En septembre 2023, les attaques par ransomware ont atteint un niveau très élevé, après une légère accalmie au mois d'août. De manière générale, les attaques par ransomware sont plus nombreuses en 2023 qu'en 2022. Faisons le point sur les derniers chiffres.

NCC Group a mis en ligne de nouvelles statistiques au sujet des attaques par ransomware. En septembre 2023, on comptabilise 514 victimes d'attaques par ransomware, ce qui est un nouveau record et ce total vient de dépasser le total de 459 attaques recensées en mars 2023.

Le podium des gangs de cybercriminels les plus actifs est le suivant : LockBit 3.0 avec 79 attaques, LostTrust avec 53 attaques et BlackCat avec 47 attaques. D'ailleurs, il faudra suivre de près l'évolution du gang LostTrust qui est un petit nouveau dans cette liste et qui se positionne directement à la deuxième place.

Il est à noter que le gang de cybercriminels Clop n'est pas associé à la moindre cyberattaque en ce mois de septembre 2023, contrairement au mois de mars 2023 où il s'était bien amusé avec la vulnérabilité dans MOVEit Transfer. Il se pourrait que le gang de cybercriminels Clop prépare son prochain gros coup...

Forcément, nous allons nous demander : quelles sont les régions du monde les plus touchées par ces cyberattaques ? Même si l'on sait que la menace est mondiale, il y a tout de même des régions plus impactées que d'autres. Voici la réponse :

• Amérique du Nord : 50%
• Europe : 30%
• Asie : 9%

Nous pouvons voir qu'une victime d'attaque par ransomware sur deux est située en Amérique du Nord.

Terminons cet article par le Top 10 des secteurs d'activités les plus ciblés en septembre 2023. Avec 169 attaques, soit 33% du total (1 attaque sur 3 !), les industries sont une cible privilégiée. Les secteurs de la technologie et de la santé sont également dans le haut du tableau.

À ce rythme là, d'ici la fin de l'année 2023, le nombre total d'attaques devrait dépasser 4 000. Le rapport complet est disponible sur cette page.

Source

The post Septembre, un mois record pour les attaques par ransomware en 2023 ! first appeared on IT-Connect.

Le gang de ransomware NoEscape vient d'ajouter une nouvelle victime à son tableau de chasse : l'ASVEL, le club de basketball professionnel français de Lyon-Villeurbanne. Faisons le point sur cette attaque.

Dans le paysage du basketball français, l'ASVEL est un club majeur et son propriétaire n'est autre que Tony Parker, l'ancienne star de l'équipe de France de basket et de San Antonio, en NBA.

Si l'on parle de l'ASVEL aujourd'hui, ce n'est pas pour évoquer son palmarès, mais plutôt pour évoquer la cyberattaque subie par le club. Le 9 octobre 2023, le gang de ransomware NoEscape a ajouté le club de l'ASVEL à son site qui référence ses victimes. C'est grâce à la presse que cette information est arrivée aux oreilles du club, le 12 octobre 2023.

Dans le communiqué officiel du club, nous pouvons lire : "Alerté le 12 octobre dernier par voie de presse et ayant pris immédiatement attache auprès de sociétés spécialisées dans le domaine de la cybersécurité, LDLC ASVEL est malheureusement aujourd’hui en mesure de confirmer avoir bien été victime d’une violation de son système informatique, avec exfiltration de données." - Cette attaque a été confirmée le 18 octobre 2023 par des spécialistes en cybersécurité, et l'événement a été signalé à la CNIL.

L'ASVEL ne donne pas de précisions sur les données volées, même s'il est précisé que "aucun moyen de paiement (notamment carte bancaire ou RIB) n’a été dérobé."

Du côté des cybercriminels, on parle d'un vol de 32 Go de données qui correspondrait à des données personnelles sur les joueurs, notamment des cartes d'identité, des passeports, ou encore de nombreux documents sur la finance, la fiscalité et les questions juridiques. Il y aurait également des documents contractuels entre les joueurs professionnels et le club de l'ASVEL.

À cette heure, le club de l'ASVEL a été retiré du site du gang NoEscape. Ce qui est surprenant. Pour le moment, les données n'ont pas été publiées : signe qu'il y a des négociations entre le club et les cybercriminels ? Probablement, même si ce n'est qu'une hypothèse.

Source

The post Cyberattaque – L’ASVEL, club de basket professionnel, victime du ransomware NoEscape ! first appeared on IT-Connect.

Après plusieurs mois d'attente, Windows LAPS est disponible pour Microsoft Entra ID (ex-Azure AD) ! Voici ce qu'il faut savoir sur cette annonce officielle de Microsoft !

Depuis le 11 avril 2023, le nouveau Windows LAPS est disponible pour l'Active Directory. Depuis tout ce temps, il était disponible en version "preview" pour Azure Active Directory (Azure AD) qui est devenu entre temps Microsoft Entra ID. Mais ça, c'était avant. Désormais, Microsoft Entra ID propose Windows LAPS en version stable puisque la fonctionnalité vient de passer en General Availability (GA).

Mais au fait, c'est quoi Windows LAPS ?

Windows LAPS, pour Windows Local Administrator Password Solution, est un composant intégré à Windows, développé par Microsoft, et qui va venir se greffer à un domaine Active Directory ou Azure Active Directory pour renforcer la sécurité des comptes "Administrateur" locaux des postes de travail et des serveurs.

Windows LAPS va générer un mot de passe robuste et unique pour le compte administrateur local de chaque machine qu'il gère, tout en effectuant une rotation automatique de ces mots de passe. Ensuite, les sésames seront chiffrés et stockés dans l'Active Directory ou l'Azure Active Directory, selon la configuration mise en place.

Pour en savoir plus les nouveautés de Windows LAPS et l'intégration avec l'Active Directory, vous pouvez lire cet article :

• Comment mettre en place Windows LAPS avec l'Active Directory ?

Windows LAPS avec Microsoft Entra ID : ce qu'il faut savoir

Vous pouvez gérer le compte Administrateur des machines Windows avec Windows LAPS pour tous les appareils joints à Microsoft Entra et tous les appareils en mode hybride (hybrid join). Windows LAPS peut être activé à l'échelle du tenant ou pour un ensemble d'appareils à l'aide de politiques.

De ce fait, la configuration de Windows LAPS pour Microsoft Entra ID peut être effectuée via Intune ou GPO, selon s'il s'agit d'un appareil en mode hybride ou non. Pour en savoir plus sur les paramètres, voici les liens vers la documentation Microsoft :

• Windows LAPS via Intune (CSP) 
• Windows LAPS via GPO 

Pour afficher les mots de passe stockés dans Microsoft Entra ID, récupérer l'état de Windows LAPS sur les appareils, ou encore consulter les journaux d'audits, les administrateurs système ont le choix entre utiliser le portail Microsoft Entra (ou Microsoft Intune), Microsoft Graph API ou PowerShell.

Par ailleurs, vous pouvez utiliser des politiques d'accès conditionnel pour accorder une autorisation permettant de réinitialisation le mot de passe stocké dans Microsoft Entra ID.

Terminons par une bonne nouvelle : Windows LAPS est disponible via Azure AD Free, donc pour tous les utilisateurs sans frais supplémentaires !

Windows LAPS : les OS compatibles

En ce qui concerne les systèmes d'exploitation compatibles, la liste des identiques que ce soit pour une intégration Active Directory ou Microsoft Entra ID :

• Windows 11 21H2 et Windows 11 22H2 (Pro, Education, Enterprise)
• Windows 10 (Pro, Education, Enterprise)
• Windows Server 2022 (y compris en mode Core)
• Windows Server 2019

Toutefois, au-delà d'utiliser une version d'OS prise en charge par Windows LAPS, vous devez surtout installer la mise à jour cumulative d'avril 2023. Cette mise à jour a pour effet d'ajout le composant Windows LAPS à Windows. Ce qui implique d'installer les mises à jour suivantes :

• Windows 11 22H2 : KB5025239
• Windows 11 21H2 : KB5025224
• Windows 10 20H2, 21H1, 21H2 et 22H2 : KB5025221
• Windows Server 2022 : KB5025230
• Windows Server 2019 : KB5025229

La feuille de route de Windows LAPS

Sur son site, Microsoft donne des précisions sur les nouveautés à venir pour Windows LAPS en dévoilant des détails sur la roadmap :

• Création automatique d'un compte d'administrateur local lorsqu'il est configuré dans Windows LAPS.
• L'appareil notifie Microsoft Entra ID lorsque le mot de passe de l'administrateur local est utilisé pour l'authentification.
• Récupération du mot de passe de l'administrateur local en libre-service pour le propriétaire d'un appareil (technique JIT).

The post Windows LAPS est disponible pour Microsoft Entra ID : voici ce qu’il faut savoir ! first appeared on IT-Connect.

En collaboration avec Digital Ocean, QNAP est parvenu à mettre à l'arrêt un serveur utilisé par les cybercriminels pour attaquer massivement des NAS QNAP. Voici ce qu'il faut savoir !

Dans la soirée du 14 octobre 2023, QNAP a détecté de nombreuses attaques effectuées depuis un serveur de Command and Control géré par des cybercriminels. 48 heures plus tard, le serveur a été arrêté grâce à l'intervention de Digital Ocean, qui est le fournisseur Cloud utilisé par les cybercriminels pour cette campagne d'attaques.

Ce serveur a été utilisé pour piloter des appareils zombies dans le but de compromettre des milliers de NAS QNAP. Pour arrêter l'hémorragie, l'équipe de réponse aux incidents de sécurité de QNAP a bloqué des centaines d'adresses IP malveillantes via des règles distribuées dans QuFirewall. En moins de 7 heures, QNAP est parvenu à maîtriser cette attaque afin de protéger les NAS QNAP exposés sur Internet et qui ne sont pas suffisamment sécurisés : le brute force semble être la technique utilisée pour tenter de compromettre des NAS.

Nous ne savons pas s'il y a eu des NAS compromis ni combien il y en a eu, car QNAP n'a pas communiqué à ce sujet. Ceux qui ont eu une mauvaise surprise aux alentours du 14 octobre 2023 sont probablement victimes de cette vague d'attaques.

Pour QNAP, c'est l'occasion de rappeler les bonnes pratiques en matière de configuration de son NAS, avec notamment des règles élémentaires :

• Utiliser des mots de passe robustes pour les différents comptes
• Ne pas utiliser le compte "admin" par défaut et s'assurer qu'il est bien désactivé
• Mettre à jour le système d'exploitation du NAS régulièrement
• Ne pas exposer son NAS sur Internet en utilisant les ports par défaut

Par ailleurs, QNAP recommande l'utilisation de l'application QuFirewall qui est un pare-feu pour NAS QNAP. L'entreprise taïwanaise précise également : "Utilisez le service de relais de myQNAPcloud Link pour éviter que votre NAS ne soit exposé à Internet. Si des exigences de bande passante ou des applications spécifiques nécessitent une redirection de port, vous devez éviter d'utiliser les ports par défaut 8080 et 443."

En 2022, les NAS QNAP ont été ciblés à plusieurs reprises par des ransomwares, notamment DeadBolt. On peut imaginer que QNAP souhaite à tout prix éviter de revivre cette situation.

Source

The post QNAP met à l’arrêt un serveur utilisé par les pirates pour compromettre des NAS ! first appeared on IT-Connect.

L'entreprise américaine Okta a subi une nouvelle cyberattaque importante lors de laquelle les pirates sont parvenus à voler des fichiers contenant des cookies et des jetons de session correspondant à des environnements de clients. Cette affaire est à prendre très au sérieux.

Pour rappel, Okta est une entreprise américaine spécialisée dans les services d'authentification : une entreprise peut déléguer l'authentification à ses services en s'appuyant sur ceux d'Okta : la gestion des mots de passe, le MFA, ainsi que le portail en libre-service des utilisateurs, dans le but de contrôler l'accès à des applications et au réseau de l'entreprise.

Dans un communiqué mis en ligne par Okta, nous pouvons lire : "L'acteur malveillant a pu consulter les fichiers téléchargés par certains clients d'Okta dans le cadre de récents cas d'assistance." - En effet, les cybercriminels sont parvenus à voler les informations d'identifications d'un employé d'Okta donnant accès à la solution d'Help Desk d'Okta utilisée pour gérer les tickets des clients.

Ce système est isolé de la production où se situent les serveurs liés aux services d'authentification. Toutefois, les pirates sont parvenus à voler des fichiers sensibles.

Des données sensibles dans les fichiers volés...

La solution à laquelle les pirates ont eu accès héberge des fichiers de type HTTP Archive (HAR) utilisée pour reproduire les erreurs des utilisateurs ou des administrateurs, dans le cadre de l'assistance proposée par Okta à ses clients.

Puisque Okta est spécialiste de l'authentification, ces fichiers sont susceptibles de contenir des données sensibles, notamment des cookies et des jetons de session ! En récupérant ces informations, les cybercriminels peuvent hijacker les comptes des clients d'Okta : "Les fichiers HAR représentent un enregistrement de l'activité du navigateur et peuvent contenir des données sensibles, notamment le contenu des pages visitées, les en-têtes, les cookies et d'autres données.", précise le site d'Okta. Autrement dit, les cybercriminels peuvent usurper l'identité des clients d'Okta et accéder à leur environnement.

Tous les clients d'Okta affectés par cet incident de sécurité ont déjà reçu une notification par e-mail. Ceux qui n'ont rien reçu ne sont pas affectés. Okta a révoqué les sessions affectées par cet incident de sécurité.

Quels sont les clients affectés ?

Bien que la liste complète ne soit pas disponible, nous savons que parmi les entreprises affectées il y a la solution de gestion des identités BeyondTrust, le géant américain du web Cloudflare et le gestionnaire de mots de passe 1Password.

• 1Password victime du piratage d'Okta

D'ailleurs, dès le 2 octobre 2023, l'équipe de BeyondTrust a détecté et bloqué une tentative de connexion à un compte Administrateur Okta à partir d'un cookie de session volé sur la solution de Help Desk d'Okta. C'est à partir de ce moment-là qu'Okta a commencé à mener des investigations... avant d'officialiser cet incident de sécurité le 19 octobre 2023.

Le 18 octobre 2023, Cloudflare a également détecté une activité malveillante sur son environnement, comme le précise ce rapport. Là encore, c'est un jeton de session volé sur l'environnement d'Okta qui est en cause.

Ce n'est pas la première fois qu'Okta est victime d'un incident de sécurité. On se souvient d'un piratage important début 2022, lorsque le groupe de cybercriminels LAPSUS$ était à son apogée.

Source

The post Piratage chez Okta : les pirates ont pu voler des cookies de session de plusieurs clients ! first appeared on IT-Connect.