Nieuwe cyberspionageomgeving Ramsay ontdekt door ESET Research

ESET-onderzoekers hebben een niet eerder gedocumenteerde cyberspionageomgeving ontdekt die ze Ramsay hebben genoemd. Die omgeving is specifiek ontwikkeld voor het verzamelen en exfiltreren van gevoelige documenten afkomstig van air-gapped systemen, systemen die niet met internet of andere online systemen verbonden zijn. Daar het aantal slachtoffers tot dusver erg laag is, denkt ESET dat deze omgeving nog in volle ontwikkeling is.

“We vonden eerst een exemplaar van Ramsay in een VirusTotal-voorbeeld uit Japan geüpload en dat ons na de ontdekking bevestigde dat het nog in een ontwikkelingsfase is, met verspreidingsvectoren die aan fijne testen onderworpen zijn, ”aldus Alexis Dorais-Joncas, hoofd van het ESET-onderzoeksteam in Montreal.

Volgens de bevindingen van ESET heeft Ramsay verschillende ontwikkelingen doorgemaakt op basis van de verschillende gevallen van het gevonden kader, die wijzen op een lineaire progressie zowel van aantal en complexiteit van zijn mogelijkheden. De ontwikkelaars die verantwoordelijk zijn voor infectievectoren lijken verschillende benaderingen te proberen, zoals het gebruik van oude exploits voor Microsoft Word-kwetsbaarheden vanaf 2017 en het inzetten van getrojaniseerde applicaties, mogelijk voor verspreiding via spear-phishing.

De drie ontdekte versies van Ramsay verschillen in complexiteit en verfijning, waarbij de derde versie de meest geavanceerde is, vooral met betrekking tot ontwijking en persistentie.

De architectuur van Ramsay biedt een reeks mogelijkheden die via een logging-mechanisme beheerd worden:

·       Verzameling van bestanden en geheime opslag: het eerste doel van dit raamwerk is het verzamelen van alle bestaande Microsoft Word-documenten binnen het bestandssysteem van een doelwit.

·       Uitvoeren van de opdracht: het controleprotocol van Ramsay gebruikt een gedecentraliseerde methode voor het scannen en ophalen van opdrachten uit controledocumenten.

·       Verspreiding: Ramsay heeft een geïntegreerde component die zou ontworpen zijn om binnen air-gapped netwerken te werken.

“Opmerkelijk is hoe het architecturaal ontwerp van Ramsay, en meer bepaald de relatie tussen de verspreidings- en controlemogelijkheden, het mogelijk maakt te werken in air-gapped netwerken - netwerken die dus niet met internet verbonden zijn”, zegt Dorais-Joncas.

  

Lees voor meer technische details over Ramsay, de blog post “Ramsay: A cyber espionage toolkit tailored for Air-Gapped Networks”  op https://welesecurity.com

Volg ESET Research op Twitter  ESET Research on Twitter voor het laatste nieuws van de onderzoeksteams. Bezoek eveneens https://www.eset.com/be-nl/

Thunderbolt flaws open millions of PCs to physical hacking

A new attack method enables bad actors to access data on a locked computer via an evil maid attack within 5 minutes

Amer Owaida 

Millions of computers sporting Intel’s Thunderbolt ports are open to hands-on hacking attempts due to vulnerabilities in this hardware interface, according to research by Björn Ruytenberg, a security researcher at Eindhoven University of Technology in The Netherlands. Dubbed Thunderspy, the attack method affects Thunderbolt-equipped machines manufactured between 2011 and 2020 and is a concern with machines running any of the three major operating systems – Windows, Linux and, to a lesser extent, macOS.

To snatch data from a PC through a so-called evil maid attack, all a bad actor would need is a few minutes, physical access to the device, and some off-the-shelf equipment. “All the evil maid needs to do is unscrew the backplate, attach a device momentarily, reprogram the firmware, reattach the backplate, and the evil maid gets full access to the laptop,” Ruytenberg told Wired, adding that the whole process could be managed within five minutes. A total of 7 vulnerabilities were found to affect Thunderbolt versions 1 through 3 and they’re all listed out in detail in the research paper.

The attack method works even if you follow cybersecurity best practices, such as locking your computer when stepping out for a moment and using strong passwords and measures such as full disk encryption. Above all, the attack leaves no traces.

As a proof of concept, Ruytenberg developed a firmware patching toolkit called Thunderbolt Controller Firmware Patcher (tcfp), which allows him to disable Thunderbolt security without accessing the machine’s BIOS or operating system. Since all of this takes place covertly and the changes aren’t reflected in BIOS, the victim remains none the wiser.

Ruytenberg also developed another tool, called SPIblock. Using it in tandem with tfcp, he managed to disable Thunderbolt security for good and block all future firmware updates, all the while remaining undetected.

Thunderbolt security was also in the spotlight last year, when a team of researchers was able to uncover a collection of vulnerabilities they named Thunderclap. Fortunately, those could be mitigated by security options, called “Security Levels”, that were already available at the time.

Not so much with Thunderspy, as this attack method circumvents these security settings. On the other hand, what does guard against it is Kernel Direct Memory Access (DMA) protection that was introduced in 2019, as Intel states in its response to the published report.

Ruytenberg concludes that an update won’t be enough to fix the issue: “The Thunderspy vulnerabilities cannot be fixed in software, impact future standards such as USB 4 and Thunderbolt 4, and will require a silicon redesign.”

If you’re worried that your computer may be susceptible to an attack, you can use Spycheck, a tool specifically developed by the researcher to scan for Thunderspy vulnerabilities. To protect yourself, you shouldn’t leave your computer unattended while powered on even if you locked the screen; the same applies to your Thunderbolt peripherals. Ruytenberg also recommends disabling your Thunderbolt ports entirely in BIOS, which would render them inoperable but should keep you safe.

Over 160 million user records put up for sale on the dark web

Eleven companies, ranging from online marketplaces to news websites, have had their user databases poached

By Amer Oweida

More than 164 million user records stolen from almost a dozen companies have been put up for sale on the dark web in recent days. The data trove is being peddled by a cybercriminal collective going by the name Shiny Hunters for a combined asking price of some US$23,100.

The cache includes 91 million user records stolen from Tokopedia, Indonesia’s largest online store, and offered for sale in early May. In a later development, multiple cyber-threat intelligence companies told BleepingComputer that Shiny Hunters have started uploading records from new data breaches.

The new records include data pilfered from home meal kit delivery service HomeChef, photo print service Chatbooks, and college-oriented news website chronicle.com. The data runs the gamut and includes names, phone numbers, email addresses, password hashes, social media access tokens and a range of Personally Identifiable Information. The hacker group did not discriminate, and the full list comprises data from 11 companies based in various parts of the world, notably Asia and the United States:

·       Tokopedia, 91 million records for US$5,000

·       Homechef, 8 million records for US$2,500

·       Bhinneka, 2 million records for US$1,200

·       Minted, 5 million records for US$2,500

·       Styleshare, 6 million records for US$2,700

·       Ggumim, 2 million records for US$1,300

·       Mindful, 2 million records for US$1,300

·       StarTribune, 1 million records for US$1,100

·       Chatbooks, 15 million records for US$3,500

·       The Chronicle of Higher Education, 3 million records for US$1,500

·       Zoosk, 30 million records for US$500

Chatbooks, one of the victims has already notified its users about the data breach; the other affected companies should follow suit soon, since they have been notified about the breaches to their systems.

RELATED READING: Cybercrime black markets: Dark web services and their prices

If you are a user of any of these services, you should immediately change your passwords. To add an extra layer of security, consider turning on two-factor authentication if the websites offer such an option. Perhaps auditing the security of your other accounts is in order as well, especially if you tend to recycle your passwords.

Meanwhile, Shiny Hunters have also claimed responsibility for allegedly hacking Microsoft’s GitHub accounts, threatening to release the reportedly stolen private projects. The Redmond giant has yet to confirm or deny if their GitHub account has been breached, although an unnamed Microsoft employee did actually confirm that the data was genuine.

5 erreurs courantes à éviter en matière de mots de passe

Le recyclage de mots de passe ou l’utilisation de mots de passe faciles à deviner ne sont que quelques erreurs courantes que vous pouvez commettre en protégeant vos comptes numériques

Par Amer Owaida

La saisie d’un mot de passe pour accéder à l’un des dizaines ou centaines de services que nous utilisons est devenue un élément tellement quotidien de notre vie que nous y réfléchissons rarement. Bien souvent, nous essayons de garder nos mots de passe simples et faciles à retenir afin de pouvoir passer rapidement à autre chose qu’une simple connexion et continuer à faire ce qui compte. Ce n’est là qu’une des nombreuses erreurs que nous faisons lorsqu’il s’agit d’un élément sur lequel nous comptons pour sécuriser une partie de notre identité numérique.

Comme c’est aujourd’hui la Journée mondiale des mots de passe, il n’y a pas de meilleure occasion que celle-ci pour examiner les cinq erreurs les plus courantes que vous pouvez commettre en matière de mots de passe.

Recycler vos mots de passe

L’une des erreurs les plus courantes et les plus fréquentes est le recyclage des mots de passe. Le problème commence souvent par la création du mot de passe lui-même. Le plus souvent, les gens créent des mots de passe faciles à retenir, ce qui signifie généralement qu’ils sont courts et simples, bien que la plupart des services exigent désormais une longueur minimale et les types de caractères qui doivent être inclus.

Une fois que nous avons mémorisé le mot de passe et que nous nous inscrivons à un autre service, puis à un autre, puis à un autre, nous ne voulons pas avoir à en mémoriser un autre, puis un autre, puis un autre, alors nous réutilisons le mot de passe que nous avons déjà mémorisé. Selon une enquête réalisée par Google, 52 % des répondants réutilisent le même mot de passe pour plusieurs comptes, tandis qu’un pourcentage surprenant de 13 % utilisent le même mot de passe pour tous leurs comptes. Le fait de remplacer les chiffres par des lettres ou les majuscules par des minuscules et inversement est également considéré comme un recyclage de mots de passe, bien que certains puissent considérer qu’il s’agit d’une légère amélioration.

Le problème le plus grave du recyclage des mots de passe est qu’il vous ouvre la voie aux attaques de bourrage d’identifiants. Il s’agit d’une attaque de prise de contrôle de compte qui utilise des robots pour marteler des sites avec des tentatives de connexion à l’aide d’identifiants d’accès volés lors de violations de données sur d’autres sites jusqu’à ce qu’ils tombent sur la bonne combinaison de nouveaux sites et d’identifiants précédemment utilisés. Comme vous pouvez le constater, la diversification de vos mots de passe est dans votre intérêt.

Créer des phrases de passe trop simples

Comme nous l’avons déjà mentionné, une grande partie des problèmes commencent lorsque les mots de passe sont créés. Les plus simples ont tendance à mener le peloton. Vous avez peut-être vu le film Wrongfully Accused, dans lequel Leslie Nielsen tente de pirater un ordinateur en devinant les identifiants de connexion, qui se révèlent être simplement login et password (ou mot de passe).

Si vous pensez que dans la vie réelle les gens sont plus prudents dans le choix de leurs phrases de passe, vous vous trompez malheureusement. Une liste compilée chaque année montre qu’en matière de mots de passe, les gens font des choix douteux, avec 12345 et un classement des mots de passe dans les cinq premiers rangs des mots de passe les plus populaires.

Aside from simple patterns and obvious words, a frequent mistake you may be making when creating passwords is incorporating details into the password from our personal lives that can be easily guessed or found. Six of ten US adults have incorporated a name (theirs, their spouse’s, children’s or pet’s name) or a birthday into their passwords.

Outre les modèles simples et les mots évidents, une erreur fréquente que vous pouvez commettre lorsque vous créez des mots de passe consiste à incorporer dans le mot de passe des détails de notre vie personnelle qui peuvent être facilement devinés ou trouvés. Six adultes américains sur dix ont incorporé un nom (le leur, celui de leur conjoint, de leurs enfants ou de leur animal de compagnie) ou une date de naissance dans leur mot de passe.

Dans l’idéal, il est préférable de privilégier l’usage de phrases de passe forte plutôt que d’utiliser un mot de passe. L’authentification à deux facteurs (2FA) devrait également être activée lorsque cela est possible, car elle ajoute une couche de sécurité supplémentaire contre divers types d’attaques visant à révéler vos identifiants de connexion.

Stocker vos mots de passe en texte clair

Une autre erreur fréquente consiste à écrire nos mots de passe. Cela peut prendre deux formes : les noter sur du papier ou des notes autocollantes, ou les enregistrer dans des tableurs ou des documents texte sur nos ordinateurs ou nos smartphones. Dans le premier cas, à moins que l’acteur malveillant ne désire ajouter l’effraction à ses crimes, il n’y a aucun moyen d’y accéder.

Lire l’article complet sur :

https://www.welivesecurity.com/fr/2020/05/07/errurs-courantes-mot-de-passe/