Archives pour la catégorie Hackers

Nous traiterons des sujets d’actualité sur les groupes de hackers du monde entier qui agissent dans l’ombre et commettent des cybercrimes.

Les agences gouvernementales Américaines et entreprises privées aurait été ciblées par des pirates informatiques selon le FBI

Le mois dernier, la police fédérale américaine, le FBI (Federal Bureau of Investigation) envoyait un avertissement aux organes de sécurité de plusieurs organisations gouvernementales et entreprises privées américaines.

Selon cette dernière, les cybercriminels auraient profité d’une faille de sécurité présente sur la plate-forme sans se servir à la vérification des erreurs dans le code de SonarQube. Ainsi, ces derniers ont pu accéder au dépôt de code source.

Cet article va aussi vous intéresser : Sécurité informatique : le FBI alerte les entreprises étrangères installée en Chine

Un piratage informatique qui a exposé plusieurs code source venant de plusieurs organismes gouvernementaux et privées.

La police fédérale américaine n’a pas hésité à mettre en garde automatiquement les propriétaires de la plate-forme web, qui permet aux organisations de tester les codes sources de leurs logiciels, pour un détecter des failles de sécurité, avant tout le lancement de l’application dans une quelconque chaîne de production. Bien sûr comme on le sait, il faut tester d’abord les codes de source avant de déployer l’application.

Ce genre de contexte, est très favorable aussi aux cybercriminels. En effet, en exploitant les failles de sécurité, ils peuvent obtenir les codes des applications pour être en mesure de facilement les infiltrer. La suite est un jeu de vol de données et de piratage classique. À ce propos, la police fédérale américaine a déjà pu observer plusieurs tentatives d’intrusions ou des intrusions concrètes réalisées par des cyberacteurs. Tous associés à SonarQube.

Il faut préciser que les applications SonarQube sont installées sur des serveurs ou connectées aux systèmes d’hébergement de codes sources célèbre tel que GitHub, BitBucket ou encore GitLab. Ces mêmes applications sont présentes dans des systèmes tels que Azure DevOps. Sinon la police fédérale américaine, des entreprises n’ont même pas pris la peine de modifier certaines configurations par défaut tel que les identifiants et les mots de passe. Il a été dit que les cybercriminels profitent de la faille de sécurité depuis maintenant avril 2020.

« Depuis avril 2020, des cyberacteurs non identifiés ont activement ciblé des instances vulnérables de SonarQube pour accéder aux dépôts de code source des agences gouvernementales américaines et les entreprises privées. Les acteurs exploitent des vulnérabilités de configuration connues, leur permettant d’accéder à du code propriétaire, l’exfiltrer et afficher les données publiquement. Le FBI a identifié de multiples intrusions informatiques potentielles en corrélation avec les fuites associées aux vulnérabilités de la configuration de SonarQube », pouvait-on lire dans le document du FBI.

Les pirates informatiques selon le FBI en profiter pendant tout ce temps de cette vulnérabilité pour infiltrer les applications et les systèmes informatiques, exécuter des programmes malveillants sur les applications propriétaire du secteur privé ou public. Deux exemples palpables fournis par la police fédérale américaine justifient cet état de fait. Des incidents qui ont eu lieu durant le mois dernier.

« En août 2020, des acteurs de la menace inconnue ont divulgué des données internes de deux organisations par le biais d’un outil de dépôt public de cycle de vie. Les données volées provenaient d’instances SonarQube qui utilisaient des paramètres de port par défaut et des identifiants d’administration fonctionnant sur les réseaux des organisations concernées ».

« Cette activité est similaire à une précédente fuite de données en juillet 2020, dans laquelle un cyberacteur identifié a exfiltré le code source propriétaire d’entreprises par le biais d’instances SonarQube mal sécurisées et a publié le code source exfiltré sur un dépôt public auto hébergé », note le FBI dans son rapport.

Sécurité informatique du nom de Till Kottmann avait signalé durant le mois d’août que certaines instances de la plateforme web avaient été mal configurées. Pour prouver ce qu’il avance, il rassemble sur une plateforme publique, des codes sources provenant de grandes entreprises technologiques.

« La plupart des gens semblent ne modifier absolument aucun des paramètres, qui sont en fait correctement expliqués dans le guide de configuration de SonarQube », a dit Kottmann dans une déclaration. « Je ne connais pas le nombre actuel d’instances SonarQube exposées, mais je doute que cela ait beaucoup changé. Je pense qu’il y a encore plus de 1000 serveurs (indexés par Shodan) qui sont « vulnérables », soit parce qu’ils ne nécessitent pas d’authentification, soit parce qu’ils laissent des créneaux par défaut », note le chercheur.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Le groupe de pirates informatiques Maze aurait-il disparu ?

Cela se justifierait avec plusieurs témoignages qui vont tous dans le même sens.

Par rapport à plusieurs d’observation, il semblerait que le groupe de cybercriminels assez célèbre dans leur secteur, ayant pour particularité l’utilisation de logiciel Maze, aurait cessé leurs activités.

Cet article va aussi vous intéresser : Un pirate informatique de 16 ans permet aux autorités policières d’identifier des coupables de viol

À titre de rappel notons que le groupe dont t-on parle ici est spécialisé dans les attaques au rançongiciel. Il cible généralement les grandes entreprises. Et les informations depuis le début de la semaine tourner sur plusieurs plateformes en ligne. Ce groupe serait prêt à tirer sa révérence. S’il ne l’a pas déjà fait.

Selon le média en ligne Bleeping Computer, ces cybercriminels sont sur le point de stopper définitivement leur activité. Cette supposition a été fondée par le fait d’une baisse d’activité significative du groupe. Ces 6 dernières semaines, laisser les pirates informatiques ont procédé à moins d’actions que d’habitude. Des personnes affiliées au groupe l’on même envisagé. Maze sera vers la fin de ces activités.

Par ailleurs, le média en ligne a remarqué lors des enquêtes que le site internet utilisé par le groupe de pirates informatiques pour divulguer les données personnelles volées lors de leurs cyberattaques dans le but de mettre la pression sur leur victime et puis un peu en train d’être purgé par des opérateurs. Les données sensibles portant sur certaines victimes de pirates informatiques sont en train d’être retirer peu à peu. Depuis le mercredi dernier, les noms de domaine utilisé généralement par le groupe pour rediriger les internautes vers son site habituel montre que ce dernier est inaccessible.

Contacté par la plate-forme Bleeping Computer, les pirates informatiques n’ont pas voulu faire de commentaire. Ils précisent néanmoins qu’ils feront un communiqué ces jours-ci pour expliquer l’évolution de leur statut. Il semblerait que, de nombreux hackers affiliés au groupe, ont déjà commencé à s’affilier à d’autres, tel que Egregor, l’équipe de hackers que l’on soupçonne d’avoir attaqué le célèbre éditeur de jeux vidéos Ubisoft. Comment le sait déjà les groupes tels que celui de Maze enfin fonctionnement qui procède par affiliation. Par exemple, le groupe de cybercriminels à l’origine du programme malveillant propose à l’heure service à d’autres acteurs du secteur, qui peut consister par exemple à s’introduire dans le réseau informatique au bout de quelques intimes ciblées et d’activer par exemple logiciel de rançonnage. Ainsi le groupe Maze par exemple peut lui se charger par la suite des négociations au niveau de la rançon et de la redistribution des potentiels gains.

C’est en 2019 que le groupe utilisant Maze a apparu sur le devant de la scène. Il a très vite attiré l’attention à travers ces applications assez inédites de l’utilisation des logiciels de rançonnage. Contrairement aux autres à l’époque, ce groupe a préféré utilisé les attaques ciblées contrairement aux attaques aveugles largement répandues. Ils sont aussi les premiers à avoir pensé créer un site internet pour revendiquer les attaques qu’ils initiaient. Un site utilisé aussi pour diffuser certaines informations collectées lors de la cyberattaque de sorte à non seulement confirmer la paternité des attaques informatiques, mais aussi mettre la pression sur les victimes pour qu’elles n’envisagent même pas refuser le paiement de la rançon. C’est là que le paiement des sommes très élevées ont commencé à être exigées.

L’une des premières victimes de ce groupe de pirates informatiques en 2020 est le groupe du BTP français, Bouygues construction. La méthode inédite du groupe a tellement fait sensation que plusieurs autres pirates informatiques s’en sont inspirés.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Un groupe de cybercriminels qui serait affilié au gouvernement Iranien est sanctionné par le régime Américain

L’OFAC (Office of Foreign Assets Control), le département du Trésor Américain a déclaré la semaine dernière qu’il impose des sanctions au groupe de cybercriminels APT39.

Selon ce dernier, ces cybercriminels seraient affiliés au gouvernement Iranien, à une société écran et 45 personnes physiques. Dans son récent communiqué on peut lire ceci : « Masqué derrière sa société écran, Rana Intelligence Computing Company (Rana), le gouvernement iranien (GOI) a mené une campagne de logiciels malveillants qui a duré des années qui ciblait des dissidents iraniens, des journalistes et des entreprises internationales du secteur du voyage.

Cet article va aussi vous intéresser : Le département de la sécurité intérieure Américain touché par une vulnérabilité sévère

Parallèlement à l’action de l’OFAC, le Federal Bureau of Investigation (FBI) des États-Unis a publié des informations détaillées sur APT39 dans une alerte de renseignement public ». L’administration américaine ajoute par la suite : « Le régime iranien utilise son ministère du renseignement comme un outil pour cibler des civils et des entreprises innocentes et faire avancer son programme de déstabilisation dans le monde entier », a déclaré le secrétaire au Trésor Steven T. Mnuchin. « Les États-Unis sont déterminés à contrer les cyber-campagnes offensives conçues pour compromettre la sécurité et infliger des dommages au secteur du voyage international. »

Cette décision est saluée par bon nombre de personnalités de la classe politique américaine, à savoir le secrétaire d’État américain, Mike Pompeo. Ce dernier dans un tweet récemment saluait l’initiative de l’Office of Foreign Assets Control : « Aujourd’hui, les États-Unis ont sanctionné 47 personnes et entités iraniennes impliquées dans le réseau mondial de cybermenaces du régime iranien. Nous continuerons à dénoncer le comportement néfaste de l’Iran et nous ne reculerons jamais en protégeant notre patrie et nos alliés contre les pirates iraniens. »

En l’espèce, l’administration américaine du Trésor signifiait dans son communiqué : « Rana fait progresser les objectifs de sécurité nationale iranienne et les objectifs stratégiques du ministère iranien du renseignement et de la sécurité (MOIS) en menant des campagnes d’intrusions informatiques et de logiciels malveillants contre des adversaires présumés, y compris des gouvernements étrangers et d’autres personnes que le MOIS considère comme une menace. APT39 est en cours de désignation conformément à E.O. 13553 pour être détenu ou contrôlé par le MOIS, qui avait été précédemment désigné le 16 février 2012 en vertu des décrets 13224, 13553 et 13572, qui ciblent respectivement les terroristes et les responsables de violations des droits de l’homme en Iran et en Syrie. » par ailleurs : « Les 45 personnes désignées ont occupé diverses fonctions tout en étant employées chez Rana, notamment en tant que gestionnaires, programmeurs et experts en piratage informatique. Ces personnes ont apporté leur soutien aux cyber-intrusions du MOIS visant les réseaux d’entreprises internationales, d’institutions, de transporteurs aériens et d’autres cibles que le MOIS considérait comme une menace » ajoute le Trésor américain.

L’administration notera qu’une intervention de la police fédérale américaine, le FBI, a été nécessaire pour contrer les velléités de ce groupe de cybermalveillants. D’ailleurs, Christopher Wray, le directeur du Fédéral Bureau of investigations (FBI) déclare à cet effet : « Le FBI, par le biais de notre Division Cyber, s’est engagé à enquêter sur les cyber-campagnes malveillantes et à les interrompre, et à collaborer avec nos partenaires du gouvernement américain pour imposer des risques et des conséquences à nos cyber-adversaires.

Aujourd’hui, le FBI publie des indicateurs de compromis attribués au MOIS iranien pour aider les professionnels de la sécurité informatique partout à protéger leurs réseaux contre les actions malveillantes de cet État-nation ». Il a souligné aussi : « Le MOIS iranien, par l’intermédiaire de sa société écran Rana, a recruté des personnes hautement qualifiées et transformé leurs cyber-talents en outils pour exploiter, harceler et réprimer leurs concitoyens et d’autres personnes considérées comme une menace pour le régime. Nous sommes fiers de nous joindre à nos partenaires du Département du Trésor pour dénoncer ces actions. Les sanctions annoncées aujourd’hui tiennent ces 45 personnes pour responsables du vol de données non seulement sur des dizaines de réseaux ici aux États-Unis, mais aussi sur des réseaux dans les pays voisins de l’Iran et dans le monde ».

Selon le département du Trésor américain, le groupe de cybercriminels est camouflé derrière l’entreprise dénommée Rana. L’administration financière affirme que ces derniers ont utilisé durant les derniers mois plusieurs outils de cyber intrusion dans le but de cibler et de surveiller des citoyens Iraniens vivant sur le sol des États-Unis en particulier des journalistes ou des personnes dissidentes. Au regard des actes de cybermalveillance avérés selon elle, l’administration américaine prononce une sanction à l’égard des biens détenus par ces derniers. À ce sujet on pourrait lire dans son communiqué : « tous les biens et intérêts dans la propriété des personnes physiques et morales ci-dessus, et de toute entité qui leur appartient, directement ou indirectement, à 50% ou plus, individuellement ou avec d’autres personnes bloquées, qui se trouvent aux États-Unis ou qui sont en possession ou sous le contrôle de personnes américaines, sont bloquées et doivent être signalées à l’OFAC. Sauf autorisation par une licence générale ou spécifique délivrée par l’OFAC ou autrement exemptée, la réglementation de l’OFAC interdit généralement toutes les transactions par des personnes américaines ou à l’intérieur (ou en transit) des États-Unis qui impliquent des biens ou des intérêts dans la propriété de personnes désignées ou autrement bloquées. Les interdictions comprennent la contribution ou la fourniture de fonds, de biens ou de services par, à ou au profit d’une personne bloquée ou la réception de toute contribution ou fourniture de fonds, biens ou services d’une telle personne. ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

L’efficacité des hackers éthiques s’observe en minutes

Récemment, la société spécialisée dans la mise en relation des sociétés et hackers éthiques, connue sous le nom de HackerOne a récemment mis à la disposition du grand public son rapport portant sur les dernières tendances de l’hacking éthique ainsi que son impact direct dans le monde des entreprises. Il est intitulé : « Hacker-Powered Security Report 2020 ».

Cet article va aussi vous intéresser : La start-up HackerOne fait une levée de fonds

Selon ce rapport, les pirates informatiques appelés hackers éthiques ont détecté en 1 ans, plus de 180 000 failles de sécurité. Un chiffre qui s’est multiplié par deux au regard de l’année précédente. Cela représente en moyenne un tiers de toutes les vulnérabilités qui ont été découverte par les hackers éthiques depuis le lancement de HackerOne. Ce qui confirme clairement que les grandes entreprises commencent à s’intéresser de plus en plus à la question de la sécurité collaborative.  Et cela se comprend très bien.

En effet avec la pandémie en coronavirus, la cybersécurité es devenue un aspect très essentiel du développement de l’entreprise. Une grande partie des organisations à travers le monde, soit 36 % de celles qui ont été interrogées admis avoir accéléré leurs initiatives dans le secteur de l’informatique et des nouvelles technologies. Ce qui est bien évidemment a fait apparaître plus de vulnérabilités dans les systèmes et programmes informatiques.

Par ailleurs, 30 % des organisations ont aussi confirmé qu’elles avaient observées une nette augmentation des attaques informatiques. De leur côté, le spécialiste de la sécurité en signaler 28 % de failles de sécurité logicielles en plus par mois. Et ce qui est de nature à préoccuper grandement les responsables des sécurités des systèmes d’information qui ne manque pas de le signaler. L’impact des attaques informatiques qui ne cesse de se multiplier. 64 % d’entre eux ont estimé que leur organisation et beaucoup plus exposés aux cyber menaces. 30 % des responsables de sécurité de système d’information ont exprimé encore plus leurs inquiétudes lorsque leur équipe a été réduit de près d’un quart ou lorsque le budget alloué à la sécurité informatique a été réduit de son côté.

« Réduction de budget et de personnel, augmentation des cyberattaques et efforts menés pour soutenir le télétravail ont clairement mis une pression inédite sur les équipes de sécurité », a souligné le PDG de HackerOne, Marten Mickos. « De plus, la nécessité de développer de nouvelles solutions pour s’adapter au nouveau monde créé inévitablement de nouvelles vulnérabilités. Avec une surface d’attaque qui évolue rapidement, les approches traditionnelles de la sécurité ne sont plus suffisantes. Il est temps de trouver des solutions réellement efficaces et agiles » ajoute ce dernier.

Dans l’ensemble, on peut retenir de rapport d’hacker One « Hacker-Powered Security Report » ces points importants :

– Environ 44,75 millions de dollars américains ont été versés en guise de prime de recherche de vulnérabilité aux hackers éthiques en une année seulement par HackerOne. En Europe il a été observé une augmentation de près de 86 %.

– La société HackerOne a versé près de 100 millions de dollars en guise de prime de recherche de bug au hackers éthiques ;

– Dans le top 10 des pays verset le plus de prime de recherche de bug, la France on se fraye une place avec un total de 1 223 231 dollars de primes versées sur l’année précédente ;

– Les hackers éthiques en France ont vu leurs revenus triplés en seulement 1 an soit une augmentation de près de 297 pourcents ;

– La prime moyenne versée pour la détection d’une faille de sécurité critique est de 3 650 dollars, ce qui constitue une augmentation d’environ 8 % par rapport à l’année précédente ;

– La prime individuelle proposée par HackerOne s’élève à 100 000 dollars ;

– Le gain annuel d’un hacker éthique s’évalue en moyenne à hauteur de 89 732 dollars ;

– Plus de 50 hackers ont réussi à gagner en 2019 près 100 000 dollars grâce aux programmes de recherche de bug ;

– HackerOne est composé aujourd’hui d’une communauté de prêt de 830 000 hackers éthiques. Ces derniers auraient engrangé depuis le début plus de 100 millions de dollars en détectant et en signalant près de 565 000 failles de sécurité ;

– 9 hackers éthiques venant de 7 pays différents en réussi à engranger près de 1 millions de dollars à travers les activités via hacker One ;

– Les hackers ont fait don de près de 30 000 dollars au Fond de Réponse Solidaire covid-19 développé par l’Organisation mondiale de la santé, via le programme Hack For Good ;

– L’industrie du hardware et le secteur qui a connu une augmentation en un an, des programmes de recherche de bug, soit une hausse de 250 pourcents. Vient en seconde position celui des biens de consommation qui a connu une augmentation de 243 %. En troisième position celui de l’éducation et de la santé m avec 200 % et de la santé ;

« Avec la pandémie, nous sommes en quelque sorte tous devenus des hackers – challengeant le statu quo, testant de nouvelles méthodes de travail et repoussant nos limites. Nos rapports montrent que depuis le début de la pandémie, 30 % des organisations ont été plus enclines à collaborer avec des hackers. Avec des résultats concrets et un coût abordable, même les secteurs les plus traditionnels sont désormais prêts à se lancer dans l’aventure de la sécurité collaborative » signifie le PDG de HackerOne.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

47 % des bases de données MongoDB exposées en ligne, un hacker tente de les rançonner

22 900, c’est le nombre de base de données MongoDB sur lequel un hacker a uploadé des notes de rançon.

Ces bases de données il faut le noter étaient exposée en ligne sans aucune protection préalable. Cette exposition comprend un peu 47 pourcents des bases de données accessible MongoDB en ligne.

Cet article va aussi vous intéresser : Attaque au rançongiciel : une entreprise polynésienne s’est fait surprendre

Pour retrouver les bases de données dont il est questions ici, le pirate informatique a utilisé des codes automatisés pour les rechercher en ligne. Une fois l’avoir eu, ce dernier a tout simplement effacé le contenu, et la place a laissé une note où il exige le paiement d’une façon de 0,015 bitcoin, soit 140 dollars

Par la suite, le cybercriminel donne au entreprises un délai de 2 jours pour le paiement de la rançon. Si cela ne se fait pas comme demander, il menace de divulguer alors les données qu’il a récoltées, et par la suite, contacter les autorités en charge du respect du RDPD, le règlement général sur la protection donnée, pour signaler une fuite.

Depuis Avril 2020, ce genre d’attaques exigeant des rançons de type (READ_ME_TO_RECOVER_YOUR_DATA) ont plusieurs fois été observées. Selon Victor Gevers, un expert de la sécurité informatique, a souligné le fait qu’à l’origine, cette pratique n’était pas accompagnée d’effacement de données.

Le pirate informatique a continué à rester connecter sur la base des années concernées pour ensuite y laisser une nouvelle note quelques jours plus tard.

L’agresseur a continué à se connecter à la même base de données, laissant la demande de rançon, puis y retournant pour laisser une autre copie de la même demande, quelques jours plus tard.

Selon notre expert en cybersécurité, Victor Gevers, parmi les données récupérées par le cybercriminel, certaines étaient juste pour des outils de test, une grande partie des systèmes de production ont été affecté, car leurs données ont été supprimées. L’expert avait signalé qu’il avait remarqué dans l’exercice de sa tâche, dans la Fondation GDI, que les données concernées avaient bel et bien été effacées un peu plus tôt dans la journée lors des différentes vérifications des systèmes MongoDB. Des systèmes qu’il avait la tâche de surveiller et de sécuriser. « Aujourd’hui, je n’ai pu signaler qu’une seule fuite de données. Normalement, je peux en faire au moins 5 ou 10 », note Victor Gevers.

Selon ce dernier, il est possible d’observer ce genre de genre de cyberattaque continuellement depuis fin 2016. En effet ce genre d’attaques contre les données dans le contexte de « MongoDB wiping & ransom » ne sont pas en pratique, quelque chose de récent. Les attaques répérées par l’expert en sécurité informatique rentre dans un contexte d’attaques informatiques qui se fait incessante depuis le mois de novembre 2016.

Et pour cause, les pirates informatiques se sont rendu compte qu’ils avaient la possibilité de se faire beaucoup d’argent. Tout simplement en copiant et effaçant les données des serveurs MongoDB, avec une demande de rançon à la place. Comme ils le savent certainement, les propriétaires de serveur qui souvent désespérés de perdre leur donnée, sont souvent tentés de payer les sommes exigées pour les récupérer.

On compte près de 28 000 serveurs qui auraient été ciblés par des cyberattaques en série en janvier 2017. En septembre 2017, le nombre était à 26 000 puis en février 2019 à 3000. Une manière de montrer la récurrence de ces incidents de sécurité.

Le directeur principal de la sécurité des produits de chez MongoDB, Davi Ottenheimer, accusé en 2017 les propriétaires de cette base de données, de ne pas prendre les mesures sécuritaires idoines pour les protéger, les exposants ainsi avec cyberattaque. Car il en existe plusieurs de ces bases de données qui n’avaient pas de pare-feu. Malheureusement même 3 ans plus tard, aucune amélioration n’a été observé à ce niveau. Sur les 60 000 serveurs indexés par le directeur de la sécurité, 48 100 sont toujours exposés sur internet sans aucune protection. Et la majorité d’entre eux ne possèdent pas de véritable mode d’authentification activés.

Dans la majorité des cas, ces serveurs se trouvent exposé en ligne sans aucune protection, lorsque leurs administrateurs ont suivi des règles de configuration qui n’était pas correctes. Car la configuration par défaut de toutes les bases de données MongoDB est aujourd’hui procurés avec des paramètres par défaut qui sont sécurisés. Et pourtant il reste encore des dizaines de milliers de serveurs qui manque de la sécurité la plus basique possible et continue d’être un facilement accessible sur internet sans qu’aucune application logique ne puisse éclaircir cela.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage