ESET Threat Report H2 2023: veel beveiligingsincidenten, aanvallen met AI-thema en Android-spyware

 

·       ESET publiceert zijn nieuwste Threat Report die de trends in het bedreigingslandschap samenvat die waargenomen werden in de ESET-telemetrie van juni tot en met november 2023.

·       Cl0p, een beruchte cybercriminele groep, bekend om zijn ransomware-aanvallen op grote schaal, lanceerde de uitgebreide “MOVEit-hack”, zonder ransomware-implementatie.

·       ESET Research identificeerde specifieke campagnes die zich richten op gebruikers van AI-tools zoals ChatGPT en de OpenAI API.

·       SpinOk-spyware deed het totale aantal gevallen van Android-spyware toenemen.

·       Android/Pandora-malware compromitteerde smart-tv's, tv-boxen en mobiele toestellen om ze te gebruiken voor DDoS-aanvallen. 

BRATISLAVA, 19 december 2023 — ESET publiceert zijn nieuwste Threat Report, over de trends in het dreigingslandschap waargenomen door de ESET-telemetrie, en vanuit het perspectief van ESET-experts in bedreigingsdetectie en onderzoek, van juni tot en met november 2023. In de tweede helft van 2023 zag men aanzienlijke cybersecurity incidenten. Cl0p, een beruchte cybercriminele groep bekend voor zijn ransomware-aanvallen op grote schaal, trok de aandacht met zijn uitgebreide ‘MOVEit-hack’, waarbij er, verrassend genoeg, geen ransomware-implementatie was. In het IoT-landschap identificeerde ESET Research een kill-switch, gebruikt om het Mozi IoT-botnet met succes niet-functioneel te maken. Tijdens de discussie over AI-aanvallen identificeerde ESET campagnes die zich richten op gebruikers van tools als ChatGPT en de OpenAI API. Inzake spyware is er sprake van een aanzienlijke toename van het aantal gevallen van Android-spyware, die vooral aan de aanwezigheid van de SpinOk-bedreiging toe te schrijven zijn. 

“De Cl0p-aanval was gericht op talloze organisaties, waaronder internationale bedrijven en Amerikaanse overheidsinstanties. Een belangrijke verschuiving in de strategie van Cl0p was de poging om gestolen informatie naar openbare websites te lekken als het losgeld niet tijdig betaald werd. Die trend is ook waargenomen bij de ALPHV-ransomwarebende”, zegt Jiří Kropáč, directeur bedreigingsdetectie bij ESET. 

Een nieuwe dreiging tegen IoT-toestellen, Android/Pandora, compromitteerde Android-toestellen – waaronder smart-tv’s, tv-boxen en mobiele toestellen – en gebruikte deze voor DDoS-aanvallen. ESET Research zag ook heel wat pogingen om toegang te krijgen tot kwaadaardige domeinen met namen die lijken op ‘ChatGPT’, schijnbaar verwijzend naar de ChatGPT-chatbot. Bedreigingen die via deze domeinen worden aangetroffen, zijn o.a. webapps die op onveilige wijze omgaan met OpenAI API-sleutels. Dit benadrukt het belang om de privacy van de OpenAI API-sleutels van gebruikers te beschermen.

Bij de Android-bedreigingen wordt ook SpinOK-spyware verspreid als softwareontwikkelingskit en aangetroffen in verschillende legitieme Android-apps. Kwaadaardige JavaScript-code, gedetecteerd als JS/Agent, is de tweede meest geregistreerde bedreiging in de tweede helft van 2023. Deze wordt nog steeds in gecompromitteerde websites geïnjecteerd. 

De toenemende waarde van de bitcoin ging niet gepaard met een gelijkaardige toename van bedreigingen voor cryptovaluta. Dit wijkt af van de trends uit het verleden. Het aantal cryptostealers nam echter opmerkelijke toe. Dit werd veroorzaakt door de opkomst van infostealer Lumma Stealer, de malware-as-a-service die zich richt op cryptovaluta-portefeuilles. 

Lees, voor meer informatie, ESET Threat Report H2 2023 on WeLiveSecurity.com. Volg zeker ook ESET Research on Twitter (today known as X) voor de nieuwste info over ESET Research. 

Catherine d'Adesky

OVER ESET

Al meer dan 30 jaar ontwikkelt ESET® geavanceerde IT-beveiligingssoftware en -diensten om bedrijven, kritieke infrastructuur en consumenten wereldwijd te beschermen tegen steeds meer gesofisticeerde digitale bedreigingen. Van endpoint- en mobiele beveiliging tot detectie en respons van endpoints, encryptie en multi-factor authenticatie, beschermen en bewaken ESET's krachtige, gebruiksvriendelijke oplossingen discreet 24/7. Ze updaten in realtime de verdediging om ononderbroken gebruikers en ondernemingen te beveiligen.

De constant veranderende bedreigingen vereisen een schaalbare provider van IT-beveiliging zodat technologie veilig kan gebruikt worden. Dit wordt ondersteund door ESET’s R & D-centra over de hele wereld. Deze zetten zich in om onze gemeenschappelijke toekomst te ondersteunen.

Voor meer informatie bezoek www.eset.com  of volg het nieuws op LinkedIn, Facebook, en Twitter (X)..

Om meer te vernemen over de ESET-oplossingen, bezoek https://www.eset.com/be-nl/

 

ESET Research: officiële Python-repository hielp spionage backdoor en verzamelde meer dan 10.000 downloads

 ·       ESET Research ontdekte 116 kwaadaardige pakketten in PyPI, de officiële opslagplaats van software voor de programmeertaal Python. Deze werden geüpload naar 53 projecten en slachtoffers hebben ze meer dan 10.000 keer gedownload.

·       De malware levert een backdoor die opdrachten op afstand kan uitvoeren, bestanden kan exfiltreren en schermafdrukken kan maken. Soms wordt de W4SP Stealer of een klembordmonitor geleverd die cryptomunten steelt, of soms ook beide. 

·       De backdoor-component is geïmplementeerd voor zowel Windows in Python, als Linux in Go.

BRATISLAVA, MONTREAL — 12 december 2023 — ESET Research heeft een cluster kwaadaardige Python-projecten ontdekt die verspreid worden via PyPI, de officiële Python-pakketopslagplaats (programmeertaal). De bedreiging is zowel op Windows- als op Linux-systemen gericht en heeft meestal ook een aangepaste backdoor met cyberspionagemogelijkheden. Het uitvoeren van opdrachten op afstand en het exfiltreren van bestanden is mogelijk en soms worden ook schermafdrukken gemaakt. Soms is de uiteindelijke lading een variant van de beruchte W4SP Stealer, die persoonlijke gegevens en inloggegevens steelt, of een eenvoudige klembordmonitor om cryptmunten te stelen, of beide. ESET ontdekte 116 pakketten (brondistributies, enz.) en 53 projecten die malware bevatten. Deze bestanden werden het afgelopen jaar meer dan 10.000 keer door slachtoffers gedownload. Vanaf mei 2023 lag het aantal downloads rond de 80 per dag.

Bij Python-programmeurs is PyPI populair voor het delen en downloaden van code. Daar iedereen tot de repository kan bijdragen, kan malware – die zich soms voordoet als legitieme, populaire codebibliotheken – plots opduiken. “Sommige kwaadaardige pakketnamen lijken op die van legitieme pakketten, maar wij denken dat de belangrijkste manier waarop ze door potentiële slachtoffers worden geïnstalleerd niet via typosquatting is, maar via social engineering. Slachtoffers worden zo tot het uitvoeren van pip geleid om een 'interessant' pakket te installeren”, zegt ESET-onderzoeker Marc-Étienne Léveillé, die de kwaadaardige pakketten ontdekte en analyseerde.

De meeste pakketten waren bij de publicatie van dit onderzoek al door PyPI verwijderd. ESET contacteerde PyPI om actie te ondernemen met betrekking tot de overige pakketten en momenteel zijn alle bekende kwaadaardige pakketten offline.

ESET observeerde de operatoren achter de campagne die drie technieken gebruikten om kwaadaardige code in de Python-pakketten in te voeren. In de eerste techniek wordt een “test”-module met licht versluierde code in het pakket geplaatst. De tweede techniek is het insluiten van PowerShell-code in het setup.py-bestand, wat automatisch wordt uitgevoerd door pakketbeheerders zoals pip om Python-projecten te helpen installeren. Bij de derde techniek doen de operatoren geen moeite om legitieme code in het pakket op te nemen, enkel de kwaadaardige code in een licht versluierde vorm is aanwezig.

Doorgaans is de uiteindelijke payload een aangepaste backdoor die opdrachten op afstand kan uitvoeren, bestanden kan exfiltreren en soms ook schermafdrukken maakt. In Windows is de backdoor geïmplementeerd in de programmeertaal Python, in Linux is die geïmplementeerd in Go. Soms wordt in plaats van de backdoor een variant van de beruchte W4SP Stealer gebruikt, of wordt een eenvoudige klembordmonitor gebruikt om cryptomunten te stelen, of soms beide. De klembordmonitor richt zich op de cryptomunten Bitcoin, Ethereum, Monero en Litecoin.

“Python-ontwikkelaars moeten de code die ze downloaden controleren voor ze deze op hun systemen installeren. We verwachten dat zo’n misbruik van PyPI zal voortduren en adviseren dus grote voorzichtigheid bij het installeren van code uit een openbare softwareopslagplaats”, besluit Léveillé.

Voor meer details over de kwaadaardige Python-projecten in PyPI, lees de blog “A pernicious potpourri of Python packages in PyPI.” Volg zeker ook ESET Research on Twitter (today known as X) voor het laatste nieuws over ESET Research.

Voor meer informatie bezoek www.eset.com  of volg het nieuws op LinkedIn, Facebook, en Twitter (X)..

Om meer te vernemen over de ESET-oplossingen, bezoek https://www.eset.com/be-nl/

ESET partner van KPN, Nederlandse telecommunicatie & IT-provider

 

●        ESET en KPN werken samen om hun klanten te beschermen tegen ongewenste, kwaadaardige en frauduleuze inhoud

●        ESET NetProtect-oplossingen bieden netwerkbeveiliging voor het hele huishouden en IoT-toestellen voor KPN-klanten 

ESET, een wereldwijd erkende leider in cyberbeveiliging, kondigt zijn strategische samenwerking aan met KPN, de toonaangevende telecommunicatie- en IT-aanbieder in Nederland. Voor zijn klanten introduceert KPN, door deze samenwerking, ESET NetProtect, een geavanceerde DNS-filteroplossing ontworpen om thuisnetwerken, inclusief IoT-toestellen, te beschermen tegen malware, phishing en ongewenste inhoud.

Voor KPN is de veiligheid van zijn klanten een ernstige zaak. In 2022 was 15% van de Nederlandse bevolking het slachtoffer van cybercriminaliteit, waarvan 50% online oplichtingen en financiële fraude, terwijl hacking door 20% van de ontvangers ervaren werd. Daarom werken KPN en ESET samen om hun klanten de beste oplossingen te bieden. Internetprovider KPN wil het verkeer op zijn netwerk en uiteindelijk zijn klanten beschermen door een veilige internetomgeving te creëren.

ESET NetProtect werkt door de DNS (Domain Name System) te filteren voor deze worden benaderd door toestellen die via routers op huishoudelijke connecties zijn aangesloten. Voor KPN-klanten worden de diensten moeiteloos met één klik geactiveerd, zodat automatische bescherming voor alle aangesloten toestellen gegarandeerd wordt.

Vandaag is dit is bijzonder handig omdat huishoudens zowel slimme als IoT-toestellen gebruiken die met traditionele beveiligingssoftware niet kunnen beveiligd worden en ESET NetProtect de bescherming biedt voor een ononderbroken ervaring. Voor toestellen waarop al bescherming geïnstalleerd is, werkt ESET NetProtect als een supplementaire beveiligingslaag voor het ecosysteem.

ESET NetProtect is een superschild om te voorkomen dat gevoelige informatie, zoals bankkaartgegevens, zou lekken via phishing- of oplichtingswebsites. DNS-filtering wordt gebruikt om soepele en betrouwbare bescherming te bieden. Een van de grootste voordelen van ESET NetProtect is zijn activering met één klik. Zo ontstaat een oplossing die eenvoudig te gebruiken is voor alle leeftijden en cyberkennisgroepen, zodat beveiliging nog meer toegankelijk wordt. Deze beveiligingslaag maakt het bovendien moeilijker voor nieuwe bedreigingen (zoals het gebruik van AI bij phishing, waardoor kwaadaardige berichten geloofwaardiger lijken en moeilijker met het blote oog te herkennen zijn) om de eindgebruiker te bereiken. Dit is vooral van belang voor ouders die hun kinderen, zonder toezicht, veilig online willen houden. De oplossing omvat eveneens een maandelijks overzicht van kwaadaardige sites en verijdelde cyberbedreigingen, alsook een malware- en phishingfilter en bescherming tegen mogelijk ongewenste inhoud.

Via het gebruiksvriendelijke beheerportaal kunnen eindgebruikers eenvoudig ESET NetProtect-instellingen configureren voor hun aangesloten toestellen, lijsten met toegestane en geblokkeerde domeinen beheren en beveiligingsrapporten genereren. Dit portaal biedt waardevolle inzichten in ESET’s beschermingsmechanismen. Al deze oplossingen werden ontwikkeld om toestellen gekoppeld aan telecom- en ISP-netwerken te beschermen en dit tegen heel wat bedreigingen.

Betrouwbare beveiliging, die gemakkelijk te gebruiken is, is een prioriteit. Deze wordt ondersteund door de lokale klantenservice en de uitgebreide bescherming die online bedreigingen een stap voor blijft. Dit is mogelijk door ESET’s buitengewone database met malwaredetecties, samengesteld dankzij zijn wereldwijde netwerk van onderzoeks- en ontwikkelingscentra.

Mária Trnková, Chief Marketing Officer bij ESET, legt uit: “Mensen en hun veiligheid hebben bij ESET de hoogste prioriteit. Nieuwe opkomende technologieën worden onmiskenbaar een integraal onderdeel van ons dagelijks leven, maar het dreigingslandschap loopt niet achter. De bedreigingen worden steeds performanter, wat nu nog belangrijker is dan voorheen, om gebruiksvriendelijke, betrouwbare oplossingen te bieden die onze bescherming kunnen garanderen. Met ESET NetProtect hebben we een dergelijke oplossing ontwikkeld en het verheugt ons dat we nu de klanten van KPN kunnen beschermen.”

Gijs Isbouts, VP van KPN Veilig, verduidelijkt: “Smart TV’s, slimme lampen of een slimme (energie)meter... we zijn steeds meer digitaal verbonden en het aantal slimme toestellen in onze woningen is enorm gestegen. Het is dus onze missie om ervoor te zorgen dat onze klanten zich online echt veilig voelen. Nieuwe tijden vragen nieuwe oplossingen, en dat is precies wat we hier samen met ESET aanpakken. Onze oplossing KPN Safe Network at Home, die wij samen met ESET aanbieden, stelt onze klanten in staat om thuis de controle te behouden over hun online veiligheid, zonder technisch onderlegd te moeten zijn. Dat je dit met slechts één muisklik kunt doen is gewoon fantastisch."

Lees  hier meer over ESET NetProtect.

OVER ESET

Al meer dan 30 jaar ontwikkelt ESET® geavanceerde IT-beveiligingssoftware en -diensten om bedrijven, kritieke infrastructuur en consumenten wereldwijd te beschermen tegen steeds meer gesofisticeerde digitale bedreigingen. Van endpoint- en mobiele beveiliging tot detectie en respons van endpoints, encryptie en multi-factor authenticatie, beschermen en bewaken ESET's krachtige, gebruiksvriendelijke oplossingen discreet 24/7. Ze updaten in realtime de verdediging om ononderbroken gebruikers en ondernemingen te beveiligen.

De constant veranderende bedreigingen vereisen een schaalbare provider van IT-beveiliging zodat technologie veilig kan gebruikt worden. Dit wordt ondersteund door ESET’s R & D-centra over de hele wereld. Deze zetten zich in om onze gemeenschappelijke toekomst te ondersteunen. Voor meer informatie bezoek www.eset.com  of volg het nieuws op LinkedIn, Facebook, en Twitter (X)..Meer vernemen over de ESET-oplossingen? Bezoek https://www.eset.com/be-nl/

Over KPN

Al bijna 140 jaar is KPN de toonaangevende leverancier van telecommunicatie- en IT-diensten in Nederland. Iedere Nederlander maakt dagelijks direct of indirect gebruik van het netwerk van KPN, van de glasvezelverbindingen in de grond tot de geldautomaten in winkels of de matrixborden boven de snelwegen. Via het Nederlandse netwerk, waarin KPN continu investeert door de aanleg van glasvezel en  het uitrollen van het nieuwe 5G mobiele netwerk, bedient KPN consumenten en zakelijke klanten met diensten voor telefonie, data, televisie, internet-of-things, cloud, werkplekken en veiligheid. Meer informatie op www.kpn.com

PERSINFO

ESET BeLux - MGK Technologies Maxime Mutelet +352 26 18 51 www.eset.be

Key Communications Catherine d’Adesky / Louise Biron +32 (0)475 48 62 68 catherine@keycommunications.be www.keycommunications.be

ESET named a “Notable Vendor” in renowned XDR landscape report

●        ESET has been acknowledged as a “Notable Vendor” in the prestigious XDR platforms landscape, Q4 2023

●        For its first appearance in the Extended Detection And Response Platforms (XDR) landscape overview, ESET provided information on ESET PROTECT Elite, the all-in-one prevention, detection, & response solution combining enterprise-grade XDR 

BRATISLAVA — November 29, 2023 – Global cybersecurity leader ESET has been included in Forrester’s Extended Detection And Response Platforms Landscape, Q4 2023 report. The report provides an overview of 29 vendors of XDR solutions, among which ESET is recognized as a notable vendor. Forrester conducted the research aiming to provide cybersecurity professionals with insights into the value they can expect from an XDR provider. The report helps clients in understanding vendor differences and exploring options based on size and market focus.

 XDR, gradually supplanting EDR, consolidates security-relevant detections from both endpoints and other surfaces. This innovation adopts a cloud-native approach with robust big data infrastructure, prioritizing an enhanced analyst experience for top-tier detection, thorough investigation, and swift response. Forrester’s XDR landscape overview focuses on the value proposition, vendor segments, and active providers in the market. The vendors listed in the overview vary by size, region, and use cases, including the four core use cases, meeting buyers’ primary expectations: Native Detection Surface (endpoint), Native Detection Surface (workload), Incident Management, and Threat Hunting.

 ESET PROTECT Elite provides large enterprises, small and midsize businesses (SMBs), and channel partners with advanced XDR, enhancing visibility and threat-hunting capabilities. This comprehensive solution integrates multilayered endpoint protection with multi-factor authentication, server security, advanced threat defense, full disk encryption, mail security, and cloud application protection.

The solution also delivers continuous vulnerability assessment with risk-based prioritization and remediation to reduce exposure to attack. It is ideal for organizations facing security resource challenges, offering continuous threat monitoring and hunting, and encompassing digital forensics, root cause analysis, and remediation guidance.

 Some vendors at an earlier stage of maturity are rushing to include numerous integrations and capabilities to bridge the gap, often compromising the quality of detection in the process. ESET carefully evaluates potential new integrations while keeping up with the highest standards necessary for their delivery to avoid potentially compromising detection quality. In addition to the four core use cases, ESET concentrates on three of the six extended use cases highlighted in the overview: Native Detection Surface (additional); Vulnerability Risk Management (VRM), Policy Violations, Misconfigurations; and Detection As Code.

 Zuzana Legáthová, Senior Manager of Analyst and Testers Relations at ESET, emphasized, “As the XDR market continues to emerge, customers are navigating various challenges, evaluating the feasibility of transitioning from EDR to XDR. To heighten visibility into endpoints, devices, and networks is imperative to safeguard against emerging threats. The very first appearance of our highest tier solution in the report and the acknowledgment from Forrester further cements for us ESET’s commitment to become a key player in the extended endpoint security market, underscoring, in our opinion, the company’s continuous efforts to provide advanced and dependable security solutions.”

 For more detailed information about ESET and its XDR solutions, please read here.

The full Forrester Extended Detection And Response Platforms Landscape, Q4 2023 report, can be downloaded here by Forrester clients or for purchase.

Key Communications
Catherine d’Adesky / Louise Biron
+32 (0)475 48 62 68
catherine@keycommunications.be

www.keycommunications.be

 

Trouver un bureau partagé à 30 minutes du domicile ? Surmonter les défis actuels de nos modes de travail ? C’est possible !

 

Le hub, bureau partagé que l’employeur met à la disposition de ses collaborateurs à moins de 30 minutes de leur domicile, pourrait constituer une issue élégante aux bouleversements que les crises successives ont infligés à nos vies professionnelles.

La pandémie, qui nous a obligés à travailler depuis la maison, et la guerre en Ukraine, qui a fait flamber les prix de l’énergie, ont fait réfléchir les entreprises et leurs collaborateurs.

Le télétravail s’est alors présenté comme alternative. Les organisations non industrielles où l’on travaille uniquement en présentiel font désormais partie du passé. Leur approche archaïque et restrictive du travail ne correspond plus aux attentes des collaborateurs. Selon une enquête réalisée en Belgique par SD Worx en mai 2022, seuls 5,1 % des employés veulent retourner au bureau cinq jours par semaine. De plus, 43 % des personnes interrogées sont d’avis que leur emploi leur permet parfaitement de faire du télétravail.

Positif, mais pas que…

Mais si le télétravail, par ses avantages évidents, a réussi à convaincre la majorité des entreprises et de leurs collaborateurs, il a aussi démontré, rapidement, quelques points faibles importants : l’absence de contacts et de possibilités de réunions pourles personnes en télétravail et leurs collègues, le sentiment d’isolement, la difficulté de rester concentré lorsque les enfants sont à la maison, etc. Ne perdons pas non plus de vue que le travail joue un grand rôle social. Nous avons besoin de contacts sociaux et nous aimons atteindre des objectifs et les partager.

Le télétravail à partir du domicile soulève d’autres problèmes encore. Tout d’abord, les frontières entre la vie professionnelle et la vie privée sont devenues floues. Être disponible à tout moment finit par épuiser. Rester concentré lorsque les enfants sont à la maison peut être difficile sans local pour s’isoler. Le télétravail dans sa forme initiale ne favorise pas nécessairement le bien-être des collaborateurs.

Autonomie

D’autre part, pour l’entreprise, le télétravail est une occasion incontournable d’augmenter l’engagement et la productivité des employés, en leur permettant de se sentir plus autonomes et de faire preuve de flexibilité et d’empathie. Aujourd’hui, le monde du travail souhaite plus d’autonomie, non seulement sur le lieu de travail, mais aussi dans sa façon de travailler. Pour être une réussite, le télétravail demande donc une combinaison de motivation et de capacité.

Puisque le marché du travail connaît actuellement de graves pénuries, il faut mettre l’accent sur les personnes. Ceci devient un facteur distinctif qui attire les talents et améliore de manière tangible l’efficacité au travail et le bien-être des personnes. Cette démarche rend les entreprises plus réactives aux demandes des clients, plus agiles et résistantes aux perturbations et, par conséquent, plus productives. De plus, ce modèle réduit toute une série de coûts, tels que l’immobilier, les déplacements et l’attrition des employés.

Les organisations doivent dès lors passer du présentiel à l’évaluation de la productivité basée sur les résultats. Elles doivent réfléchir à une organisation du travail autour de la motivation des travailleurs, en leur accordant un maximum de flexibilité.

Épuisants trajets

Une des principales raisons pour lesquelles les travailleurs quittent leur emploi est le temps de déplacement entre leur domicile et leur entreprise. En Belgique, ces déplacements sont généralement synonymes d’embouteillages et de temps perdu. Depuis la pandémie, la grande majorité des Belges ne veut plus faire un trajet de plus d’une demi-heure. Par ailleurs, une enquête révèle que 43 % des personnes qui passent plus d’une heure sur la route pour se rendre au travail ont l’intention d’en changer pour être plus proche de leur domicile. (Source: https://peoplesphere.be/fr/au-dela-de-quelle-duree-le-trajet-domicile-lieu-de-travail-devient-il-insupportable)

Choisir et réserver son lieu de travail

Aujourd’hui, il existe une troisième option : le hub, un endroit que l’employeur met à la disposition de ses collaborateurs à moins de 30 minutes – à bicyclette, en transports en commun ou en voiture – de leur domicile. Le hub bien organisé offre non seulement les outils et la technologie dont le travailleur ne dispose peut-être pas à la maison – wifi, grands écrans, etc. – mais également des espaces pour les réunions, les communications vidéo ou téléphoniques confidentielles, sans oublier des espaces d’hébergement pour les vélos et généralement des emplacements de parking.

Pour les entreprises, ces petites plates-formes de bureaux, à maximum une demi-heure du domicile, concilient des intérêts divergents. L’avantage de ne pas devoir effectuer des longs et fastidieux trajets jusqu’au siège de l’entreprise est fortement apprécié et les liens avec les collaborateurs sont moins susceptibles de s’étioler. Les bureaux partagés proches du domicile se profilent donc comme des carrefours où les collaborateurs peuvent travailler efficacement et se réunir confortablement. Bref, ils offrent un meilleur équilibre entre la vie privée et le travail auquel nous aspirons tous.Mais pour les entreprises, trouver, dans nos petites villes, ce genre d’infrastructures répondant à leurs exigences en matière de sécurité et de prévention, est un réel défi.

Dans ce domaine, la Belgique fait figure de précurseur. Une plate–forme numérique peut proposer un très grand nombre de hubs – bureaux partagés – mis à la disposition des entreprises intéressées. Les collaborateurs des entreprises participantes peuvent réserver eux-mêmes les lieux de travail à la journée ou demi-journée à maximum 30 minutes de chez eux, au moyen de crédits que l’employeur leur a alloués. En quelque sorte, le ‘booking.com’ des bureaux partagés.

Une telle plate–forme de hubs peut aussi être une solution lorsqu’une entreprise se voit contrainte de réduire, pour l’une ou l’autre raison, ses espaces de travail. L’entreprise s’y retrouve financièrement car cette solution réduit les coûts et peut être une arme supplémentaire pour attirer les talents.

à propos de l’auteur

Catherine d’Adesky, Auteure

ESET Research : BlackLotus, kit de démarrage UEFI pouvant contourner UEFI Secure Boot sur systèmes entièrement patchés

 

●      ESET Research: premier à publier une analyse de BlackLotus, premier bootkit UEFI in-the-wild capable de contourner UEFI Secure Boot, une fonction sécuritaire essentielle de la plate-forme.

●      Ce kit de démarrage UEFI, vendu sur des forums de piratage pour 5.000 $ depuis octobre 2022, peut fonctionner sur des systèmes Windows 11 entièrement à jour avec UEFI Secure Boot activé.

●      Le bootkit exploite une vulnérabilité de plus d'un an (CVE-2022-21894) pour contourner UEFI Secure Boot et configurer la persistance du bootkit. C’est le premier abus connu de la vulnérabilité.

●      La vulnérabilité corrigée dans la mise à jour Microsoft de janvier 2022 peut toujours être exploitée et permettre la désactivation des mécanismes sécuritaires du système d'exploitation tels que BitLocker, HVCI et Windows Defender.

●      BlackLotus, facile à déployer, peut se propager rapidement s'il est entre les mains de groupes de criminels.

●      Certains programmes d'installation de BlackLotus analysés par ESET n’installent pas le bootkit si l'hôte compromis utilise des paramètres régionaux tels que : Arménie, Biélorussie, Kazakhstan, Moldavie, Russie ou Ukraine.

ESET Research est le premier à publier l‘analyse d'un kit de démarrage UEFI capable de contourner une fonctionnalité sécuritaire essentielle de la plate-forme - UEFI Secure Boot. Sa fonctionnalité et ses caractéristiques individuelles font croire qu'il s'agit d'une menace connue sous le nom de BlackLotus, un bootkit UEFI vendu sur des forums de piratage pour 5.000 $ depuis octobre 2022. Il fonctionne sur Windows 11 mis à jour avec UEFI Secure Boot activé.

"L‘enquête a commencé par quelques résultats sur ce qui s'est avéré être (avec un grand niveau de certitude) le composant BlackLotus en mode utilisateur - un téléchargeur HTTP - dans notre télémétrie fin 2022. Après une évaluation initiale, les types de code trouvés dans les échantillons nous ont fait découvrir six installateurs BlackLotus. Ce qui nous a permis d'explorer toute la chaîne d'exécution et de réaliser qu‘ici nous n‘avions pas seulement un logiciel malveillant ordinaire”, explique Martin Smolár, le chercheur d'ESET qui a mené l'enquête.

Le bootkit exploite une vulnérabilité agée de plus d'un an (CVE-2022-21894) pour contourner UEFI Secure Boot et configurer la persistance du bootkit. Il s'agit du premier abus connu de cette vulnérabilité. Bien qu‘elle ait été corrigée dans la mise à jour Microsoft de janvier 2022, son exploitation est toujours possible car les binaires affectés et valablement signés n'ont toujours pas été ajoutés à la liste de révocation UEFI. BlackLotus en bénéficie, apportant au système ses propres copies de binaires légitimes – mais vulnérables – afin d'exploiter la vulnérabilité.

BlackLotus peut désactiver les mécanismes de sécurité du système d'exploitation tels que BitLocker, HVCI et Windows Defender. Une fois installé, son objectif principal est le déploiement d’un pilote de noyau (qui protège le bootkit contre la suppression) et qui peut installer des charges utiles supplémentaires en mode utilisateur ou en mode noyau. Certains programmes d'installation de BlackLotus analysés par ESET n’installent pas le bootkit si l'hôte compromis utilise les paramètres régionaux Arménie, Biélorussie, Kazakhstan, Moldavie, Russie ou Ukraine.

BlackLotus est annoncé et vendu sur des forums clandestins depuis au moins début octobre 2022. "Nous pouvons présenter la preuve que le bootkit est réel et que la publicité n'est pas une arnaque", déclare Smolár. "Le faible nombre d'échantillons de BlackLotus que nous avons pu obtenir, de sources publiques et de notre télémétrie, nous porte à croire que peu d'acteurs malveillants ont commencé à l'utiliser. Nous craignons que les choses changent rapidement si ce bootkit tombe entre les mains de groupes de criminels, grâce à la facilité de déploiement du bootkit et des capacités des groupes criminels à propager des logiciels malveillants à l'aide de leurs botnets.“

Ces dernières années, de nombreuses vulnérabilités critiques affectant la sécurité des systèmes UEFI ont été découvertes. Malheureusement, suite à la complexité de l'ensemble de l'écosystème UEFI et des problèmes de chaîne d'approvisionnement associés, ces vulnérabilités ont rendu les systèmes vulnérables même longtemps après que les vulnérabilités n‘aient été corrigées… ou du moins depuis qu'on nous a dit qu'elles l‘avaient été.

Les bootkits UEFI sont de puissantes menaces, avec un contrôle total sur le processus de démarrage du système d'exploitation, capables de désactiver divers mécanismes sécuritaires du système d'exploitation tout en déployant leurs propres charges utiles en mode noyau ou en mode utilisateur aux premières étapes du démarrage. Cela leur permet de fonctionner très discrètement et avec des privilèges élevés. Jusqu'à présent, seuls quelques-uns ont été découverts in-the-wild (dans la nature) et décrits publiquement. Les bootkits UEFI peuvent perdre en discrétion par rapport aux implants de micrologiciels - tels que LoJax, le premier implant de micrologiciel UEFI in-the-wild, découvert par ESET Research en 2018 - les bootkits étant situés sur une partition de disque FAT32 facilement accessible. L'exécution en tant que chargeur de démarrage leur donne pratiquement les mêmes capacités, sans devoir contourner plusieurs couches de fonctions sécuritaires qui protègent contre les implantations de micrologiciels.

Et Smolár de conclure: "Le meilleur conseil est, bien sûr, de maintenir son système et son produit de sécurité à jour pour augmenter les chances qu'une menace soit stoppée au départ, avant qu'elle ne puisse atteindre la persistance pré-OS".

Pour plus d'informations techniques sur BlackLotus, ainsi que des conseils d'atténuation et de correction, consultez le blog BlackLotus UEFI Bootkit: Myth confirmed sur WeLiveSecurity. Suivez ESET Research sur Twitter -ESET Research on Twitter - pour les dernières nouvelles d'ESET Research.