11.6.21

Tracking ransomware cryptocurrency payments: What now for Bitcoin?

 


Cameron Camp, security researcher

Should we expect cybercriminals to ditch the pseudonymous cryptocurrency for other forms of payment that may be better at throwing law enforcement off the scent?

Earlier this week, the Department of Justice announced it seized around $2.3 million worth of bitcoin (BTC 63.7) collected in the BTC 75 payment for Colonial Pipeline ransomware. Does this mean Bitcoin is hackable – given enough computation horsepower?

For years Bitcoin’s weaknesses (or strengths, depending on your point of view) have been known, yet rarely come to the fore. But scammers got greedy, or the market just decided for them. With public sentiment boiling, along with policymakers’ willingness to pursue those trying to take control of critical infrastructure, the appetite to go after Bitcoin has resurfaced.

The problem is that Bitcoin is pseudonymous, but certainly not anonymous. While it has first mover advantage and has retained plenty of the residual network effect and related value, chinks in the reputed anonymity armor are coming into focus.

As the full, historical ledger is publicly available, analyzing traffic patterns involving a given address makes it possible to match a standout payment pattern to a particular Bitcoin address and chase down that rabbit hole to eventually go after the true owner. Since sufficiently motivated parties have had years of testing the theory, it was just a matter of time before a target of sufficient importance surfaced to launch their weaponry.

Speaking of weaponry, the Fed recently increased the severity ranking of ransomware to that of terrorist activity, extending the reach, mandate and budget of governmental efforts to track down and eradicate it, even increasingly overseas. If they can track it.

Years ago other, more privacy-oriented cryptocurrencies, such as Monero, started to address Bitcoin’s transaction transparency, implementing things like ring-signatures and other technical defenses against traceability. But many of them floundered in their ability to become traded widely enough to seamlessly transact globally; that spot remained centered around Bitcoin, and later Ethereum.

But there are plenty of others.

While the ire surrounding outsized payouts from ransomware seems poised to continue for some time, bad actors seem more likely to increasingly flee the Bitcoin platform for payouts. Of the 5000-something alternatives currently listed on one popular trading platform, others in the top ten seem poised to move toward the top spot, especially if they get anonymity right.

It had to happen.

As markets mature and users want a more full-featured and robust platform, renewed focus on more anonymous alternatives seem natural. All that was needed was a tipping point. This may be it. Not that some instantaneous exodus amongst the digitally unscrupulous seems imminent, but expect ransomware gangs’ renewed focus on alternative forms of payment that are better at hiding their tracks.

8.6.21

ESET Threat Report T1 2021 belicht snel misbruik van nieuwe kwetsbaarheden en configuratiefouten door cybercriminelen

ESET,  een wereldleider in cyberbeveiliging, heeft net zijn Threat Report T1 2021 gepubliceerd. Het vat de belangrijkste statistieken samen van de ESET-detectiesystemen en belicht bijzonder interessante voorbeelden uit het cyberbeveiligingsonderzoek, met inbegrip van  exclusieve en niet-gepubliceerde updates over huidige bedreigingen.

Het researchteam presenteert de ontdekking van verschillende Advanced Persistent Threat (APT)-groepen die misbruik maken van een keten van kwetsbaarheden en zo Microsoft Exchange Server beïnvloeden. De updates omvatten nieuwe bevindingen over de APT-groepen Lazarus en Turla, alsook de analyse van een kwaadaardige iOS-tweak, die bestanden steelt van jailbroken iOS-toestellen.

Vanaf deze editie zal ESET Research om de vier maanden een rapport publiceren.

Tijdens de eerste vier maanden van dit jaar was COVID-19 nog steeds het belangrijkste hot topic wereldwijd, maar is ondertussen steeds minder prominent geworden in het dreigingslandschap. "Je zou ‘gelukkig’ kunnen zeggen, maar zoals het in ons rapport te lezen staat, blijven we verontrustende voorbeelden zien van cybercriminelen die zeer snel misbruik maken van nieuwe kwetsbaarheden en configuratiefouten om snel ​​hoog investeringsrendement te behalen", aldus Roman Kováč, ESET Chief Research Office. Deze misbruiken omvatten het voortdurende gebruik van Remote Desktop Protocol (RDP) - dat nog steeds het belangrijkste doelwit van brute aanvallen blijft, een toename van het aantal cryptocurrency-bedreigingen en een sterke toename in detecties van kwaadaardige Android-banksoftware.

Het sterartikel van het rapport presenteert de analyse van een kwetsbaarheidsketen waarmee een aanvaller de controle kan krijgen over elke toegankelijke Exchange-server. De aanval werd snel een wereldwijde crisis en ESET identificeerde meer dan 10 verschillende actoren of bedreigingsgroepen die waarschijnlijk misbruik maakten van deze kwetsbaarheidsketen.

Het exclusieve onderzoek in het ESET Threat Report T1 2021 bevat ook verschillende updates en nieuwe bevindingen over de groepen APT Turla en Lazarus. Het bevat informatie over een kwaadaardige iOS-tweak, een applicatie die runtime-patches uitbuit om het gedrag van programma's te veranderen, shell-bevelen uit te voeren op jailbroken en gecompromitteerde iOS-apparaten.

Het rapport kijkt ook naar de belangrijkste ontdekkingen en prestaties van het onderzoeksteam. Naast vele andere ontdekkingen, waaronder een onderzoek naar Latijns-Amerikaanse banktrojanen, vond het ESET-team de Kobalos-malware, die krachtige computer-clusters en andere uiterst belangrijke doelen aanvalt, zoals Operatie Spalax, gericht zowel op Colombiaanse overheids- als privé organisaties; de zeer gerichte aanval, in Azië, op een toeleveringsketen die zich richtte op online gaming; een nieuwe Lazarus-achterdeur, gebruikt om een ​​logistiek vrachtbedrijf in Zuid-Afrika aan te vallen.

Naast die resultaten verdiept het rapport zich ook in de vele onderlinge virtuele discussies van de ESET-specialisten tijdens het eerste kwartaal, presenteert het de discussies die gepland zijn voor de komende maanden en geeft het een overzicht van ESET's deelname aan de MITRE ATT & CK® assessments die de concurrerende groepen Carbanak en FIN7 nagebootst hebben.

Raadpleeg voor meer informatie het ESET Threat Report T1 2021 op WeLiveSecurity : https://www.welivesecurity.com/wp-content/uploads/2021/05/eset_threat_report_t12021.pdf. Voor het laatste nieuws over ESET Research volg ESET Research on Twitter.



Cinq arnaques courantes visant les adolescents et comment s’en protéger

Des produits de marque contrefaits aux offres d’emploi trop belles pour être vraies, voici cinq stratagèmes courants utilisés par les fraudeurs pour soutirer aux adolescents leur argent et leurs donnée personnelles.

Amer Owaida

La plupart des adolescents, s’ils ne sont pas aussi impressionnables que les petits enfants, peuvent néanmoins être soumis à diverses influences extérieures. Si vous êtes l’un d’entre eux, vous n’avez probablement pas connu les nombreux hauts et bas que la vie peut vous réserver, et vous êtes peut-être trop enclin à faire confiance et facile à manipuler. Cette nature confiante, cette innocence et cette naïveté juvénile peuvent faire de vous une cible de choix pour les escrocs, qui cherchent à vous soutirer de l’argent ou des données personnelles.

Examinons quelques escroqueries courantes ciblant les adolescents et les points dont il faut se méfier. Si vous êtes parent, vous voudrez peut-être partager ces conseils avec vos enfants et les aider – ainsi que toute votre famille – à rester en sécurité en ligne.

1. Les escroqueries sur les médias sociaux

Les médias sociaux étant le terrain de jeu numérique de la plupart des adolescents, il est normal que des fraudeurs entreprenants tentent de les cibler là où ils passent le plus de temps. Les escroqueries sur les médias sociaux prennent des formes et des tailles diverses, il n’y a donc pas de solution unique. Certaines des arnaques les plus courantes se présentent comme des liens vers des articles de tabloïds aux titres choquants sur des célébrités. Cependant, si vous cliquez sur un tel lien, vous serez redirigé vers un site web malveillant.

LECTURE COMPLÉMENTAIRE : Instagram: l’attaque des clones 

Les escrocs peuvent également contacter directement leurs victimes par le biais de messages proposant de participer à des concours ou des loteries. Là encore, le lien partagé redirigera presque certainement l’adolescent vers un site web frauduleux qui infestera ses appareils de logiciels malveillants ou tentera de lui arracher ses informations sensibles.

2. Arnaque de faux produits de luxe à rabais

Voilà une autre arnaque courante qui prolifère en ligne, notamment par le biais de fausses publicités publiées sur les médias sociaux, concerne des offres de produits de luxe à des prix ridiculement bas. Pour rendre leurs offres attrayantes pour les adolescents, les escrocs essaient de proposer des marques et des produits qui pourraient les séduire, comme des baskets en édition limitée trop chères, des vêtements de marques habituellement trop chères pour être achetées avec une allocation normale ou un emploi à temps partiel, ou de fausses boutiques en ligne Ray-Ban.

LECTURE COMPLÉMENTAIRE : 4 arnaques courantes utilisant des célébrités pour attirer les victimes 

La ruse consiste à créer un faux site Web de vente au détail qui propose un large assortiment de ces produits. Cependant, une fois que vous aurez effectué l’achat, vous recevrez soit un produit de contrefaçon, soit rien du tout. Et dans le pire des cas, si vous avez communiqué les informations de votre carte de crédit, les cybercriminels accumuleront les frais sur celle-ci et videront votre compte bancaire.

3. Les escroqueries aux bourses d’études

À l’approche de l’obtention de leur diplôme de fin d’études secondaires, les adolescents commencent à se tourner vers la prochaine étape de leur vie, qui consiste souvent à obtenir un diplôme universitaire. Mais, selon l’endroit où vous allez, l’université peut s’avérer assez chère, ce qui vous amène à chercher une bourse qui couvrirait, au moins en partie, les frais de scolarité. Les escrocs tentent d’attirer les étudiants à la recherche d’une aide financière en créant des bourses d’études frauduleuses, qui prennent diverses formes.

Par exemple, ces faux programmes de bourses d’études exigent souvent que le candidat paie de supposés frais d’inscription. Malheureusement, il n’y a pas de bourse à obtenir et le fraudeur empoche les frais. L’escroquerie peut aussi prendre la forme d’un tirage au sort de bourses d’études, qui obligera le participant à payer soit de faux frais de traitement, ou de faux frais de décaissement, en invoquant des frais fiscaux, mais le résultat final est le même.

4. Arnaques à l’emploi

Il n’est pas facile d’être un adolescent ayant des centres d’intérêt variés, allant de concerts en voyages, en passant par les chaussures de sport et la mode, d’autant plus que vous ne pouvez pas tout couvrir avec votre argent de poche. Il est donc naturel que vous cherchiez un emploi à temps partiel pour couvrir vos dépenses.

Pour cibler les jeunes demandeurs d’emploi, les cybercriminels créent des offres d’emploi frauduleuses qui semblent généralement trop belles pour être vraies. Les fraudeurs publient de fausses offres d’emploi sur des sites d’emploi légitimes et proposent généralement des postes qui vous permettent de travailler à domicile et de gagner un gros salaire. Cependant, le but ultime est de soutirer à leurs cibles des informations personnelles qui seront ensuite utilisées pour diverses activités illicites, comme l’ouverture de comptes bancaires au nom de leurs victimes ou le vol de leur identité pour falsifier des documents.

5. Les arnaques romantiques

Comme pour beaucoup de choses à l’ère du numérique, la recherche d’une relation amoureuse s’est également déplacée en ligne, et les plateformes de rencontres en ligne sont devenues des terrains de chasse intéressants pour les experts des arnaques amoureuses. Ces fraudeurs ne se contentent toutefois pas de fréquenter les sites de rencontre : ils parcourent souvent les médias sociaux à la recherche de leurs marques et les contactent par messages privés.

LECTURE COMPLÉMENTAIRE :Quand l’amour tourne au cauchemar : escroqueries sur les applications et les sites de rencontre en ligne

La ruse consiste souvent à se faire passer pour une personne que leur cible trouvera attirante. L’escroc va ensuite la courtiser jusqu’à ce qu’il atteigne son objectif ultime : lui soutirer de l’argent. Malheureusement, dans certains cas, les cybercriminels optent pour des tactiques odieuses, par exemple en manipulant leurs cibles pour qu’elles partagent des photos osées, puis en les faisant chanter pour qu’elles versent de l’argent, en menaçant de diffuser les photos incriminées à leurs proches et au public si elles ne paient pas.

Comment vous protéger?

https://www.welivesecurity.com/fr/2021/06/02/arnaques-adolescents/

4.6.21

Le rapport ESET T1 2021 souligne l'abus rapide par les cyber-escrocs des nouvelles vulnérabilités et des défauts de configuration



BRATISLAVA – Le 3 juin 2021ESET® , un leader mondial en cyber-sécurité, a publié son rapport T1 2021 sur les menaces. Il résume les statistiques clés des systèmes de détection d'ESET et met en évidence des exemples particulièrement intéressants de ses recherches sur la cyber-sécurité, y compris des mises à jour exclusives et non encore publiées sur les menaces actuelles.

ESET Research y présente la découverte de plusieurs groupes de menaces persistantes avancées (APT) exploitant une chaîne de vulnérabilité qui affecte Microsoft Exchange Server. Les mises à jour comportent de nouvelles découvertes sur les groupes APT Lazarus et Turla ainsi que l’analyse d'un tweak iOS malveillant, qui vole des fichiers des appareils iOS débridés.

A partir de cette édition, ESET Research publiera chaque trimestre un rapport sur les quatre mois écoulés.

 Au cours des quatre premiers mois de l’année, le COVID-19 était toujours le sujet d'actualité numéro un dans le monde, cependant ce sujet est devenu petit à petit moins important dans le paysage des menaces. "On serait tenté de dire" heureusement ", mais comme on le découvre dans notre rapport, nous continuons de voir des exemples inquiétants de cybercriminels abusant très vite des nouvelles vulnérabilités et des défauts de configuration, afin d’obtenir un retour sur investissement rapide et élevé", commente Roman Kováč, responsable de la recherche chez ESET. Ces abus comprennent l'utilisation continue du protocole de bureau à distance (RDP) - qui reste la première cible d’attaques par force brute, l’augmentation du nombre de menaces de crypto-monnaie et une forte augmentation des détections de logiciels bancaires Android malveillants.

L'article vedette du rapport présente l’analyse d'une chaîne de vulnérabilité qui permet à un attaquant de prendre le contrôle de n'importe quel serveur Exchange accessible. L'attaque s’est vite transformée en crise mondiale et ESET a identifié plus de 10 acteurs ou groupes de menaces différents qui ont probablement exploité cette chaîne de vulnérabilité.

La recherche exclusive présentée dans le rapport présente aussi plusieurs mises à jour et de nouvelles découvertes sur les groupes APT Turla et Lazarus. Il comprend également des informations sur un tweak iOS malveillant, une application qui exploite les correctifs d'exécution afin de modifier le comportement du programme, d'exécuter des commandes shell sur des appareils iOS débridés et compromis.

Le rapport se penche également sur les découvertes et les réalisations les plus importantes de l’équipe de chercheurs. Parmi de nombreuses autres découvertes, dont une enquête sur les chevaux de Troie bancaires latino-américains, les chercheurs d'ESET ont  trouvé le malware Kobalos, qui attaque des clusters d'ordinateurs hautes performances et d'autres cibles de premier plan telles que l'opération Spalax, ciblant les organisations gouvernementales colombiennes et des entités privées; l’attaque très ciblée d’une chaîne d'approvisionnement qui s'est concentrée sur les jeux en ligne en Asie ; une nouvelle porte dérobée Lazarus, utilisée pour attaquer une entreprise de fret logistique en Afrique du Sud.

En plus de ces résultats, le rapport reprend aussi les nombreuses discussions virtuelles entre les spécialistes d'ESET au premier trimestre, présente les discussions prévues pour les mois à venir et fournit un aperçu de la participation d'ESET aux évaluations MITRE ATT & CK® qui ont imité les groupes adversaires Carbanak et FIN7.

Pour plus d'informations, consultez le rapport sur les menaces ESET T1 2021 sur WeLiveSecurity https://www.welivesecurity.com/wp-content/uploads/2021/05/eset_threat_report_t12021.pdf. Ne manquez pas de suivre ESET Research on Twitter pour les dernières nouvelles d’ESET Research.

A propos d’ESET

Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à la détection et la réponse des terminaux, en passant par le cryptage et l'authentification multifactorielle, les solutions hautes performances et conviviales d'ESET protègent et surveillent discrètement 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technomogie de façon sûre. Ceci est supporté par les centres de R&D d'ESET du le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com ou suivez nous sur LinkedInFacebook, et Twitter.

28.5.21

Bluetooth bugs could allow attackers to impersonate devices

 

Patches to remedy the vulnerabilities should be released over the coming weeks

Amer Owaida

Cybercriminals could exploit several vulnerabilities in Bluetooth to carry out impersonation attacks and masquerade as a legitimate device during the pairing process, according to the Bluetooth Special Interest Group (SIG).

The security flaws, which affect the Bluetooth Core and Mesh Profile specifications, were discovered by researchers at France’s national cybersecurity agency ANSSI.

“The researchers identified that it was possible for an attacker acting as a MITM [Man-in-the-Middle] in the Passkey authentication procedure to use a crafted series of responses to determine each bit of the randomly generated Passkey selected by the pairing initiator in each round of the pairing procedure, and once identified, to use these Passkey bits during the same pairing session to successfully complete the authenticated pairing procedure with the responder,” reads Bluetooth SIG’s security notice.

To successfully carry out the attack, the perpetrator would have to be in the wireless range of two vulnerable Bluetooth-enabled devices engaging in the pairing procedure. Once the authentication process is completed, the responder device will be authenticated with the attacker instead of the initiator. However, the attacker won’t be able to use this method to pair with the initiating device.

RELATED READING: Bluetooth flaw exposes countless devices to BIAS attacks 

The US CERT Coordination Center (CERT/CC) released additional details about the vulnerabilities, explaining that an attacker could exploit the flaws to complete the pairing protocol and encrypt communications using a known link key, authenticate without the AuthValue or even brute-force it.

Patches on the way

Software and firmware updates are expected to be rolled out over the coming weeks, so users should be on the lookout for fixes from affected vendors.

Speaking of which, the Android Open Source Project, Cisco, Microchip Technology, Cradlepoint, Intel, and Red Hat are among the organizations identified by CERT/CC as affected by at least some of the vulnerabilities. The first three have issued statements confirming that they are working on releasing patches or mitigations for the security flaws, while the rest have yet to speak on the issue.

There is no word on whether the bugs have been exploited in the wild.

SIG has shared its own set of recommendations addressing the vulnerabilities and it is urging vendors to release patches post-haste.

 

26.5.21

Attaque contre le Colonial Pipeline : piratage dans le monde physique

 


L'attaque rappelle les cyber-menaces croissantes qui pèsent sur les infrastructures essentielles tout en montrant pourquoi les fournisseurs de services essentiels sont des cibles mûres pour les cybercriminels.

 


Cameron Camp

Alors que les détracteurs ont fait valoir que les menaces contre les infrastructures physiques sont exagérées et largement théoriques, la liste croissante des organisations qui ont été attaquées avec succès suggère le contraire. Et maintenant, les médias regorgent de rapports sur les effets de l’attaque de rançongiciel lancée contre Colonial Pipeline par le groupe de cybercriminels DarkSide. En fait, beaucoup de choses se sont passées depuis – le président américain Joe Biden a signé un décret visant à améliorer les cyberdéfenses de la nation et la société a repris ses activités normales, tandis que DarkSide affirme avoir fermé boutique. Selon certaines informations, Colonial Pipeline aurait payé 5 millions de dollars de rançon aux cybercriminels.

Quoi qu’il en soit, alors que l’enquête sur l’attaque est en cours, la détection de Win32/Filecoder.DarkSide a eu lieu en octobre 2020, de sorte que les attaquants ne semblent pas utiliser un exploit zero-day particulièrement, parrainé par l’État, pour compromettre leurs cibles.

Depuis des années, nous constatons que des attaquants potentiels sondent discrètement des cibles d’infrastructures critiques, voire lancent des attaques contre des cibles spécifiques de grande valeur, comme le montrent les exemples cités ci-haut. Cette tendance ne montre aucun signe de ralentissement. Lors de ces attaques, on nous a demandé si prévoyions observer des tentatives similaires sur le marché nord-américain. Nous avons répondu par l’affirmative. Et la suite de l’histoire nous a donné raison.

Il est intéressant de noter que dans le cas de NotPetya (aka Diskcoder.C), les éléments spécifiques de l’attaque n’étaient pas non plus des jours zéro super fous. Dans l’environnement actuel, la réalité est que les attaquants n’ont pas besoin d’utiliser (et donc de brûler) les exploits zero-day; ils peuvent s’introduire sans eux.

 

La suite de l’article sur https://www.welivesecurity.com/fr/2021/05/19/colonial-pipeline-attaque-physique-infrastructures/

18.5.21

Take action now – FluBot malware may be on its way

 Why Flubot is a major threat for Androis users, how to avoid falling victim and how to get rid of the malware if your device has already been compromised

 


By Tony Anscombe

Android malware known as FluBot is continuing to cause mayhem across some European countries, and there is speculation that the threat actors behind it may decide to target other geographies, including the United States. Here’s why you should be vigilant, how FluBot operates, and how you can remove this Android nasty from your device.

It’s also worth noting that this advice will help you stay safe from other Android malware strains. In recent days, cybercriminals have begun to target Europeans with TeaBot (also known as Anatsa or Toddler), an Android malware family that uses exactly the same technique as FluBot to spread and to lure users into giving up their sensitive data. FluBot and TeaBot are detected by ESET products as variants of the Android/TrojanDropper.Agent family.

How FluBot operates

If a victim is lured by the attacker into the malicious campaign, their entire Android device becomes accessible to the scammer. This includes the potential to steal credit card numbers and access credentials to online banking accounts. To avoid removal, the attacker implements mechanisms to stop the built-in protection offered by the Android OS and stops many third-party security software packages from being installed, an action many users would take to remove malicious software.

The victim first receives an SMS message that impersonates a popular delivery logistics brand, such as FedEx, DHL, and Correos (in Spain). The call to action of the message is for the user to click a link in order to download and install an app that has the same familiar branding as the SMS message but is actually malicious and has the FluBot malware embedded within it. An example of the SMS message (in German) and the subsequent prompt to install the app can be seen below:

Take action now – FluBot malware may be on its way | WeLiveSecurity