe pourrait avoir utilisé le groupe pour protéger sa propre industrie pétrochimique et mieux utiliser son pouvoir en tant que fournisseur de carburant. "Si vous menacez d'éteindre le gaz dans un pays, vous voulez savoir à quel point cette menace est grave et comment l'exploiter correctement", dit Meyers.





À ce stade, les attaques Dragonfly n'ont pas utilisé de logiciels malveillants destructifs qui auraient un impact sur les opérations d'un SCI. En juin 2017, des chercheurs en sécurité de Dragos et ESET ont détaillé les actions d'une attaque baptisée Industroyer qui a déclenché une panne de courant massive en Ukraine.Avec l'opération originale de Dragonfly 1.0, l'évaluation de Symantec est que l'intention des attaquants était d'obtenir l'accès à des systèmes basés sur l'énergie et sur le SCI, selon DiMaggio."Sur la base des opérations postales et du temps et des efforts consacrés à l'accès à un réseau ou à des systèmes spécifiques au cours de la récente campagne, il est au-dessus de ce qui a été vu dans Dragonfly 1.0". "Nous pensons qu'il est plausible, basé sur la quantité de temps d'attaque et l'intérêt pour des systèmes spécifiques, que le principal avantage d'y accéder serait de perturber les opérations."

REF.:

Cloudflare: il restait à déterminer si le fournisseur de CDN était "en concert actif ou en participation" avec le site pirate MP3Skull ?

La question ,sans réponse:
Cloudflare: il restait à déterminer si le fournisseur de CDN était "en concert actif ou en participation" avec le site pirate MP3Skull ?.....Droit d'auteur,......blanchiment d'argent,...... Project Honey Pot.....anti-spammers....anti-bot........projet anti-pédophile de la CIA(T411),......pourquoi le siteThe Pirate Bay existe encore,......les serveurs de cloudflare c'est pas gratuit,alors on rentabilise comment ? ;-)


Cloudflare ne parvient pas à éliminer la menace de blocage(RIAA) du site pirate 'Moot' :
Un tribunal fédéral de Floride a rejeté la demande de Cloudflare d'annuler une récente ordonnance qui a ouvert la porte à des efforts de blocage de sites à grande échelle. La commande, obtenue par la RIAA, s'applique au défunt site MP3Skull mais pourrait avoir des conséquences plus larges.Représentant plusieurs maisons de disques majeures, la RIAA a déposé une plainte contre le site pirate MP3Skull il y a trois ans.Avec des millions de visiteurs par mois, le site de téléchargement MP3 a été l'une des principales sources de musique piratée pendant longtemps.En 2016, les maisons de disques ont gagné leur procès contre le portail de téléchargement MP3, mais le site a d'abord ignoré la décision du tribunal et a continué à fonctionner. Cela a incité la RIAA à poursuivre les services de tiers, y compris Cloudflare, exigeant qu'ils bloquent les noms de domaine associés.Cloudflare s'est opposé et a fait valoir que le DMCA a protégé l'entreprise contre les larges exigences de blocage. Cependant, la cour a statué que le DMCA ne s'applique pas dans ce cas, ouvrant la porte à un filtrage anti-piratage généralisé.Le tribunal a souligné que, avant d'émettre une injonction contre Cloudflare, il restait à déterminer si le fournisseur de CDN ou un réseau de diffusion de contenu (CDN),était "en concert actif ou en participation" avec le site pirate. Cependant, cela doit encore arriver. Depuis que MP3Skull a cessé ses opérations, la RIAA a montré peu d'intérêt à poursuivre l'affaire.Bien qu'il n'y ait plus de menace immédiate de blocage de site, il est plus facile pour les titulaires de droits de demander des demandes de blocage similaires à l'avenir. Cloudflare, par conséquent, a demandé au tribunal de jeter l'ordre, arguant du fait que MP3Skull n'est plus disponible, le problème est discutable.Cette semaine, la juge Marcia Cooke a rejeté cette demande.RefuséC'est, bien sûr, de la musique aux oreilles de la RIAA et de ses membres.La RIAA veut garder la porte ouverte pour des demandes de blocage similaires à l'avenir. Cette responsabilité potentielle pour les sites de pirates est la principale raison pour laquelle le fournisseur de CDN a demandé au tribunal d'annuler l'ordre, a indiqué la RIAA.Alors que l'ordonnance reste en place, le juge Cooke suggère que les deux parties travaillent sur une sorte de compromis ou de clarification et a donné deux semaines pour rédiger cela dans une nouvelle proposition.«Les parties peuvent rédiger et soumettre une ordonnance conjointe visant les questions soulevées à l'audience au plus tard le 10 avril 2018», écrit le juge Cooke.

Nota: Dans le dossier du site néo-nazi Daily Stormer:
Cloudflare avait pour politique de ne retirer aucun compte sans une ordonnance du tribunal, et lorsque cela a été dépassé, les sourcils ont été levés. En particulier, les détenteurs de droits d'auteur se demandaient pourquoi l'entreprise pouvait mettre fin à ce compte, mais pas ceux des sites piratés les plus notoires.

Ou le dossier NYAA.si :
D'une manière générale, la société ne déconnecte un client qu'en réponse à une décision de justice, comme elle l'a fait avec Sci-Hub plus tôt cette année. C'est pourquoi cela a été une surprise lorsque le site NYAA.si a été déconnecté cette semaine.Certains ont fait allusion à une décision de la cour secrète alors que la répression récente du Japon sur le piratage de mangas et d'anime est également venue à l'esprit, le tout sans un grain de preuve bien sûr.Quelle que soit la raison, NYAA.si doit maintenant continuer sans Cloudflare, alors que le mystère demeure.

Conclusion:
A force de faire disparaître les sites de piratage, allons nous pas ,de plus en plus vers le DarkNet ?$?


REF.:

Nvidia dévoile de nouveaux GPU super puissants

Nvidia, le fabricant leader du marché des cartes graphiques, vient de dévoiler ses nouveautés 2018. Au programme, GPU ultra-puissants pour réaliser des calculs complexes.

Les produits que Nvidia a l'honneur de présenter cette année s'adressent majoritairement aux professionnels. A la pointe de la technologie, ils étonnent par leur puissance.

Le successeur du GP100 s'appelle GV100, et il est encore plus puissant

En acteur historique du marché des cartes graphiques, Nvidia a de quoi nous surprendre ! Jensen Huang, son fondateur et PDG, vient de présenter à la presse ses nouveautés. Il s'agit tout d'abord du Quadro GV100. Ce GPU super puissant a été conçu en premier lieu pour les professionnels. Malgré son étonnante productivité, les gamers vont donc devoir accepter de passer leur tour. La raison d'être du GV100 : devenir le « cerveau » des ordinateurs professionnels, dont la tâche première est de réaliser des calculs complexes.

En effet, par leur architecture, les cartes graphiques sont parfaitement adaptées à la gestion des séries volumineuses de tâches de même nature. A l'intérieur du GV100, on trouve l'architecture Volta (une invention « maison ») et une mémoire vive de 32 Go. Son prix n'a pas encore été dévoilé, mais quand on sait que son prédécesseur, le GP100, coûtait 7.000 euros à sa sortie, on peut s'attendre à ce que son prix soit dans la même fourchette.

[[PIC_1603004w500]]

Nvidia ne souhaite pas concevoir de GPU pour le marché des cryptomonnaies

En plus des GPU, et c'est encore plus intéressant, Nvidia a présenté ses super-ordinateurs. Son dernier « bébé », le DGX-2, est constitué de 16 cartes graphiques Tesla V100 GPU, dotée de 32 Go de RAM chacune. Le poids de cette machine : 230 kilos. Conçu pour réaliser des calculs, il s'adresse lui aussi aux professionnels, d'où son prix de 400.000 euros.

Quant aux marché des « mineurs » de cryptomonnaies, Nvidia se garde bien de s'y avancer. Comme l'a expliqué Jensen Huang à nos confrères de ZDNet après son discours, le marché premier de Nvidia est, selon lui, les gamers, suivi de celui des entreprises nécessitant des GPU pour des calculs volumineux (data centers, intelligence artificielle...). Peu adaptées à l'architecture de l'écosystème Ethereum, il ne souhaite pas voir ses cartes graphiques utilisées par les « mineurs ».

REF.:

Comment supprimer, renommer un fichier verrouillé sur Windows

Lorsque vous tentez de supprimer ou renommer un fichier, un message indique que le fichier est verrouillé.
En effet, il se peut qu’une application ouvre un fichier en exclusif. Le fichier est alors verrouillé et aucune autre opération comme la suppression, renommer ou le déplacement ne peut être effectuée dessus.
Il faut alors fermer l’application pour pouvoir regagner la main sur le fichier.
Enfin, parfois, il peut arriver que le fichier soit verrouillé par le système de fichiers rendant les opérations impossible dessus.
Cet article vous aide à déverrouiller un fichier pour pouvoir le renommer ou le renommer.

Table des matières [masquer]

• 1 Introduction
• 2 Supprimer un fichier verrouillé par un autre utilisateur sur Windows 10
  • 2.1 mode sans échec
  • 2.2 Identifier l’application qui verrouille le fichier
  • 2.3 Fichiers verrouillé par des malwares
    • 2.3.1 Trois méthodes de suppression de fichiers verouillés
    • 2.3.2 Cas des DLL dans explorer.exe
  • 2.4 Supprimer un fichier en ligne de commandes
  • 2.5 Supprimer un fichier verrouillé avec FRST
• 3 Liens autour des fichiers verrouillés

Introduction

Comme cela a été expliqué dans le paragraphe précédent, une application peut verrouiller un fichier.
En général, lorsque vous tentez de renommer ou supprimer le fichier, vous obtenez le message :

Cette action ne peut-être réalisée car le fichier est ouvert dans XXXXX
Ferme le fichier et réessayez.

Windows vous indique donc l’application source qui verrouille le fichier, l’icône de cette application peut-être même indiquée.

Supprimer un fichier verrouillé par un autre utilisateur sur Windows 10

mode sans échec

Le mode sans échec est un mode minimal de Windows où la plupart des applications ne fonctionnent pas.
De ce fait, si une application pose problème et verrouille un fichier, celle ne devrait pas être en cours de fonctionnement en mode sans échec.
Cela devrait vous permettre de supprimer ou renommer le fichier.
Pour démarrer en mode sans échec, suivez les explications des pages suivantes :

• Démarrer Windows en mode sans échec 
• Comment démarrer Windows 10 en mode sans échec

Identifier l’application qui verrouille le fichier

Dans le cas où vous n’avez aucune idée de l’application qui verrouille le fichier, il faut utiliser des utilitaires qui permettent de déterminer cela.
Il existe plusieurs outils sur Windows et qui sont notamment présentés sur la page suivante : Comment lister les fichiers ouverts ou verrouillés sur Windows
A noter que le moniteur de ressources systèmes, disponible depuis Windows Vista permet d’identifier les fichiers ouverts par une application.
Cela se fait depuis l’onglet Processeur et Descripteur associés.
Un champs de recherche permet de saisir le nom du fichier, ainsi en résultat, vous avez l’application qui ouvre ce dernier.
Par exemple, ci-dessous, on a bien la confirmation qu’il s’agit de Winword.exe

Fichiers verrouillé par des malwares

Si le programme n’est pas présent dans la liste des programmes installés : Allez dans le dossier de ce dernier (souvent un sous-dossier de Program Files), vérifiez si un fichier uninstall.exe ou uninst.exe est présent.
Dans le cas des antivirus, vérifiez si un programme de suppression n’est pas fournit par l’éditeur, reportez-vous à la page : Suppression d’antivirus
Ici nous allons plutôt nous intéresser au Trojan Bedep qui se charge dans l’explorateur de fichier explorer.exe
Ceci a tendance à verrouiller le fichier du virus, ce qui fait que vous ne pouvez pas le supprimer.
Lorsque l’on tente de supprimer ce dernier, on obtient le message « Cette action ne peut pas être réalisée car le fichier est ouvert dans Explorateur Windows »

Trois méthodes de suppression de fichiers verouillés

J’ai fait une vidéo qui récapitule trois méthodes différentes (oui il existe d’autres programmes qui permettent de supprimer des fichiers comme unlocker).

• Première méthode avec FRST, qui consiste à effectuer un « fix » sur le fichier en question. Les explications en détails dans le paragraphe suivant.
• Deuxième méthode avec GMER depuis l’onglet Files et le bouton Delete à droite.
• Troisième et dernière méthode avec Process Explorer, le but étant de tuer le processus explorer.exe afin que la DLL insuprimable ne soit plus active.

A propos de Process Explorer, il existe une ancienne page Process Explorer : Exemple d’utilisation avancée qui explique comment supprimer une DLL de l’infection Vundo/Virtumonde (plus active de nos jours).
Celle-ci se chargeait dans le processus système winlogon.exe à partir d’une clef notify.
Le principe est un peu le même que dans la vidéo, à savoir, repérer le DLL, tenter de fermer le handle/thread afin de la rendre inactive et supprimer celle-ci du disque.

Cas des DLL dans explorer.exe

Comprenez bien ici qu’il s’agit d’une DLL qui se charge dans explorateur.exe ce qui est relativement courant.
Les méthodes ne fonctionnent pas avec des malwares de type rootkit, notamment avec les drivers Windows (fichiers .sys), comme par exemple bsdriver et cherimoya.
Quoique la méthode GMER peut fonctionner mais dans tous les cas Malwarebytes Anti-Malware se charge de ces derniers.
Parfois, c’est plus complexe, notamment par exemple avec l’infection MYOSPROTECT / WEBPROTECT / PCWATCH (plus active maintenant).
Celle-ci se composait d’une DLL par exemple MyOSProtect.dll qui se chargeait dans la couche Winsock pour manipuler les chargements de pages et injecter des publicités.

Ce fichier DLL ne pouvait pas être supprimé car un driver/pilote la protégeait en hookant les fonctions de suppression de Windows (méthode de rootkit), c’est à dire que la fonction de suppression de Windows était détournée pour passer par le rootkit et intercepter les tentatives de suppression de la DLL.
En d’autre terme, le pilote protégeait la DLL de la suppression manuellement.

Supprimer un fichier en ligne de commandes

Une autre méthode qui peut parfois fonctionner et de tenter de supprimer le fichier récalcitrant en invite de commandes.
Pour cela, reportez-vous à notre tutoriel : Supprimer un fichier ou dossier en ligne de commandes

Supprimer un fichier verrouillé avec FRST

FRST est un utilitaire qui permet d’analyser l’ordinateur et de générer un rapport avec les fichiers ouverts, au démarrage, etc.
En outre, FRST permet à travers un script de supprimer certains éléments de l’ordinateur.
FRST peut donc être utile pour supprimer des fichiers impossible à supprimer.
Avant de commencer, il est conseillé d’afficher les extensions de fichiers, pour cela, suivez la page suivante : Windows 10 : comment afficher les extensions de fichiers

• 32-bits : http://telecharger.malekal.com/download/frst/
• 64-bits : http://telecharger.malekal.com/download/frst-64-bits/

Placez le programme FRST sur votre bureau, ensuite ouvrez le.
Appuyez sur les touches CTRL+Y, cela va ouvrir le bloc-note.
Le but est d’inscrire dans le bloc-note le chemin des fichiers à supprimer.

Par exemple, si l’on souhaite supprimer ce fichier-recalcitrant.txt, on récupère le chemin dans la barre d’adresse (C:\Users\Marjorie\Downloads) et le nom complet du fichier.

Que l’on inscrit ensuite dans le bloc-note, dans notre cas, on obtient C:\Users\Marjorie\Downloads + fichier-recalcitrant.txt, soit donc C:\Users\Marjorie\Downloads\fichier-recalcitrant.txt

Enregistrez le fichier bloc-note, depuis le menu Fichier puis Enregistrer.
Retournez sur le programme FRST puis cliquez sur le bouton Corriger afin de lancer la correction.
Redémarrez l’ordinateur.

Liens autour des fichiers verrouillés

Les liens du site autour des fichiers ouverts, verrouillés qui peuvent être difficiles à supprimer.

• Comment supprimer un fichier insupprimable

et côté surveillance système ou d’une application :

• Procmon : surveiller l’activité Windows ou une d’application
• Monitorer l’activité système ou d’un programme

REF.:

Western Union épinglé pour ses manquements dans une vaste escroquerie

La société de transfert d’argent Western Union va verser 586 millions de dollars aux États-Unis pour une série de manquements liés à une vaste escroquerie impliquant certains de ses employés, a annoncé le département de la Justice (DoJ) jeudi.
«Western Union a une responsabilité vis-à-vis des consommateurs américains pour les protéger des fraudes. Au lieu de cela, le groupe a préféré regarder ailleurs», a déclaré Edith Ramirez, la présidente de l’agence de protection des consommateurs (FTC) qui était associée à l’enquête avec le DoJ.
Entre 2004 et 2012, des escrocs ont réussi à convaincre des personnes aux États-Unis de leur transférer des fonds par l’intermédaire de Western Union en se faisant passer pour des parents «dans le besoin» ou en faisant miroiter «des récompenses ou des opportunités d’emplois», détaille le communiqué.

Plusieurs employés du groupe se sont rendus «complices» des malfaiteurs en s’assurant que ces centaines de milliers de transactions soient menées à bien et en percevant une partie du produit de la fraude.
Selon le DoJ, Western Union a été informé de ces agissements dès la fin 2004 par des victimes mais s’est abstenu de prendre des «mesures correctives» à l’égard de ses agents impliqués dans l’escroquerie.
«Comme le montre ce cas, transférer de l’argent peut être le moyen le plus rapide de l’envoyer directement dans les poches de délinquants», a déclaré un des responsables du DoJ, David Bitkower, accusant le groupe d’avoir «privilégié les bénéfices au détriment de ses propres clients».

Plus généralement, le groupe d’Englewood, dans le Colorado (ouest), ne disposait pas des règles de contrôle interne requises pour traquer le blanchiment d’argent, assure le DoJ.
Outre sa pénalité qui servira à indemniser les victimes, Western Union s’est notamment engagé à améliorer ses procédures et à davantage signaler des «activités suspectes», afin de clore les poursuites engagées par les autorités américaines.
Dans un communiqué distinct, le groupe a assuré être «déterminé à améliorer ses programmes de contrôle pour empêcher des activités illicites» et «protéger les consommateurs qui transfèrent de l’argent à des amis, des parents ou à des entreprises».

REF.: