Archives par mot-clé : cybercriminels

Cybercriminalité : Europol démantèle un VPN géré par des cybercriminels

Durant le mois de janvier, la coopération policière et européenne a participé à une action conjointe qui a eu pour objectif de saisir des serveurs utilisés par des pirates informatiques pour réaliser leurs actions de cybermalveillance en toutes clandestinités.

Ces serveurs ont été utilisés pour attaquer près de 100 entreprises à travers le monde.

L’impact immédiate de ces actions ont été le démantèlement d’un réseau VPN qui est utilisé par les cybercriminels dans le but de distribuer des programmes de rançonnage ou plusieurs autres logiciels malveillants ainsi que la coordination de leurs activités criminelles en ligne. L’opération qui était d’envergure internationale a été coordonnée et soutenue par Europol.

Cet article va aussi vous intéresser : Cybersécurité et télétravail : quel est le véritable impact des VPN

Plusieurs autres services policiers nationaux et internationaux ont participé à cette action.

Notamment :

  • Le FBI, la police fédérale américaine ;
  • Le service de police Allemand de Hanovre ;
  • La National Crime Agency (NCA) du Royaume-Uni et d’autres organismes publics.

Au total, c’est près de 15 serveurs qui ont été mis hors ligne pour mettre fin au service VPNLab.net

Ce service de VPN clandestin a été observé par Europol après plusieurs enquêtes réalisées par ces derniers. Les cybercriminels utiliser ce réseau virtuel privé pour dissimuler leurs actions mais aussi distribuer des programmes malveillants dans le cadre de leurs cyberattaques. Parmi les actions les plus utilisés ou observées directement liées à ce réseau virtuel privé, nous avons plusieurs campagnes de déploiement de logiciel de rançonnage.

Selon les données fournies par Europol, VPNLab.net existe depuis 2008. Il fonctionnait à travers un service de technologie de type OpenVPN équipé du chiffrement 2 048 bits pour améliorer l’anonymat en ligne, pour seulement 60 dollars par an. Il fournissait aussi service de réseau virtuel privé double qui était appuyé par des serveurs distribués dans plusieurs pays. « Cela a faisait de VPNLab.net un choix populaire pour les cybercriminels, qui pouvaient utiliser ses services pour continuer à commettre leurs crimes sans craindre d’être détectés par les autorités », note l’agence policière européenne.

De manière, plusieurs attaques informatiques ont été initié à travers ce service de VPN. Grâce aux serveurs qui ont été saisies, il a de fortes chances, que les autorités puissent identifier des cybercriminels ainsi que des victimes d’attaques informatique grâce aux données qu’il pourrait récolter.

Pour le moment, on ne sait pas encore quels types de logiciels malveillants ont été distribués à travers ce service. Il en est de même pour les types de logiciels de rançonnage

À l’heure actuelle, l’enquête a permis d’identifier près de 100 entreprises qui aurait été exposés à de potentielles attaques informatiques à travers le serveur démontés. Actuellement, avec l’aide des autorités, elles s’organisent dans le but de mieux se protéger.

« Les actions menées dans le cadre de cette enquête montrent clairement que les criminels sont à court de moyens pour cacher leurs traces en ligne », note Edvardas Šileris, le directeur du Centre européen de lutte contre la cybercriminalité (EC3) d’Europol.

« Chaque enquête que nous menons alimente la suivante, et les informations obtenues sur les victimes potentielles signifient que nous avons peut-être évité plusieurs cyberattaques et fuites de données graves », ajoute ce dernier.

L’action les autorités policières sur impulsion de Europol a eu lieu le 17 janvier 2022. Plusieurs Etats était impliqué à savoir

  • Les Pays-Bas ;
  • La République tchèque ;
  • La Hongrie ;
  • Le Canada ;
  • La Lettonie ;
  • L’Ukraine ;
  • Les États-Unis ;
  • Le Royaume-Uni ;
  • L’Allemagne ;
  • La France.

« Un aspect important de cette action est également de montrer que, si les fournisseurs de services soutiennent une action illégale et ne fournissent aucune information aux forces de l’ordre, ces services ne sont pas bulletproof », note Volker Kluwe, chef du département de police de Hanovre, qui a été à la tête du démantèlement.

Dans ce domaine, les personnes qui offrent des services numériques sont généralement surnommé des opérateurs « bulletproof » dans le secteur de la cybersécurité. Cela peut à la fois désigner un fournisseur de messagerie chiffrée ou encore un hébergeur de site web.

« Cette opération montre le résultat d’une coopération efficace des services internationaux, qui permet de mettre hors service un réseau mondial et de détruire de telles marques », note Volker Kluwe.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Comment pirater des mots de passe : voici quelques astuces utilisées couramment par les cybercriminels

Les mots de passe sont toujours important dans la sécurisation de nos accès.

Malgré le développement accru des méthodes d’authentification biométrique, le mot de passe restant malgré tout au cœur des systèmes de connexion.

Cet article va aussi vous intéresser : Pirater un compte Facebook : comment les hackers s’y prennent

Dans notre article, nous avons décidé de faire un point sur la méthode la plus couramment utilisée par les cybercriminels pour voler vos mots de passe. Certains sont déjà connu d’autres très peu. Pourquoi c’est si important de connaître ces méthodes ? Bien évidemment pour vous en protéger. Il existe tout un business qui fonctionne autour des identifiants de connexion. Avec une meilleure approche et une meilleure connaissance du sujet, vous pouvez vous protéger accroître la sécurisation de vos accès en ligne.

1 – Le phishing / l’hameçonnage

C’est une pratique assez populaire dans le secteur de la cybermalveillance. Tous les utilisateurs d’Internet ont déjà été victime de phishing ou de tentative de phishing. C’est une pratique tellement courante qu’elle passe aujourd’hui inaperçue. On ne s’en rend pas compte peut-être mais, c’est une activité clé dans la réalisation de campagne de piratage informatique d’ampleur. Le phishing consiste tout simplement à attirer l’utilisateur vers une plate-forme gérée typiquement par le pirate. L’objectif est de pousser l’individu à fournir des informations sur lui de manière autonome tout en lui faisant croire qu’il est sur un site internet légitime. Il possède généralement par l’envoie de courriel ou de message texte à travers les réseaux sociaux, message qui contient le plus souvent un lien qui redirige l’utilisateur lorsqu’il clique dessus.

2 – L’ingénierie sociale

Cette pratique montre à quel point les humains peuvent être facilement manipuler. En vérité l’ingénierie sociale n’est pas un vraiment du piratage informatique. Si pendant longtemps c’était une pratique qui était méconnu par les utilisateurs de services numériques, en 2020 elle a été au cœur de plusieurs discussions et même au cœur de l’actualité. Notamment à cause du piratage de plusieurs comptes Twitter appartenant à des personnalités très importantes dans le monde à savoir Bill Gates, Barack Obama, Elon Musk. Il a été démontré que le hacker qui n’est autre qu’un adolescent, avait user de cette pratique pour détourner des données important qui lui ont permis de réussir son hacking. L’ingénierie sociale est une méthode qui consiste à tisser des liens avec la personne ciblée dans le but de lui soutirer des informations de manière prudente et déguisée. En d’autres termes c’est de la manipulation. Et de manière certaine elle fonctionne efficacement.

3 – Les programmes malveillants (malwares)

Aujourd’hui, il existe énormément de programmes malveillants en circulation qui ont été conçu spécialement pour voler les mots de passe. Ils se cachent généralement derrière des messages de phishing considérés comme les vecteurs principaux de ce genre de logiciels. Il n’est pas rare aussi qu’ils sont dissimulés derrière des applications disponible sur des stores de logiciels, se faisant passer pour les applications de légitime. Certains de ces logiciels sont même mise en vente et constamment utilisés par des particuliers qui ne sont pas forcément des pirates informatiques. Il en existe différentes formes dont les plus répandus sont le plus souvent les chevaux de Troie (Trojan) et les enregistreurs de frappe (Keylogger). On n’exclut pas dans la foulée les logiciels espions (spyware)

4 – L’attaque par force brute

L’attaque par force brute est une technique consiste à forcer la connexion à un système en essayant de manière brutale plusieurs identifiants de connexion de sorte à briser l’intégrité de ce dernier. Le plus souvent, les hackers utilisent un ensemble de données qu’ils ont récolté via les bases de données (piratées ou récupérées) pour répéter les tentatives de connexion jusqu’à ce que la meilleure information puisse être à trouver. Dans le contexte, il existe plusieurs versions de l’attaque par force brute. L’homme le plus courant est le bourrage d’identifiants (creditial stuffing) où le hacker va insérer un grand volume de données personnelles dans le système dans le but de trouver le bon. Selon une étude, c’est près 293 milliards de tentatives de ce genre qui ont été tentés en 2020.

5 – Le cassage de mot de passe

Contrairement à l’attaque par force brute, celle-ci consiste à essayer plusieurs éventualités et plusieurs combinaisons de mot de passe sans fortement s’appuyer sur des données qui existent déjà. Cependant le cassage de mot de passe s’inspire des méthodes utilisées par les utilisateurs pour constituer les mots de passe le plus couramment. Pour augmenter leur efficacité, les pirates informatiques utilisent des logiciels automatisés.

6 – Shoulder Surfing

Cette méthode n’est pas aussi du piratage informatique. C’est plutôt une méthode de sournoise qui consiste tout simplement à profitez de l’inattention de quelqu’un pour lui voler une information. Par exemple quelqu’un qui saisit son mot de passe sur son clavier pendant que le malveillant est à côté. Ce dernier se contente d’observer et de retenir l’information. Le plus souvent, cela arrive lorsqu’on compose des codes secrets en public. Il est aussi possible d’utiliser cette méthode en utilisant des jumelles pour une mise en pratique à distance ou encore une caméra embarquée. Il peut aussi s’agir de micro. Ensemble tout moyen qui permet d’observer une personne en train de saisir son mot de passe.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Rançongiciels : L’histoire une entreprise qui refuse de payer la rançon des cybercriminels

Comme nous le savons déjà, les entreprises sont soumises à une grosse pression de la part des cybercriminels.

Notamment à cause des logiciels de rançon qui circulent trop ces temps-ci. À tout moment une organisation privée peut être victime d’une attaque aura son logiciel. C’est d’ailleurs c’est qui est arrivé à une entreprise basée en Australie du nom de Langs Building Supplies. Cependant l’histoire de cette entreprise australienne est totalement différente.

Cet article va aussi vous intéresser : Rançongiciels : pourquoi les forces de l’ordre ont toujours du mal à mesurer l’ampleur du phénomène

Le fait débute à partir du 20 mai 2021, lorsqu’il est sur le point de partir en vacances, le directeur des systèmes d’information Matthew Day, observe qu’une situation peu évidente vient de se produire.

« J’allais partir en vacances. Mais j’ai reçu un coup de fil à quatre heures du matin, me disant en gros : Je ne peux pas me connecter, que se passe-t-il ? », raconte ce dernier. Ce dernier décide alors de se rendre à son bureau situé à Brisbane. Précisément au siège de l’entreprise qui s’est spécialisée dans la fourniture de matériaux de construction. Sur le trajet ce dernier a plutôt cru à une panne ou une défaillance imprévue. Malheureusement pour lui les choses étaient pire. Ils vont apparaître sur les écrans des ordinateurs de son entreprise l’expression suivante. : « Vous avez été piraté. ». Son entreprise est victime d’une attaque au rançongiciel. Le programme de rançon utilisé ici est Lorenz. Il a chiffré l’accès à plusieurs serveurs et à des milliers de fichiers.

Les cybercriminels exigent alors le paiement d’une rançon de 15 million de dollars en bitcoin. Et ce n’est pas tout, ces derniers menacent de publier les informations confidentielles si l’entreprise n’est cédée pas au paiement de la rançon.

 « En réalité, c’est une proposition plutôt effrayante, mais nous avons rapidement pu isoler l’attaque et la déconnecter du réseau », note Matthew Day.

Selon le DSI, cette attaque au rançongiciel s’inscrit certainement dans un objectif beaucoup plus détendu que de l’argent. Il croit que les pirates informatiques on a gym ici à cause du secteur d’activité de l’entreprise. En effet, à la période où l’attaque a été observé, l’Australie était sous confinement. Le gouvernement mettait tout en place pour que certains secteurs tels que la construction et le commerce puissent continuer à fonctionner correctement. Par conséquent, si une entreprise tel que Langs se trouve être dans l’incapacité de fonctionner correctement, c’est toute l’industrie de la région qui serait de près ou de loin affectée.

« C’est un événement de grande ampleur qui ne se limite pas à Langs, car si nous ne pouvons pas fournir les marchandises à un constructeur parce que nous sommes hors ligne, il ne peut pas construire cette maison. Cela ne fait qu’accentuer la pression », Souligne Matthew Day.

Malgré cela l’entreprise n’envisage pas de payer la rançon. Tout d’abord parce qu’elle dispose de plusieurs logiciels qui leurs permettaient de récupérer certaines données mais aussi d’analyser les informations qui ont été chiffrées au modifier sur le réseau en se référant au domicile déjà stockées, en dehors même du réseau principal. Tout ceci était possible en seulement quelques heures.

« J’étais assez confiant quant à l’aspect des données – nous utilisons Rubrik. Nous nous assurons qu’il y a une authentification multifactorielle et qu’il n’y a pas d’informations d’identification partagées, c’est un jardin clos », rapport Matthew Day. « Ces personnes veulent immédiatement s’en prendre à vos sauvegardes car cela fait monter la pression, donc s’ils ne peuvent pas accéder à vos sauvegardes, vous êtes dans une bonne position. », ajoute ce dernier.

Malgré cela les cybercriminels ont quand même essayé d’extorquer de l’argent à l’entreprise. Pour cela ils ont envoyé des mails à l’ensemble du personnel en leur mentionnant qu’ils possédaient leurs informations personnelles et sensibles, et qu’ils n’hésiteraient pas à les vendre sur le Dark web si l’entreprise où les employés ne cédaient pas au paiement des rançons exigées.

« Bien que 13 gigaoctets de données aient quitté le réseau, il s’est avéré qu’il s’agissait de trafic ping, donc rien qui puisse représenter un risque pour la sécurité ou la confidentialité des clients ou des employés de Langs. La réception des e-mails a été un choc pour le personnel », a expliqué Matthew Day. « Il faut communiquer avec les gens, leur expliquer. Nous avons pu montrer à l’entreprise qu’ils [les cybercriminels] jouent au chat et à la souris et que nous n’allons pas céder les premiers. Nous n’avons donc pas payé la rançon, le jour venu – et rien ne s’est passé », ajoute ce dernier.

Comment les cybercriminels ont réussi donc à accéder à leur système informatique ? Grâce à un fournisseur qui avait déjà été compromis. Grâce à leur entrée chez le fournisseur de la société australienne, ils ont pu alors envoyer un courriel corrompu à cette dernière.  « Ils ont répondu à une commande que nous leur avions envoyée de la manière exactement correcte, c’était un jeu vraiment intelligent pour ces gars-là. L’e-mail provenait d’un compte vérifié, d’une personne à un moment donné et d’une manière attendue par l’utilisateur, mon employé, avec le formatage correct et le numéro valide correct, de sorte qu’il ne s’agissait pas d’un faux compte, ni d’un compte usurpé, mais d’un vrai compte », explique le Matthew Day. « J’aurais dû rester plus fermement sur mes positions concernant l’accès externe et l’authentification à plusieurs facteurs. Nous en parlons depuis un certain temps et je faisais pression en ce sens, mais l’entreprise s’y opposait parce qu’elle considérait que c’était un fardeau supplémentaire pour les utilisateurs, une chose de plus qu’ils devaient apprendre et gérer », note le DSI. « Si j’avais eu l’authentification multifactorielle, nous aurions pu stopper cette attaque particulière dans son élan et je suis heureux de dire que nous pouvons maintenant avoir ce protocole d’authentification sur ces postes de travail externes. ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Attaque informatique : pourquoi être toujours sur le qui-vive ?

En fin d’année 2021, les entreprises continuent de subir la fougue des cybercriminels depuis le mois de novembre jusqu’à maintenant, il a été observé plusieurs attaques informatiques de différents types d’organisation, notamment la cyberattaque qui a touché de plein fouet le groupe Adelaïde, dans la nuit du 27 au 28 novembre.

L’entreprise a vu son système informatique pris d’assaut par un logiciel de rançonnage, pourtant ainsi atteinte aux activités de différentes filiales du groupe, à savoir Verlingue et Génération.

Cet article va aussi vous intéresser : L’espace de travail moderne : comment sécuriser son cadre

« Dans la nuit du 27 au 28 novembre, nous avons subi une cyberattaque de type rançongiciel qui a impacté une partie du système d’information exploité par le groupe et certaines de nos filiales dont Verlingue et Génération.

Nos systèmes de supervision ont permis de circonscrire rapidement l’attaque et nous avons immédiatement arrêté l’ensemble des systèmes pour éviter toute propagation. Il convient de préciser que nos filiales au Portugal et en Suisse n’ont pas été touchées. Et que Cocoon et Eyssautier-Verlingue ont pu poursuivre une partie de leur activité. », déclarait Gilles Bénéplanc, le directeur général du groupe Adélaïde et de Verlingue.

« Grâce à la mobilisation de nos équipes IT et le soutien d’experts en cybercriminalité, les investigations ont pu être menées extrêmement vite. C’est pourquoi, je suis en mesure de vous dire aujourd’hui, que seul l’un des serveurs de notre filiale Verlingue UK a subi une fuite de données ; qui plus est très minime. », ajoute ce dernier.

À la question de savoir pour quelle raison l’entreprise n’a pas suffisamment communiquer sur l’attaque informatique au moment où cela se déclarer, le responsable du groupe affirme que la priorité était d’abord de pouvoir isolé et circonscrire l’incident informatique. Ensuite, chercher un moyen de se libérer de ce programme informatique gênant. Et enfin déterminer la manière de pouvoir communiquer la situation au partenaire et au client sans pour autant les faire paniquer. Selon le premier responsable du groupe, il a fallu tout d’abord s’organiser et réaliser une enquête pour déterminer la cause de l’incident. Comme cela il a été beaucoup plus simple de communiquer là-dessus.

« Notre communication s’est calée sur chacune de ces étapes avec pour principe de dire ce que nous faisons et de faire ce que nous disons. Notre préoccupation a toujours été de maintenir une relation de confiance avec nos partenaires et nos clients. D’ailleurs, dès le 2 décembre nous publiions un bulletin d’information technique à destination des équipes sécurité d’un certain nombre de nos partenaires, afin de partager avec eux les premiers éléments de l’investigation. C’est également un événement particulièrement sensible pour nos collaborateurs auprès desquels nous avons développé une communication régulière sur des éléments dont nous étions certains. Et je mesure leur impatience de pouvoir retrouver leur poste de travail et reprendre leurs activités au service de l’ensemble de nos clients. », déclare Gilles Bénéplanc.

Au final, les conséquences de cette cyberattaque ont été l’exfiltration des données contenues dans les serveurs de la filiale verlingue basée en Royaume-Uni. Selon le premier responsable de la société victime, une équipe est en train de traiter de façon précise et nette cette situation. Il précise par ailleurs, qu’aucun autre serveur a été touché par l’attaque informatique.

De manière directe, il faut signifier que ce type d’attaque informatique contraint généralement les organisations Victimes à être très précautionneux dans leur mise en place système avant tu ouverture vers les accès externes. Situation qui malheureusement peut avoir des conséquences sur la reprise effective des activités. Portant ainsi atteinte à la productivité de l’entreprise. Mets du côté de Adelaïde, les responsables semblent très optimistes.

« Nous avons eu très tôt la confirmation que les sauvegardes n’ont pas été touchées et sont exploitables. Ainsi, les équipes opérationnelles travaillent depuis plusieurs jours au rétablissement de nos systèmes avec les meilleurs standards de sécurité. Les travaux avancent à un rythme soutenu, grâce à l’engagement total de nos équipes techniques et de nos collaborateurs. Certaines briques informatiques essentielles ont déjà pu être redémarrées. Progressivement, nous allons maintenant reconnecter nos applications métiers tout d’abord en local, pour permettre à nos équipes de répondre à nos clients. Et dès que nous aurons la garantie que notre réseau est parfaitement sécurisé, nous l’ouvrirons de nouveau vers l’externe et nos partenaires pour reprendre une activité nominale que nous souhaitons la plus rapide possible. Toutefois, ce type d’opération exige d’analyser minutieusement l’ensemble du système d’information, même si une partie seulement a été réellement touchée, car on ne veut prendre aucun risque, et c’est ce qui prend le plus de temps », déclare Gilles Bénéplanc.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Focus sur le groupe de cybercriminels Lyceum

C’est généralement un groupe de cybercriminels qui passe pour la plupart du temps inaperçu.

Récemment, suite à un rapport publié par des chercheurs en sécurité informatique d’Accenture Cyber Threat Intelligence (ACTI) et de Prevailion Adversarial Counterintelligence (PACT), il a été démontré que ces derniers se sont rendu coupable de plusieurs attaques informatiques d’ampleur assez importante. Notamment des cyberattaques visant des réseaux de télécommunication des fournisseurs d’accès pour la plupart basés au Maroc.

Cet article va aussi vous intéresser : Quand les membres du groupe opérateur du célèbre rançongiciel Clop se font arrêter

Pour plus d’information il faut signifier que ce groupe de hackers sont généralement affiliés à l’Iran.  On les connaît aussi sous la dénomination de « Hexane », de » Siamesekitten » et de et « Spirlin ». Ils sont connus pour avoir ciblé Israël, l’Arabie Saoudite, le Maroc, la Tunisie et plusieurs autres pays africains.

Grâce aux deux sociétés de cybersécurité dans leur apporter publié le 9 novembre, entre le mois de juillet 2021 et d’octobre 2021, il a été question de plusieurs attaques répétitives réalisées par ces pirates informatiques. Apparemment, ces derniers cibleraient des positionnement stratégiques les pays concernés par la compagne de cybercriminalité, comme a été mis en évidence dans le rapport.  « Des détails sur les dernières opérations, y compris les nouvelles victimes, les zones géographiques et les industries ciblée Newsroos ».

On retire aussi de ce rapport que plusieurs conclusions ont été corroborer par rapport à des analyses précédentes : « indiquant que l’accent est mis principalement sur les événements d’intrusion dans les réseaux informatiques destinés aux fournisseurs de télécommunications au Moyen-Orient ».

On peut retenir alors, que les cibles sont généralement des fournisseurs d’accès à internet et les agences gouvernementales des différents pays. Sans oublier bien sur les sociétés de Telecom. Il utilise pour la plupart du temps des chevaux de Troie pour leur campagne.

À y regarder de près, ces différentes cibles sont assez stratégiques surtout pour des organismes chargés de cyber espionnage.  En effet, en cas de compromission, les pirates informatiques Iraniens pourraient avoir « accès à diverses organisations et des abonnés en plus des systèmes internes qui peuvent être utilisés pour   plus parti des comportements malveillants », comme le précise l’étude. Par ailleurs, les sociétés de Telecom et les fournisseurs d’accès Internet peuvent être « utilisées par des acteurs de la menace ou leurs sponsors pour surveiller les personnes d’intérêt ».

Selon Cyber Threat Intelligence (ACTI) d’Accenture et l’Adversarial Counterintelligence Team (PACT) de Prevailion, le groupe de cybercriminels aurait utilisé de types de programmes malveillants à savoir « Shark » et « Milan ».

« Lorsque l’équipe ACTI/PACT a interrogé l’ensemble de données Prevailion pour le Newsroom des chemins d’URL codés en dur connus précédemment référencés, ont été observés dans les échantillons de Milan, ont observé la poursuite du balisage à partir d’une adresse IP qui a résolu à un opérateur de télécommunications au Maroc », a souligné le rapport.

« On ne sait pas si les balises de porte dérobée de Milan proviennent d’un client de l’opérateur de télécommunications marocain ou de systèmes internes au sein de l’opérateur. Cependant, étant donné que Lyceum a historiquement ciblé les fournisseurs de télécommunications et que l’équipe de Kaspersky a identifié un ciblage récent des opérateurs de télécommunications en Tunisie, il s’ensuit que Lyceum cible d’autres sociétés de télécommunications d’Afrique du Nord. L’équipe de recherche ACTI/PACT évalue donc que l’activité milanaise observée émane vraisemblablement directement de l’opérateur de télécommunications marocain », souligne l’étude.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage