Depuis plusieurs jours, nous entendons beaucoup parler de la cyberattaque qui a touché le géant Uber. L'entreprise américaine a publié des informations supplémentaires au sujet de cette attaque informatique.

• Cyberattaque Uber

D'après les dernières informations relayées par Uber, le cybercriminel à l'origine de cette attaque informatique serait affilié au groupe de hacking LAPSUS$. Il y a plusieurs mois, le groupe LAPSUS$ a fait beaucoup parler de lui en étant à l'origine de plusieurs attaques majeures à l'encontre d'Okta, NVIDIA, Samsung, etc... Dans son communiqué, Uber précise : "Ce groupe utilise généralement des techniques similaires pour cibler les entreprises technologiques et, rien qu'en 2022, il a compromis Microsoft, Cisco, Samsung, NVIDIA et Okta, entre autres."

Toutefois, certains membres du groupe LAPSUS$, âgés de 16 à 21 ans, ont été arrêtés par la police londonienne, peu de temps après ces différentes attaques. En mars 2022 pour être précis. Forcément, cela a dû mettre un coup aux activités du groupe LAPSUS$. Toutefois, le cybercriminel à l'origine de cette attaque contre Uber serait âgé de seulement de 18 ans, et d'après Uber, il serait affilié au groupe LAPSUS$ : est-ce le grand retour ? Ce qui est sûr, c'est que cette même personne est également à l'origine de l'énorme fuite de données chez Rockstar Games le week-end dernier.

Uber précise également que ce serait la compromission de l'ordinateur appartenant à une entreprise partenaire d'Uber qui serait à l'origine de cette intrusion. Visiblement, d'après l'entreprise Group-IB, deux employés situés au Brésil et en Indonésie auraient été victimes de logiciels malveillants "voleurs d'informations" appelés Raccoon et Vidar. Cette première étape aurait permis de récupérer les identifiants, puis grâce à la technique de la "fatigue MFA", l'attaquant serait parvenu à pousser le salarié de l'entreprise partenaire à valider la double authentification. Ensuite, il a pu accéder aux différents environnements (Slack, Google Workspace, etc.) en récupérant d'autres comptes d'employés.

Désormais, Uber réalise un certain nombre d'actions dans le cadre de sa réponse à incident notamment le verrouillage des comptes compromis, la réinitialisation des mots de passe, etc... Ces dernières heures, l'entreprise Uber a publié plusieurs offres d'emploi afin de recruter des spécialistes en cybersécurité.

Source

The post Cyberattaque Uber : le pirate informatique affilié au groupe LAPSUS$ d’après Uber ! first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons apprendre à créer un compte de stockage dans le Cloud Azure afin de pouvoir sauvegarder les données d'un NAS Synology à partir d'Hyper Backup. Ainsi, les données stockées localement sur le NAS vont bénéficier d'une sauvegarde externalisée, ce qui va permettre de se protéger en cas d'incident majeur : incendie, surcharge électrique, corruption de l'espace de stockage, etc...

Hyper Backup est une application officielle de Synology qui sert à sauvegarder des données, les paramètres d'applications et du système vers une source externe : un autre NAS Synology, un disque USB ou un fournisseur de stockage Cloud. L'application intègre des fonctionnalités de planification et de gestion de la rétention (nombre de versions à conserver). Si vous souhaitez uniquement synchroniser le contenu de votre NAS dans le Cloud, regardez plutôt du côté de l'application Cloud Sync de Synology.

Bien entendu, le stockage dans le Cloud Azure est payant et le tarif va dépendre de la volumétrie de données, du type de redondance, de la région choisie mais aussi du type de niveau d'accès (à froid, à chaud). Vous pouvez utiliser la calculatrice officielle pour avoir une idée du tarif (lien ci-dessous). Voici un exemple, mais vérifiez par vous-même car les tarifs peuvent évoluer.

• Alternative : la sauvegarde de son NAS Synology sur le Cloud Synology C2
• Cours gratuit - Comment sécuriser un NAS Synology ?
• Synology - Hyper Backup
• Microsoft Azure - Calculatrice des prix

II. Préparer l'environnement Azure

Connectez-vous sur le portail Azure (portal.azure.com), et créez un nouveau compte de stockage en accédant à la section nommée de cette façon et en cliquant sur le bouton "Créer".

Choisissez un abonnement, et créez un nouveau groupe de ressources, par exemple "NAS_Synology".

Nommez ce nouveau compte de stockage, par exemple "syno" (ce nom doit être unique) et choisissez la région, donc l'idéal c'est de prendre en France si c'est disponible. Puisqu'il s'agit d'un compte de stockage pour des sauvegardes, nous pouvons utiliser "Standard" pour les performances et "Stockage localement redondant (LRS)" pour la redondance, afin d'optimiser les coûts.

Je ne vais pas passer en revue toutes les options, mais attirer votre attention sur certaines qui me semblent importantes.

Dans la suite de la configuration, choisissez "Froid" comme niveau d'accès, là encore dans le but d'optimiser les coûts. Plus le stockage doit être redondé et performant, plus le prix sera élevé : ce n'est pas pertinent pour une sauvegarde externalisée.

Pour le moment, conservez le mode d'accès réseau "Activez l'accès public à partir de tous les réseaux" et nous verrons par la suite pour affiner cet accès.

Poursuivez jusqu'à la création du compte de stockage. Quand il sera créé, accédez à cette nouvelle ressource.

Maintenant, nous allons configurer le pare-feu de ce compte de stockage pour autoriser l'accès uniquement à partir de l'adresse IP publique utilisée par le NAS. C'est une manière de limiter l'accès à ce compte de stockage. Cliquez sur "Mise en réseau" à gauche (1), choisissez "Activé à partir des réseaux virtuels et adresses IP sélectionnés" (2), puis sous la section pare-feu, indiquez l'adresse IP publique du NAS ou cochez l'option "Ajouter l'adresse IP de votre client" (3) s'il est sur le même réseau que le PC que vous utilisez pour faire la configuration. Cliquez sur "Enregistrer" pour valider (4).

Pour finir, nous devons créer un nouveau conteneur au sein de ce compte de stockage. Sur la gauche, cliquez sur "Conteneurs" (1) puis sur le bouton "Conteneur" (2) pour créer un nouveau conteneur.

Une fenêtre apparaît sur la droite : donner un nom à ce conteneur et conserver le niveau d'accès sur privé. Validez.

Avant de passer à la configuration du NAS, cliquez sur "Clés d'accès" à gauche et copiez la clé "key1" car elle va servir à s'authentifier sur le compte de stockage Azure.

Passons à la configuration du NAS.

III. Créer la tâche de sauvegarde Hyper Backup

Connectez-vous à l'interface de DSM et ouvrez l'application Hyper Backup. Si besoin, vous pouvez l'installer à partir du Centre de paquets si vous ne l'avez pas déjà fait. Cliquez sur le "+" puis sur "Tâche de sauvegarde des données".

En ce qui concerne la destination, sélectionnez "Microsoft Azure" sans surprise.

C'est ici que l'on configure la connexion à Azure. Le fournisseur de service sera bien sûr Microsoft Azure. Indiquez le nom du compte de stockage et l'Access Key, c'est-à-dire la clé d'accès correspondante à la valeur de Key1 sur l'interface Azure. L'assistant va établir la connexion à Azure... Si cela fonctionne, votre container va s'afficher dans "Container name" : choisissez le container créé précédemment. Pour le nom du répertoire, vous pouvez l'ajuster pour apporter une précision sur le contenu de la sauvegarde.

Ensuite, vous devez sélectionner les répertoires à sauvegarder dans le Cloud Microsoft Azure.

À l'étape suivante, il est question de la sauvegarde des applications. Je vous recommande de sélectionner Hyper Backup, mais aussi d'autres applications critiques que vous pourriez utiliser comme Synology Drive Server ou Synology Photos. Ceci permet de sauvegarder les paramètres de l'application, mais également ses données (dépends des applications), par exemple le dossier "photo" de Synology Photos.

Poursuivons avec le nom de la tâche, mais aussi la planification : à vous d'ajuster selon vos besoins. Pour sécuriser vos données et protéger vos sauvegardes, je vous recommande d'activer l'option "Activer le chiffrement côté client" et de définir un mot de passe de protection. Vous devez le stocker en lien sûr, car sans lui impossible de restaurer une sauvegarde !

Sur son site, Synology précise : "Hyper Backup chiffre les données sauvegardées avec une clé de version et la technologie de chiffrement AES 256 bits de niveau militaire. Une clé de version est générée de manière aléatoire pour chaque version à chaque démarrage d'une tâche de sauvegarde. Par conséquent, chaque version de sauvegarde possède une clé de version unique. Par la suite, la clé de version créée est chiffrée par la technologie de chiffrement ECC Curve25519 et stockée dans la destination une fois la tâche de sauvegarde terminée. La technologie ECC Curve25519 est un algorithme de chiffrement asymétrique : une clé publique est utilisée pour chiffrer les données et seule une clé privée peut déchiffrer les données."

Dernière étape, les paramètres de rotation. En cochant l'option "Activer la rotation des sauvegardes", vous pouvez choisir un nombre de versions à conserver. Forcément, plus vous conservez de versions, plus cela va consommer de l'espace dans le compte de stockage Azure, et plus cela sera coûteux.

Finalisez la création de la tâche, et vous avez la possibilité de la démarrer dans la foulée. Ensuite, il ne reste plus qu'à patienter pendant que le NAS travaille... Le contenu de la sauvegarde est "visible" dans l'interface de Microsoft Azure, au sein du conteneur.

Selon la quantité de données à sauvegarder, la première sauvegarde sera longue. Le tableau de bord d'Hyper Backup permet de suivre l'état de la tâche de sauvegarde.

Si l'on clique sur le bouton "Liste des versions", on peut voir les différentes sauvegardes et les parcourir dans le but de restaurer un ou plusieurs fichiers. Si vous avez activé le chiffrement côté client, il sera nécessaire de saisir la clé secrète avant de pouvoir visualiser les sauvegardes. C'est un plus en terme de sécurité.

Désormais, vous bénéficier d'une sauvegarde externalisée des données de votre NAS Synology ! Pensez à surveiller les coûts côté Microsoft Azure pour éviter les mauvaises surprises en fin de mois. Je vous recommande d'y aller doucement sur la rétention et d'ajuster avec le temps afin de maitriser votre budget.

The post Sauvegarder les données de son NAS Synology sur le Cloud Azure first appeared on IT-Connect.

Des pirates nord-coréens utilisent une version modifiée et malveillante du client SSH PuTTY pour déployer une porte dérobée sur les machines des candidats potentiels à une offre d'emploi pour un faux job chez Amazon. Un processus bien ficelé.

L'entreprise Mandiant a publié un rapport dans lequel cette campagne attribuée au groupe de pirates UNC4034 est décrite. Ce groupe est également connu sous d'autres noms : "Temp.Hermit" et "Labyrinth Chollima". Cette campagne n'est pas nouvelle puisqu'elle existe depuis juin 2020, mais elle semble être réactivée.

Pour infecter les victimes, les pirates utilisent des versions modifiées des logiciels PuTTY et KiTTY SSH qui contiennent une souche malveillante. Mais avant cela, tout commence par un e-mail de sollicitation qui évoque une offre d'emploi alléchante pour travailler chez Amazon. Ensuite, si l'utilisateur mord à l'hameçon, il est redirigé vers WhatsApp où la discussion se poursuit... Et où les cybercriminels l'invitent à passer un test afin d'évaluer ses compétences. L'occasion de faire télécharger à l'utilisateur un fichier ISO nommé "amazon_assessment.iso".

Ce fichier ISO contient un fichier texte "readme.txt" où l'on peut lire plusieurs informations : une adresse IP, un nom d'utilisateur et un mot de passe. Ces informations vont permettre au candidat de se connecter sur un serveur distant en SSH, pour qu'il effectue un exercice. Pour établir cette connexion, il doit utiliser le client SSH PuTTY ou KiTTY, en utilisant la version intégrée dans l'image ISO.

Bien que le client PuTTY ou KiTTY soit opérationnel puisqu'il est basé sur la version d'origine, il s'agit en fait d'une version modifiée qui intègre un logiciel malveillant nommé AIRDRY.V2 et qui correspond à une porte dérobée. Pour agir en toute discrétion, le client SSH malveillant utilise une vulnérabilité dans l'outil Windows "colorcpl.exe" afin de charger la DLL malveillante. L'exécution s'effectue en mémoire directement.

À partir du moment où la porte dérobée est déployée sur la machine, une communication avec un serveur C2 est établie. AIRDRY.V2 prend en charge les communications via HTTP et SMB et les requêtes entre l'hôte infecté et le serveur C2 sont chiffrées avec une clé AES.

Au final, le candidat n'a pas de nouveau job et en plus sa machine est compromise...!

Source

The post Une version malveillante du client SSH PuTTY est utilisée pour déployer une porte dérobée ! first appeared on IT-Connect.

Disponible depuis le mardi 13 septembre 2022, la mise à jour KB5017308 pour Windows 10 semble poser quelques problèmes aux administrateurs, car elle perturbe le bon fonctionnement des stratégies de groupes (GPO). Faisons le point.

Pour rappel, la mise à jour KB5017308 s'applique à Windows 10 versions 20H2, 21H1 et 21H2.

Si l'on se réfère aux différentes remontées sur le forum de Microsoft et sur Reddit, on constate que la mise à jour KB5017308 pour Windows 10 perturbe le bon fonctionnement de certaines GPO. Par exemple, sur Reddit, on peut lire le témoignage d'un administrateur qui évoque GPO qui copie un script Batch vers le répertoire "Public\Documents" des machines et qui crée un raccourci sur le Bureau afin de permettre l'exécution de ce script Batch. Suite à l'installation de la mise à jour, il s'avère que l'icône du raccourci ne s'affiche pas donc l'icône est blanc, et le script Batch quant à lui est vide, alors que le fichier source est correct.

Un autre administrateur évoque également un problème avec tous les raccourcis créés par GPO : les éléments sont créés, mais ils sont vides. Effectivement, cela peut s'avérer perturbant pour les utilisateurs finaux.

Pour le moment, Microsoft n'a pas communiqué officiellement sur ce bug, donc il n'y a pas de correctif officiel ou de solution de contournement. Toutefois, les personnes concernées affirment que le fait de décocher l'option "Exécuter dans le contexte de sécurité de l'utilisateur" sur les GPO concernées permet de résoudre les problèmes de création de raccourcis. C'est tout de même dommage de devoir décocher cette option.

D'autres utilisateurs ont pris la décision de désinstaller directement la mise à jour KB5017308 pour Windows 10, ce qui permet de résoudre le problème ! Cela prouve que c'est bien la mise à jour qui est à la cause de ce nouveau bug.

• Patch Tuesday - Septembre 2022

KB5017308 : une mise à jour à l'origine de l'erreur 0x800F0845

Certaines personnes semblent avoir des difficultés à installer cette mise à jour KB5017308, ainsi que celle du mois précédent à savoir la KB5016616. Windows 10 se bloque pendant le redémarrage qui permet de finaliser l'installation. Au final, une alerte est générée dans l'Observateur d'événements de Windows, avec une erreur similaire pour ces deux KB : "Windows failed to install the following update with error 0x800F0845: 2022-08 Cumulative Update for Windows 10 Version 21H2 for x64-based Systems (KB5016616).". Parfois, c'est l'erreur 0x800f0845  qui est rencontrée également.

Avez-vous rencontré des soucis de votre côté ? N'hésitez pas à laisser un commentaire pour faire un retour à la communauté !

Source

The post Windows 10 : la mise à jour KB5017308 crée des problèmes avec certaines GPO ! first appeared on IT-Connect.

L'entreprise Bitdefender a publié un outil de déchiffrement gratuit pour le ransomware LockerGoga, ce qui va permettre aux victimes de récupérer leurs données sans payer la rançon !

Le ransomware LockerGoga a été lancé en janvier 2019 et il a touché de nombreuses entreprises, notamment l'entreprise française Altran Technologies (Capgemini Engineering) et l'entreprise norvégienne Norsk Hydro, une entreprise leader dans le secteur de l'aluminium.

Mis à disposition gratuitement par Bitdefender, cet outil est disponible au téléchargement sur le site officiel et il est accompagné par une documentation qui explique comment il s'utilise. Voici les liens de téléchargement :

• Exécutable - Outil de déchiffrement LockerGoga
• Documentation - Outil de déchiffrement LockerGoga

Pour développer cet outil de déchiffrement, Bitdefender a travaillé avec plusieurs agences, notamment Europol, la police cantonale de Zurich et les membres du projet NoMoreRansom. La création de l'outil de déchiffrement pour le ransomware LockerGoga a pu être possible grâce au travail des forces de l'ordre puisqu'elles sont parvenues à identifier et à arrêter les opérateurs de LockerGoga en octobre 2021. On peut imaginer que grâce à cette arrestation, les forces de l'ordre ont pu accéder aux clés privées "maîtres" ce qui permet de déchiffrer les données de l'ensemble des victimes.

Les données chiffrées par ce ransomware héritent de l'extension ".locked". Grâce à l'outil de déchiffrement de Bitdefender, il devient possible de scanner l'ensemble d'une machine ou un seul dossier, à la recherche de fichiers chiffrés. Dans le cas où un fichier chiffré est détecté, il est automatiquement déchiffré par l'outil. D'après Bitdefender, cet outil peut fonctionner sur une seule machine ou sur un réseau entier d'ordinateurs chiffrés.

Pour que l'outil fonctionne, il y a deux prérequis à respecter :

• La machine doit être connectée à Internet
• Les notes de rançon générées par le ransomware pendant le chiffrement des données doivent se trouver à leur emplacement d'origine.

Cette application intègre une option nommée "Backup files" qui permet de garder une copie des fichiers déchiffrés. Il est recommandé de la garder cochée, car, dans certains cas, le fichier peut être corrompu pendant le processus de déchiffrement. Ainsi, grâce à la sauvegarde, on peut répéter l'opération.

Cet outil de déchiffrement devrait rendre bien des services aux victimes qui n'ont pas souhaité payer la rançon et qui ont toujours des données chiffrées... Enjoy!

Source

The post Bitdefender a publié un outil de déchiffrement pour le ransomware LockerGoga first appeared on IT-Connect.