Découvrez chaque mois des articles sur les dernières tactiques, techniques et procédures des acteurs de la menace par les experts en menaces de Cybersixgill. Chaque histoire vous apporte des détails sur les menaces souterraines émergentes, les acteurs de la menace impliqués et comment vous pouvez prendre des mesures pour atténuer les risques. Découvrez les principales vulnérabilités et passez en revue les dernières tendances en matière de rançongiciels et de logiciels malveillants sur le Web profond et sombre.
Les identifiants ChatGPT volés inondent les marchés du dark web
Au cours de l’année écoulée, 100 000 identifiants volés pour ChatGPT ont été annoncés sur des sites clandestins, vendus pour aussi peu que 5 $ sur les marchés du dark web en plus d’être offerts gratuitement.
Les identifiants ChatGPT volés incluent les noms d’utilisateur, les mots de passe et d’autres informations personnelles associées aux comptes. Ceci est problématique car les comptes ChatGPT peuvent stocker des informations sensibles à partir de requêtes, y compris des données confidentielles et la propriété intellectuelle. Plus précisément, les entreprises intègrent de plus en plus ChatGPT dans les flux de travail quotidiens, ce qui signifie que les employés peuvent divulguer du contenu classifié, y compris du code propriétaire. Les analystes des menaces de Cybersixgill ont détecté des publicités pour des informations d’identification ChatGPT volées sur des marchés populaires du dark web, en plus d’une publicité pour un chatbot IA prétendument capable de générer du contenu malveillant.
Que doivent faire les entreprises pour protéger les employés et les actifs critiques des risques imprévus posés par ChatGPT ?
Des hacktivistes pro-russes attaquent les plateformes Microsoft et menacent le système bancaire européen
Un groupe hacktiviste pro-russe très actif a mis hors ligne plusieurs plates-formes Microsoft, exigeant 1 million de dollars américains pour stopper les attaques, faisant écho à la stratégie du collectif lors d’un récent incident de déni de service distribué (DDoS) ciblant Scandinavian Airlines. Alors que Microsoft a initialement fourni des explications évasives pour les pannes, il a ensuite confirmé que les portails Web Azure, Outlook et OneDrive étaient inaccessibles en raison d’attaques DDoS de couche 72 attribuées au groupe hacktiviste. Nos experts en menaces ont observé le groupe se vanter de l’attaque de Microsoft contre le métro, en plus d’un allié annonçant une nouvelle coalition pro-russe qui prévoit d’attaquer le système bancaire européen.
Alors que les attaques DDoS se sont intensifiées depuis que la Russie a envahi l’Ukraine en février 2022, le récent passage des hacktivistes au chantage indique une dimension financière émergente des incidents à motivation politique. Compte tenu de ces risques, que doivent faire les organisations pour se préparer à davantage de campagnes DDoS lancées par des gangs pro-russes, et à la possibilité d’accompagner les demandes de chantage ?
De nouveaux logiciels malveillants dérobent les données des navigateurs et des gestionnaires de mots de passe
Des publicités pour un nouveau type de voleur d’informations apparaissent sur les forums de cybercriminalité en russe. Alors que le voleur a fait ses débuts en avril 2023, les ventes auraient augmenté en juin, ce qui pourrait indiquer une augmentation des attaques utilisant le logiciel malveillant. Le logiciel malveillant ciblerait près de 200 navigateurs, extensions et gestionnaires de mots de passe, entre autres applications. Notre équipe de recherche sur les menaces a observé les développeurs du logiciel malveillant vantant ses fonctionnalités dans la clandestinité, en plus des acteurs de la menace remettant en question les capacités du voleur.
Une fois exécuté, le voleur collecte des données relatives au système d’exploitation et au matériel, en envoyant une capture d’écran aux serveurs de commande et de contrôle3 (C2) des attaquants. Le voleur cible ensuite des informations spécifiques stockées dans diverses applications, y compris les navigateurs Web. Le malware peut être loué pour 150 $/mois ou 390 $ pour quatre mois, avec des publicités publiées sur des forums de cybercriminalité populaires que Cybersixgill collecte.
Comme l’illustre l’émergence de nouveaux logiciels malveillants voleurs, les outils de vol de données restent populaires dans l’underground. Ces outils extraient des informations sensibles, notamment des informations d’identification et d’autres données précieuses. Avec de puissants voleurs conviviaux facilement disponibles dans le métro, que doivent faire les organisations pour se protéger contre de telles menaces ?
Nouvelle vulnérabilité critique de VMware exploitée à l’état sauvage
VMware a récemment publié un avis lié à une vulnérabilité critique d’exécution de code à distance (RCE) (CVE-2023-20877), avertissant que les acteurs de la menace exploitent déjà la faille dans les attaques. Bien qu’une mise à jour ait été publiée pour résoudre la vulnérabilité d’injection de commande, deux instances non corrigées d’Aria Operations for Networks3 de VMware restent très vulnérables. En fin de compte, les pirates pourraient tirer parti de CVE-2023-20887 pour accéder aux réseaux et injecter des commandes malveillantes dans Aria Operations for Networks, ce qui pourrait entraîner le vol de données, la corruption de données ou même la compromission complète du système.
Au 3 juillet 2023, le module DVE de Cybersixgill a attribué à CVE-2023-20887 une note sévère (9,23), indiquant la menace posée par la faille aux systèmes non corrigés. Ce score est dynamique et pourrait continuer à augmenter, en particulier compte tenu de l’existence d’une preuve de concept (PoC) accessible au public pour la CVE publiée par un chasseur de menaces sur GitHub. Selon les données collectées par le Cybersixgill Investigative Portal, CVE-2023-20887 est lié à au moins une menace persistante avancée (APT). Cela signifie que la vulnérabilité est probablement activement exploitée par des acteurs sophistiqués de la menace qui peuvent être en mesure de contourner les mesures de sécurité traditionnelles.
Nos experts en menaces ont observé un PoC pour cette vulnérabilité circulant dans le métro, et les groupes de rançongiciels peuvent voir cette vulnérabilité comme une excellente opportunité de lancer des attaques et d’exiger des paiements dans le cadre de stratagèmes de double extorsion. À la lumière de cela, que devraient faire les entreprises utilisant VMWare pour contrecarrer les actions des cybercriminels ?
Abonnez-vous à Cybersixgill Au-delà des gros titres magazine mensuel et recevez chaque mois des informations détaillées de notre équipe de recherche sur les menaces sur les dernières menaces et les TTP des acteurs de la menace sur le dark web profond. Pour obtenir les dernières mises à jour, Cliquez ici.
Poster un commentaire