La chasse aux applications présentant des vulnérabilités log4j se poursuit, de nouveaux groupes de menaces et de ransomwares ont été découverts et un avertissement aux administrateurs WordPress
Bienvenue sur la cybersécurité aujourd’hui. C’est le lundi 13 décembre. Je suis Howard Solomon, auteur collaborateur sur la cybersécurité pour ITWorldCanada.com.
Les informaticiens du monde entier continuer à rechercher leurs systèmes pour comprendre s’ils sont exposés à une vulnérabilité grave. Connu sous le nom de Log4Shell ou LogJam, il s’agit d’un problème dans une bibliothèque de journalisation Java open source appelée log4j utilisée par des centaines d’applications commerciales et de sites Web. Les entreprises doivent mettre en place des mesures d’atténuation temporaires, telles que la mise à jour des règles de pare-feu et l’installation rapide des correctifs publiés par leurs fournisseurs de logiciels. Un expert à qui j’ai parlé ce week-end craint qu’il faille des années pour corriger tous les systèmes concernés.
MISE À JOUR : Voici ma dernière histoire.
Un nouveau groupe de menaces se faisant appeler Karakurt, spécialisé dans le vol de données d’organisations, a été découvert. Selon des chercheurs d’Accenture, le groupe menace de divulguer ou de vendre les informations volées à moins qu’ils ne reçoivent une rançon. Depuis septembre, il a touché au moins 40 organisations, principalement aux États-Unis et au Canada. Souvent, le gang utilise les mots de passe qu’il a obtenus pour accéder aux réseaux des victimes via leurs appareils VPN pour un accès à distance. On ne sait pas exactement comment le gang obtient les mots de passe, mais Accenture a déclaré que dans tous les cas, il avait enquêté sur les organisations victimes qui n’avaient pas protégé les connexions avec une authentification multifacteur.
Un nouveau gang de ransomware a été détécté. Connu sous le nom d’ALPHV par ses développeurs et de BlackCat par les chercheurs, il s’agit d’une opération de ransomware en tant que service qui recrute des affiliés pour attaquer les victimes. Selon le site d’actualités Bleeping Computer, les affiliés gagnent au moins 80% du paiement de la rançon, plus s’il dépasse 1,5 million de dollars. Des victimes ont été vues aux États-Unis, en Australie et en Inde. Le gang utilise une triple tactique d’extorsion : il vole les données d’une organisation victime avant de les chiffrer, puis menace de publier les données si une rançon n’est pas payée pour obtenir les clés de déchiffrement. En outre, il menace de lancer une attaque par déni de service distribué pour paralyser le site Web et l’entreprise de la victime si une rançon n’est pas payée.
Un certain nombre de groupes de menaces utiliser un logiciel malveillant appelé Qakbot pour pénétrer dans les systèmes informatiques des organisations. Il est populaire parmi les escrocs car il est si flexible pour voler des mots de passe et des données ou pour diffuser d’autres logiciels malveillants. La semaine dernière, Microsoft a publié une analyse du fonctionnement de Qakbot. Cela peut être utile pour les défenseurs de l’informatique. Une chose que j’ai tirée du rapport est que les infections Qakbot commencent presque toujours par quelqu’un qui clique sur une pièce jointe malveillante, un lien vers une page Web ou une image dans un e-mail. Le message électronique sera souvent lié à l’entreprise. Par exemple, il peut s’agir d’un contrat, d’une fiche de paie ou d’une question sur un processus informatique ou commercial. Cela peut sembler être une réponse à un message de la victime. Souvent, le message a un sentiment d’urgence, disant qu’une correction immédiate doit être apportée ou qu’un formulaire doit être rempli. Le fait est qu’il est important de rappeler régulièrement aux employés ce genre d’astuces et qu’ils doivent être prudents avant de cliquer sur quoi que ce soit dans un message.
Une autre attaque sur des sites Web exécutant le système de gestion de contenu WordPress a été détecté. Selon une société de sécurité appelée Wordfence, ces attaques tentent d’exploiter les vulnérabilités de quatre plug-ins : Kiwi Social Share, WordPress Automatic, Pinterest Automatic et Publish Press Capabilities. Tous ces éléments ont été corrigés. En fait, WordPress Automatic et Pinterest Automatic ont été patchés en août. De plus, les attaquants s’attaquent aux vulnérabilités de 14 thèmes Epsilon Framework, qui fournissent des modèles pour les sites WordPress. Ce que font les attaquants, c’est d’exploiter ces vulnérabilités pour mettre à niveau leur accès à « administrateur », permettant à l’escroc de voler des données. Les administrateurs WordPress doivent constamment s’assurer que tous les plugins et thèmes sont corrigés. En outre, ils doivent rechercher des activités suspectes telles que des comptes d’utilisateurs non autorisés.
C’est tout pour l’instant N’oubliez pas que les liens vers les détails sur les histoires de balado se trouvent dans la version texte à ITWorldCanada.com. C’est là que vous trouverez également d’autres histoires à moi.
Suivez Cyber Security Today sur Apple Podcasts, Google Podcasts ou ajoutez-nous à votre Flash Briefing sur votre haut-parleur intelligent.
