BlackCat : quand le ransomware innove
Toute l’actu cyber de la semaine, présentée par un expert. On revient notamment sur Alphalock la nouvelle organisation Russe de formation au piratage informatique, Appin qui se transforme en société de cyberespionnage, le nouveau décret sur l’IA de l’administration Biden, les nouvelles règles protectrices de la FCC et de l’innovation de BlackCat…
BlackCat innove dans le ransomware
Le groupe de ransomware ALPHV/BlackCat a innové en matière d'extorsion en déposant une plainte auprès de la Securities and Exchange Commission (SEC) des États-Unis contre MeridianLink, une entreprise qu'ils auraient piratée, pour non-respect de la règle des quatre jours pour divulguer une cyberattaque. ALPHV affirme avoir pénétré le réseau de MeridianLink le 7 novembre et volé des données sans crypter les systèmes, menaçant de divulguer les données sauf si une rançon est payée dans les 24 heures. La réponse insuffisante de l'entreprise, selon les pirates, les a poussés à déposer une plainte à la SEC, affirmant que MeridianLink a subi une "atteinte significative" et ne l'a pas divulguée comme requis. MeridianLink a réagi en affirmant avoir immédiatement contenu la menace et enquêté sur l'incident, sans trouver de preuves d'accès non autorisé à ses plateformes de production. Les nouvelles règles de la SEC, qui entreront en vigueur le 15 décembre 2023, exigent que les entreprises cotées en bourse signalent les cyberattaques ayant un impact significatif.
Pourquoi c'est important ?
On le sait, les ressources humaines en cybersécurité sont manquantes. Le groupe de cybercriminels a trouvé un moyen intéressant de former de nouvelles ressources qui lui seront utiles plus tard. En formant les pirates, le groupe s'assure de leur fidélité mais également de leur niveau de connaissance. Est-ce qu'on verra les nouveaux hackers se retourner contre ceux qui les ont formés ?
AlphaLock, la nouvelle organisation Russe de formation au piratage informatique
AlphaLock, une nouvelle organisation Russe de formation au piratage informatique, se distingue par son modèle d'affaires unique et sa mise en scène élaborée, incluant une routine de danse et une interface utilisateur soignée. Leur modèle commercial se divise en deux parties : la formation au piratage via Bazooka Code Pentest Training et le marché de piratage ALPentest Hacking Marketplace.
AlphaLock forme une "armée" de hackers via des cours en ligne et envisage d'utiliser ces hackers formés pour créer un marché où des services de "pentesting" ciblant des organisations spécifiques peuvent être achetés. Cette stratégie a entraîné le déplacement de leurs activités sur l'application de chat décentralisée Matrix, suite à une attention accrue sur Telegram.
AlphaLock représente un exemple de sophistication croissante et de diversification dans l'écosystème de la cybercriminalité, démontrant un niveau élevé d'acuité organisationnelle et commerciale, et suggérant une pénurie potentielle d'acteurs de menaces techniques qualifiés.
Pourquoi c'est important ?
On le sait, les ressources humaines en cybersécurité sont manquantes. Le groupe de cybercriminels a trouvé un moyen intéressant de former de nouvelles ressources qui lui seront utiles plus tard. En formant les pirates, le groupe s'assure de leur fidélité mais également de leur niveau de connaissance. Est-ce qu'on verra les nouveaux hackers se retourner contre ceux qui les ont formés ?
Cyberespionnage : Appin se transforme
Appin, une startup indienne de formation en informatique, s'est transformée en une importante entreprise de cyberespionnage réalisant des vols de données à l'échelle mondiale auprès de politiciens, d'exécutifs et d'élites. Selon une enquête de Reuters, leurs opérations secrètes incluaient l'infiltration des emails d'une tribu amérindienne pour saboter un accord immobilier et agir comme une puissance de mercenariat cybernétique. Le modèle innovant d'Appin transformait les services d'espionnage en une plateforme semblable à celle du commerce électronique, permettant aux clients de commander et de suivre les services de piratage en ligne. La croissance rapide et les opérations sophistiquées d'Appin ont attiré l'attention des agences de renseignement gouvernementales indiennes, menant à des collaborations secrètes dans le cyberespionnage contre des cibles, y compris des officiers militaires pakistanais et des responsables chinois.
IA : le nouveau décret exécutif de l’administration Biden
Un récent décret exécutif de 120 pages de l'administration Biden présente des plans pour superviser les entreprises développant des technologies d'intelligence artificielle (IA) et pour l'adoption de l'IA par le gouvernement fédéral américain. Ce document se concentre principalement sur la sécurité liée à l'IA, notamment la détection et la correction des vulnérabilités dans les produits d'IA et le développement de défenses contre les cyberattaques alimentées par l'IA. La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a annoncé une "Feuille de route pour l'intelligence artificielle" pour mettre en œuvre ce décret. La feuille de route de la CISA se divise en cinq parties, axées sur la communication, la collaboration, l'expertise, et l'implémentation de l'ordre exécutif. La directrice de la CISA, Jen Easterly, souligne l'importance de l'utilisation responsable mais agressive de l'IA dans la défense numérique des États-Unis, en mettant l'accent sur la sécurité et la transparence dans le développement de ces systèmes.
Pourquoi c'est important ?
On sait que l'IA est déjà utilisé par des criminels à des fins malveillantes. En publiant une feuille de route sur le sujet, la CIA met en avant ce phénomène où l'outil peut être mal utilisé. Il est donc important de prendre en compte ces nouveaux risques qui vont permettre de faire des attaques par phising de plus en plus réalistes.
Les nouvelles règles protectrices de la FCC
La Federal Communications Commission (FCC) a introduit de nouvelles règles pour protéger les consommateurs contre les attaques de swapping de carte SIM et de fraude de transfert de numéro. Ces régulations visent à prévenir l'accès non autorisé aux données personnelles et informations en empêchant le transfert de numéros de téléphone ou le changement de carte SIM sans contrôle physique de l'appareil de la victime. Les opérateurs de téléphonie mobile doivent désormais mettre en place des procédures d'authentification sécurisées avant de transférer un numéro et alerter rapidement les clients en cas de demande de changement de SIM ou de transfert de numéro. Ces mesures répondent à une augmentation des plaintes de consommateurs concernant des pertes financières et des préjudices importants causés par ces types de fraudes.
Pourquoi c'est important ?
Le swimswapping est l'une des attaques par social engineering les plus dévastatrice aux USA et dans tous les pays où la vérification de l'identité est partielle. Comme beaucoup d'authentification forte se font encore par téléphone ou SMS, c'est toujours un élément ciblé par les pirates. C'est pourquoi les mesures proposées par la FCC devraient permettre d'améliorer grandement le niveau de sécurité en général.