ALPHV: Experts en cyber corrompus 🕵️, ESA: Serveurs piratés 🛸, La Poste: Services encore perturbés 📫

A la une aujourd’hui:

  • Des experts en Cybersécurité américains plaident coupables d’avoir collaboré avec ALPHV/BlackCat
  • DarkSpectre : Une campagne d’extensions malveillantes affecte 8,8 millions d’utilisateurs
  • L’Agence Spatiale Européenne confirme une violation de ses serveurs externes
  • L’enseignement supérieur français ciblé pendant les fêtes
  • La Poste victime d’une nouvelle cyberattaque, ses services en ligne perturbés

Des experts en Cybersécurité américains plaident coupables d’avoir collaboré avec ALPHV/BlackCat

Points Clés :

  • Deux professionnels de la cybersécurité ont utilisé leurs compétences pour mener des attaques par ransomware
  • Ils ont extorqué environ 1,2 million de $ en Bitcoin à une victime
  • Les accusés risquent jusqu’à 20 ans de prison pour complot d’extorsion

Description :

Ryan Goldberg et Kevin Martin, deux experts en cybersécurité américains, ont plaidé coupables d’avoir participé à des opérations de rançongiciel en tant qu’affiliés d’ALPHV/BlackCat. Entre avril et décembre 2023, ils ont exploité leurs connaissances techniques pour attaquer plusieurs victimes américaines, reversant 20% des rançons aux administrateurs du groupe criminel.

Pourquoi c’est important :

Cette affaire met en lumière une tendance inquiétante où des initiés utilisent leurs compétences techniques à des fins criminelles. Elle souligne l’importance cruciale de vérifications d’antécédents rigoureuses et d’une surveillance accrue des professionnels de la sécurité. Ces poursuites démontrent la détermination des autorités à traduire en justice les opérateurs de ransomware, quelle que soit leur expertise technique.

DarkSpectre : Une campagne d’extensions malveillantes affecte 8,8 millions d’utilisateurs

Points Clés :

  • Un acteur de menace chinois a orchestré trois campagnes d’extensions malveillantes (ShadyPanda, GhostPoster et Zoom Stealer) touchant Chrome, Edge et Firefox
  • Plus de 8,8 millions d’utilisateurs ont été affectés sur une période de sept ans
  • Les extensions ciblent particulièrement les plateformes de vidéoconférence pour collecter des données sensibles d’entreprise

Description :

Un acteur de menace chinois, baptisé DarkSpectre, a été identifié comme responsable de trois campagnes d’extensions malveillantes pour navigateurs. Ces extensions, qui semblent légitimes, volent des données, détournent des requêtes de recherche et récoltent des informations sensibles sur les réunions en ligne. La dernière campagne découverte, « Zoom Stealer », cible spécifiquement les informations de vidéoconférence d’entreprise via 18 extensions différentes.

Pourquoi c’est important :

Cette opération sophistiquée représente une menace d’espionnage industriel à grande échelle. Les extensions malveillantes collectent des informations précieuses sur les réunions d’entreprise (URLs, mots de passe, identifiants, descriptions) qui peuvent être exploitées pour des attaques d’ingénierie sociale et d’usurpation d’identité. Plus inquiétant encore, DarkSpectre utilise une stratégie de « dormance » où certaines extensions restent bénignes pendant des années avant d’être activées, rendant leur détection particulièrement difficile.

L’Agence Spatiale Européenne confirme une violation de ses serveurs externes

Points Clés :

  • L’ESA a confirmé qu’une cyberattaque a compromis des serveurs situés en dehors de son réseau d’entreprise
  • Les attaquants prétendent avoir volé plus de 200 Go de données, y compris du code source et des informations confidentielles
  • L’agence affirme que seules des informations non classifiées liées à des activités d’ingénierie collaborative ont été touchées

Description :

L’Agence Spatiale Européenne (ESA) a confirmé une récente violation de sécurité affectant des serveurs externes à son réseau principal. Un acteur malveillant a revendiqué sur le forum BreachForums avoir eu accès pendant une semaine aux serveurs JIRA et Bitbucket de l’agence, prétendant avoir dérobé plus de 200 Go de données sensibles.

Pourquoi c’est important :

Cette violation soulève des inquiétudes concernant la sécurité des infrastructures spatiales européennes, même si l’ESA affirme que seules des informations non classifiées ont été compromises. L’incident rappelle la vulnérabilité des organisations gouvernementales face aux cybermenaces et souligne l’importance de protéger les données scientifiques et techniques, même celles considérées comme moins sensibles.

L’enseignement supérieur français ciblé pendant les fêtes

Points Clés :

  • Grenoble École de Management a subi une fuite de données touchant potentiellement 400 000 personnes
  • L’Université de Lille a été attaquée par le groupe Scattered LAPSUS$ Hunters avec des données de 2 000 étudiants exposées
  • Les informations volées incluent des données personnelles sensibles utilisables pour le phishing

Description :

Pendant la période des fêtes, deux établissements d’enseignement supérieur français ont été victimes de cyberattaques. Grenoble École de Management a confirmé une intrusion exposant des données d’identification et de contact, tandis que l’Université de Lille a vu les informations personnelles de milliers d’étudiants publiées sur BreachForums par le groupe de pirates Scattered LAPSUS$ Hunters.

Pourquoi c’est important :

Ces attaques s’inscrivent dans une vague préoccupante de cyberattaques visant des institutions françaises ces dernières semaines, incluant l’ESA, le Ministère de l’Intérieur et plusieurs fédérations sportives. Les données volées (noms, emails, adresses, dates de naissance) représentent un risque majeur d’usurpation d’identité et de phishing ciblé, soulignant la vulnérabilité persistante du secteur éducatif face aux menaces cyber.

La Poste victime d’une nouvelle cyberattaque, ses services en ligne perturbés

Points Clés :

  • La Poste a annoncé être victime d’une cyberattaque affectant ses services en ligne
  • Le suivi de colis est indisponible, mais la distribution physique continue normalement
  • Cette attaque survient peu après une précédente cyberattaque revendiquée par des hackers prorusses en décembre

Description :

La Poste française a signalé le 1er janvier être la cible d’une nouvelle cyberattaque perturbant l’accès à ses services numériques. L’entreprise a précisé que malgré l’indisponibilité du suivi de colis en ligne, la distribution physique des courriers et colis se poursuit normalement, tout comme les services en bureau de poste.

Pourquoi c’est important :

Cette attaque intervient à peine quelques jours après une précédente cyberattaque par déni de service revendiquée par le groupe prorussе NoName057(16), qui avait duré plusieurs jours fin décembre. La répétition de ces incidents contre un service public essentiel souligne la vulnérabilité croissante des infrastructures numériques françaises et pose des questions sur la protection des services essentiels face aux menaces cybernétiques.