Selon Google, Dmitry Starovikov et Alexander Filippov responsables du botnet blockchain Glupteba

 

 

Selon Google, Dmitry Starovikov et Alexander Filippov responsables du botnet blockchain Glupteba

 

 

Google s'attaque au botnet blockchain Glupteba

Sécurité : Selon Google, le botnet compte actuellement environ un million d'appareils Windows compromis dans le monde entier et se développe parfois au rythme de milliers de nouveaux appareils par jour.

Par Jonathan Greig | Mercredi 08 Décembre 2021

Google a annoncé ce matin avoir perturbé l'infrastructure de commande et de contrôle de Glupteba, un botnet adossé à la blockchain, utilisé pour cibler des appareils sous Windows.

Le vice-président de Google chargé de la sécurité, Royal Hansen, et la juriste Halimah DeLaine Prado ont annoncé dans un billet de blog mardi que le groupe d'analyse des menaces de la société (Threat Analysis Group, TAG) suivait Glupteba depuis des mois.

Ils ont décidé de prendre des mesures techniques et juridiques contre le groupe.

Une procédure juridique pour entraver les opérateurs

Google a déposé plainte contre le botnet, dans l'espoir de « créer une responsabilité juridique pour les opérateurs du botnet et de contribuer à dissuader toute activité future ».

« Après une enquête approfondie, nous avons déterminé que le botnet Glupteba implique actuellement environ un million d'appareils Windows compromis dans le monde entier, et se développe parfois à un rythme de milliers de nouveaux appareils par jour », écrivent-ils.

« Glupteba est connu pour voler les identifiants et les données des utilisateurs, pour miner des cryptomonnaies sur les hôtes infectés et pour mettre en place des proxys afin de canaliser le trafic internet d'autres personnes via des machines et des routeurs infectés. »

Google note que, bien qu'il a été en mesure de perturber l'infrastructure de commande et de contrôle de Glupteba, ses actions peuvent s'avérer temporaires, compte tenu de « l'architecture sophistiquée du groupe et des actions que ses organisateurs ont prises pour maintenir le botnet, mettre à l'échelle ses opérations et mener des activités criminelles à grande échelle ».

Ils estiment que l'action en justice contribuera à compliquer les actions futures des opérateurs du botnet. L'action en justice cite directement Dmitry Starovikov et Alexander Filippov parmi les opérateurs, mais note que d'autres acteurs inconnus sont impliqués.

L'action en justice a été initiée à New York, et les deux personnes citées sont poursuivies pour fraude et abus informatiques, violation de marque déposée, et plus encore. Google a également demandé une ordonnance restrictive temporaire, dans le but de « créer une véritable responsabilité juridique pour les opérateurs » du botnet.

Des milliers de téléchargements par jour

Mais Google rappelle également que l'utilisation par le groupe de la technologie blockchain a rendu le botnet plus résilient. Il ajoute que davantage d'organisations cybercriminelles profitent de la technologie blockchain, qui permet aux botnets de se rétablir plus rapidement en raison de leur nature décentralisée.

Shane Huntley et Luca Nagy, membres du groupe d'analyse des menaces de Google, ont expliqué dans un billet de blog que Glupteba est connu pour voler les identifiants et mots de passe des utilisateurs et les cookies, miner des cryptomonnaies sur les hôtes infectés, déployer et exploiter des composants proxy ciblant les systèmes Windows et les objets connectés.

« Le TAG a observé le botnet, qui cible des victimes dans le monde entier, et notamment aux Etats-Unis, en Inde, au Brésil, au Vietnam et en Asie du Sud-Est. La famille de logiciels malveillants Glupteba est principalement distribuée par le biais de réseaux de paiement par installation (PPI) et via le trafic acheté auprès de systèmes de distribution de trafic (TDS) », explique l'équipe de Google.

« Pendant un certain temps, nous avons observé des milliers d'instances de téléchargements malveillants de Glupteba par jour. L'image suivante montre une page web imitant la page de téléchargement d'un crack logiciel qui délivre une variante de Glupteba aux utilisateurs au lieu du logiciel promis. »

L'équipe TAG et d'autres employés de Google ont bloqué environ 63 millions de Google Docs ayant distribué Glupteba, 1 183 comptes Google, 908 projets Google Cloud et 870 comptes Google Ads associés à la distribution de ce malware. Environ 3,5 millions d'utilisateurs ont été alertés avant de télécharger un fichier malveillant grâce à Google Safe Browsing, selon Shane Huntley et Luca Nagy.

Le botnet s'appuie sur la blockchain

Les chercheurs ont également indiqué avoir travaillé avec CloudFlare sur les efforts de perturbation. Dans le cadre de son enquête, Google a utilisé les produits et services d'investigation Chainalysis pour enquêter sur le botnet.

Erin Plante, directrice principale des services d'enquête de Chainalysis, explique à ZDNet que le botnet a deux principaux liens avec les cryptomonnaies : le recours au cryptojacking, et une tactique nouvelle visant à complexifier les opérations de démantèlement.

Selon elle, Glupteba utilise également la blockchain Bitcoin pour encoder les serveurs de commande et de contrôle (C2) mis à jour dans les champs Op_Returns des transactions enregistrées sur la blockchain. Cela signifie que chaque fois que l'un des serveurs C2 de Glupteba est fermé, il suffit aux ordinateurs infectés de scanner la blockchain pour trouver la nouvelle adresse de domaine du serveur C2, qui est ensuite dissimulée parmi les centaines de milliers de transactions Bitcoin quotidiennes dans le monde.

La plupart des techniques de démantèlement de botnets impliquent la désactivation des domaines de serveurs C2, ce qui rend cette tactique particulièrement difficile à contrer. Erin Plante indique qu'il s'agit du premier cas connu d'un botnet utilisant cette approche. La société Akamai avait pourtant détaillé une variante de cette technique en février 2021, qui exploitait déjà la blockchain pour récupérer les adresses IP des serveurs de contrôle du botnet.

Erin Plante ajoute que l'enquête a révélé des transactions de cryptomonnaies provenant de Federation Tower East, un immeuble de bureaux de luxe situé à Moscou qui abrite le siège de nombreuses entreprises de cryptomonnaies connues pour blanchir des fonds criminels.

Source : ZDNet.com

 

REF.:   https://www.zdnet.fr/actualites/google-s-attaque-au-botnet-blockchain-glupteba-39933793.htm?utm_source=NL_cybersecurite&utm_medium=email&utm_campaign=ZD_NL_cybersecurite&utm_content=&utm_term=20211220

 

 

Ransomware ça va mal: Un Canadien inculpé pour avoir lancé des attaques

Sécurité : Les autorités américaines enquêtaient depuis 2018 sur le citoyen canadien Matthew Philbert, âgé de 31 ans.

Par Jonathan Greig | Mercredi 08 Décembre 2021

Le FBI et le département de la Justice américain ont levé hier les scellés des actes d'accusation contre le Canadien Matthew Philbert, 31 ans, pour son implication présumée dans plusieurs attaques de ransomware.

Des représentants de la police canadienne ont tenu une conférence de presse ce mardi pour annoncer les accusations et l'arrestation du prévenu à Ottawa.

Le suspect serait affilié à un groupe de ransomware

Dans un communiqué, le procureur américain Bryan Wilson, du district de l'Alaska, indique que Matthew Philbert « a conspiré avec d'autres personnes connues et inconnues des Etats-Unis pour endommager des ordinateurs. Dans le cadre de cette conspiration, il a endommagé un ordinateur appartenant à l'Etat d'Alaska en avril 2018 ».

La justice canadienne a également annoncé des accusations contre le Canadien, notant qu'il avait été arrêté le 30 novembre. Les fonctionnaires n'ont pas précisé de quel groupe de ransomware il faisait partie ni de quelles attaques il était responsable.

« Les cybercriminels sont opportunistes et cibleront toute entreprise ou personne qu'ils identifient comme étant vulnérable », avertit Chuck Cox, commissaire adjoint de la police provinciale de l'Ontario.

Une nouvelle coopération entre les forces de l'ordre

Le suspect est notamment accusé de complot en vue de commettre une fraude et de fraude et d'activité connexe en rapport avec des ordinateurs. Bryan Wilson et les fonctionnaires canadiens soulignent qu'ils ont reçu l'aide des autorités néerlandaises et d'Europol dans cette affaire.

Au cours de la conférence de presse, Chuck Cox a indiqué que le FBI avait contacté les autorités canadiennes au sujet des activités de Matthew Philbert, notamment au sujet des attaques par ransomware contre des entreprises, des organismes gouvernementaux et des particuliers.

Lors de l'arrestation de Matthew Philbert, la police a indiqué qu'elle avait pu saisir plusieurs ordinateurs portables, des disques durs, des cartes vierges à bande magnétique et une phrase de passe permettant de récupérer l'accès à un portefeuille de cryptomonnaie.

Des cybercriminels basés partout dans le monde

En janvier, la police de Floride a arrêté un autre citoyen canadien en relation avec plusieurs attaques du groupe de ransomware Netwalker. Selon le département de la Justice américain, le suspect a réussi à gagner environ 27,6 millions de dollars grâce à plusieurs attaques par ransomware contre des organisations canadiennes comme la Northwest Territories Power Corporation, l'Ordre des infirmières et infirmiers de l'Ontario et un magasin de pneus situé en Colombie-Britannique.

D'après Brett Callow, analyste des menaces chez Emsisoft, on suppose généralement que les attaques par ransomware proviennent de Russie. Mais, même si le ransomware peut être "fabriqué" dans ce pays, il explique que les cybercriminels qui l'utilisent pour mener des attaques peuvent être basés n'importe où.

« En fait, il y a tellement d'argent à gagner avec les ransomwares qu'il serait extrêmement surprenant que des individus de pays comme le Canada, les Etats-Unis et le Royaume-Uni ne soient pas entrés sur le marché. Toutefois, ces personnes dorment peut-être un peu moins bien la nuit qu'avant. Dans le passé, il n'y avait pratiquement aucune chance qu'ils soient poursuivis pour leurs crimes, mais cela commence enfin à changer », affirme l'analyste à ZDNet.

Source : ZDNet.com

 

REF.:   https://www.zdnet.fr/actualites/ransomware-un-canadien-inculpe-pour-avoir-lance-des-attaques-39933783.htm?utm_source=NL_cybersecurite&utm_medium=email&utm_campaign=ZD_NL_cybersecurite&utm_content=&utm_term=20211220

 

 

On peut maintenant réinitialiser un iPhone verrouillé sans Mac

Une petite fonctionnalité d’iOS 15.2 qu’Apple nous a bien cachée lors du déploiement de sa mise à jour.

Publié le

 16 décembre 2021 à 08:31

Par

iPhon.fr

S’il est relativement facile, en passant par l’app Réglages, d’effacer son iPhone avant de par exemple le revendre, la manœuvre n’est pas si simple si l’appareil a été verrouillé. Ceci peut arriver pour plusieurs raisons, comme l’oubli de votre mot de passe ou encore le blocage de l’iPhone après qu’il ait été volé puis finalement retrouvé.

Afin d’y remédier, Apple propose avec le déploiement d’iOS 15.2 un nouvel outil pour réinitialiser son iPhone sans avoir à accéder à son contenu. Pour y avoir droit, il faut donc avoir installé cette version. Notons par ailleurs que le développeur précise aussi que certaines tablettes sont compatibles, si elles tournent sous iPadOS 15.2 qui est sorti en même temps.

Autres prérequis : disposer d’une connexion Internet, que ce soit via Wi-Fi ou par données mobiles avec une carte SIM.

Tutoriel détaillé

Voici, en quelques étapes simples, la marche à suivre pour réinitialiser votre iPhone si il est bloqué après trop de tentatives de déverrouillage infructueuses :

1. Touchez Effacer [nom de votre appareil] en bas à droite de l’écran de verrouillage
2. Répétez la première étape une deuxième fois en touchant de nouveau Effacer [nom de votre appareil]
3. Saisissez le mot de passe de votre identifiant iCloud (cette opération va alors vous déconnecter de l’iPhone)

L’iPhone va alors redémarrer automatiquement, il vous faudra ensuite suivre les instructions qui s’afficheront à l’écran. Ces indications permettront de reconfigurer l’appareil selon vos besoins, et de restaurer une sauvegarde si vous avez pu en effectuer une en amont, d’où l’intérêt de cette méthode très recommandée. Avec iCloud, il est possible de déclencher des sauvegardes automatiques régulièrement.

Apple vous demandera aussi de définir un nouveau mot de passe pour déverrouiller l’iPhone. Cette fois-ci, tenter de trouver une combinaison de mnémotechnique.

 

REF.:   https://www.iphon.fr/post/reinitialiser-iphone-sans-mac?fbclid=IwAR2zaVD25aXebmcAKfFtKpknHrW2jDtMgpSQQNICr2JjvlI6Yy2779AGu_U

 

 

Protection de l’enfance (CSAM) : Apple fait marche arrière ?

En fait pas vraiment, selon des déclarations d’un représentant de la marque.

Publié le

 16 décembre 2021 à 13:00

Par

iPhon.fr

Assez discrètement et apparemment entre le 10 et le 13 décembre derniers, Apple a supprimé de son site toute mention à la fonctionnalité de détection du CSAM annoncée plus tôt dans l’année. Celle-ci avait, on le rappelle, suscité la controverse car elle consistait -basiquement- à lire le contenu de votre iPhone à la recherche d’images pédopornographiques.

Dans un entretien avec le magazine américain The Verge, il apparaît cependant que Cupertino ne souhaite pas vraiment mettre un terme à cette initiative mais qu’elle est simplement reportée comme c’est notamment le cas d’Universal Control sur macOS Monterey ou encore des cartes d’identité numérisées sur iOS 15. C’est en tout cas ce qu’affirme Shane Bauer, un employé de la Pomme interrogé par le journal.

Il y a encore du travail

En fait, il semble qu’Apple a pris conscience de la critique collective générée par son annonce que certains comparent sans hésiter à un véritable risque pour la confidentialité de leurs données personnelles. Des inquiétudes d’ailleurs récemment confirmées par le non moins sérieux New York Times, qui assure que l’Europe réfléchit déjà à développer un programme similaire dont l’objectif serait de surveiller ses citoyens sous couvert de lutte contre le terrorisme.

Impossible de savoir précisément quand le scan des images iCloud sera déployé, mais avec 5 Go de stockage offert chaque utilisateur ne dispose potentiellement plus que de quelques mois pour trier sa photothèque afin d’éviter tout danger. Quant à ceux qui ont opté pour un forfait payant avec encore plus de données, nous n’avons plus qu’à leur souhaiter bon courage.

Les dérives existent bel et bien

Si le principe même de la solution de protection de l’enfance est certes louable, c’est bien ce que peuvent en faire des acteurs institutionnels qui pose problème. Cupertino est d’ailleurs totalement transparente sur le sujet et publie régulièrement des chiffres détaillant les demandes étatiques de déblocage d’iPhone suspects.

Or, comme a pu le montrer l’usage détourné du spyware Pegasus, il suffit que des officiels choisissent d’axer leur stratégie sur d’autres canaux (identification des activistes et de l’opposition, etc.) pour qu’iOS abandonne indirectement et en un clin d’œil sa fameuse promesse de sécurité sans cesse renouvelée par son éditeur.

* child sexul abuse material = fichiers à caractère pédopornographique

 

REF.:   https://www.iphon.fr/post/protection-enfance-marche-arriere

 

 

Une règle fail2ban contre la vuln log4j

@Korben  —  17 décembre 2021

Si vous êtes encore en train de lutter avec la faille log4j, il y a des tas de techniques pour parer l’attaque comme vous pouvez le lire ici ou grâce à Crowdsec. Mais même si vous avez tout patché et que vous ne risquez plus rien, il y a probablement des tas de rigolos qui tentent quand même leur chance. Et ça pourrit vos logs.

La meilleure solution serait donc de bannir toutes les IPs qui tentent d’exploiter cette vulnérabilité.

Jay Caines-Gooby a mis en ligne sur son site une règle fail2ban qui détecte et bannit immédiatement les IPs des affreux qui jouent avec log4j.

Pour cela, ajoutez la règle suivante dans /etc/fail2ban/jail.local

[log4j-jndi]
maxretry = 1
enabled = true
port = 80,443
logpath = /path/to/your/*access.log

Puis créez le fichier

/etc/fail2ban/filter.d/log4j-jndi.conf

et mettez y la définition regex suivante :

[Definition]
failregex   = (?i)^<HOST> .* ".*$.*(7B|{).*(lower:)?.*j.*n.*d.*i.*:.*".*?$

Et voilà !

Merci à Henri pour l’info et si vous voulez suivre les discussions sur cette règle Fail2Ban, le gist du code est ici.

 

REF.:   https://korben.info/fail2ban-log4j.html?fbclid=IwAR24UIAhp3zRokF5-gpbBRpQN_i38YWtGEEhGWkl73ZhGNJWJezN7Vo2bRg