Un nouveau gang de ransomware apparaît, une autre base de données ouverte trouvée, Nobelium dispose d’un nouvel outil de piratage et plus encore.
Bienvenue dans la cybersécurité aujourd’hui. C’est mercredi 29 septembre. Je suis Howard Solomon, auteur collaborateur sur la cybersécurité pour ITWorldCanada.com.
Une nouvelle souche de ransomware a été découvert. Étant donné le surnom de Colossus par les chercheurs de ZeroFox, l’acteur de la menace affirme avoir déjà victimisé une entreprise américaine qui possède plusieurs concessionnaires automobiles. L’attaquant menace de rendre publics 200 Go de données volées à moins que l’entreprise ne paie 400 000 $. Plus la société attendra, plus cette rançon augmentera.
Comme toujours, les meilleurs moyens de se défendre contre les ransomwares – et toute cyberattaque – consistent à s’assurer que les logiciels antivirus et de détection d’intrusions de l’entreprise sont à jour, en permettant l’authentification multifacteur pour tous les employés et sous-traitants, en limitant l’accès aux données sensibles à ceux qui en ont besoin, et segmenter les ressources réseau afin que les ransomwares ne puissent pas se propager sur différents systèmes.
Une autre personne a apparemment été négligent avec une base de données d’entreprise. Cette fois, la société impliquée gère le site Web de livres pour enfants appelé FarFaria. Le chercheur en sécurité Bob Diachenko de Comparitch a découvert une base de données ouverte appartenant au site contenant des informations sur près de trois millions d’utilisateurs, telles que leurs adresses e-mail, leurs jetons d’authentification de connexion et d’autres données. Lorsque Diachenko a alerté l’entreprise, l’accès à la base de données a été restreint. Souvent, la faute de tels incidents est un utilisateur qui ne configure pas correctement la base de données pour la sécurité.
Attention administrateurs de la version sur site du serveur de messagerie Microsoft Exchange : Microsoft a ajouté une nouvelle fonctionnalité dans la mise à jour cumulative de septembre pour aider à améliorer la sécurité. Appelé service d’atténuation d’urgence, il applique automatiquement les atténuations à Exchange créées par Microsoft. Les atténuations sont des correctifs temporaires pour les problèmes jusqu’à ce qu’une mise à jour de sécurité puisse être installée. Bien que le service d’atténuation d’urgence soit installé automatiquement avec la mise à jour cumulative de septembre, il peut être désactivé si l’administrateur préfère utiliser l’outil d’atténuation sur site Exchange identique mais basé sur le cloud.
Microsoft a également découvert que l’acteur de la menace derrière l’attaque SolarWinds qu’il appelle Nobelium a un nouvel outil dans son arsenal. C’est une autre porte dérobée dans les systèmes informatiques. Son objectif est de voler la base de données de configuration d’un serveur Active Directory Federation Services compromis. L’annuaire contiendrait tous les noms d’utilisateur et mots de passe des employés. Il est essentiel que les administrateurs Windows auditent leur infrastructure sur site et cloud pour s’assurer qu’ils n’ont pas été compromis. Il y a un lien vers le rapport détaillé ici.
Un autre rapport cette semaine, avertit à nouveau les développeurs de logiciels des dangers de l’écriture d’applications dangereuses. Palo Alto Networks a déclaré qu’il avait été embauché pour tester un grand fournisseur de logiciels en tant que service sans nom et qu’il avait découvert de nombreuses erreurs de configuration. En fait, il n’a fallu qu’un seul chercheur trois jours pour trouver des failles de développement de logiciels critiques qui auraient pu conduire à une cyberattaque réussie. La leçon est que les applications cloud peuvent être tout aussi vulnérables que les logiciels sur site à ce que l’on appelle les attaques de la chaîne d’approvisionnement qui insèrent du mauvais code ou des failles. Ces problèmes peuvent aller de l’utilisation de frameworks défectueux à un mauvais code open source. Les équipes DevOps et de sécurité doivent gagner en visibilité sur la nomenclature de chaque charge de travail cloud avant que le code final ne soit approuvé, indique le rapport.
Finalement, la semaine dernière, j’ai signalé qu’un fournisseur de téléphonie voix sur IP basé au Canada avait été durement touché par une attaque par déni de service distribué. La victime de cette semaine est un fournisseur américain de VoIP et de messagerie appelé Bandwidth.com. Son service est utilisé par d’autres fournisseurs VoIP. Mardi, Bandwidth.com a déclaré qu’il avait atténué une grande partie de l’attaque. Mais les pirates semblent avoir réalisé que les fournisseurs de VoIP, ainsi que les fournisseurs d’accès Internet, sont vulnérables aux attaques DDoS.
C’est tout pour le moment N’oubliez pas que les liens vers les détails sur les histoires de balado se trouvent dans la version texte à ITWorldCanada.com. C’est là que vous trouverez également d’autres histoires à moi.
Suivez Cyber Security Today sur Apple Podcasts, Google Podcasts ou ajoutez-nous à votre Flash Briefing sur votre haut-parleur intelligent.
