L’année 2020 a été marquée par une forte augmentation du nombre d’attaques par ransomware et la France n’a pas été épargnée. Certaines attaques ont touché de grandes entreprises et ont été particulièrement médiatisées (Bouygues Construction, Sopra Steria et Dassault Falcon Jet). Les entités publiques ont aussi été impactées par ce phénomène, qu’il s’agisse de centres hospitaliers, d’organismes de santé ou de laboratoires de recherche médicale, malgré le contexte sanitaire. Des municipalités et des collectivités locales américaines ont versé des rançons importantes pour retrouver l’usage de leurs systèmes d’information. La ville de Lake City, en Floride, a payé 460.000 dollars aux…
Depuis novembre 2020, un opérateur de ransomware a déployé le ransomware Pay2Key sur des entreprises israéliennes. Comme la plupart des ransomware, Pay2Key chiffre et exfiltre les données de la victime et demande une rançon pour les récupérer. Le paiement de la rançon n’assure en rien l’accès pour les victimes à la clé de déchiffrement.
Selon les entreprises de cybersécurité Clearsky et Checkpoint, Pay2Key serait affilié au mode opératoire avancé iranien présumé d’origine étatique Fox Kitten. En effet, les techniques utilisées pour déployer le ransomware présenteraient des similitudes avec les TTPs de Fox Kitten (exploitation de vulnérabilité Citrix et F5, installation…
“Le second cliché [du renseignement] consiste à penser que seule l’information obtenue dans les conditions les plus rocambolesques et “secrètes” présente une valeur importante” Alain Chouet, La sagesse de l’Espion
La Cyber Threat Intelligence (CTI) s’adresse à des publics dont les besoins et les attentes sont différents. Il en résulte que les informations ne sont ni couvertes, ni transmises, ni analysées de la même façon selon le récepteur, ce qui peut conduire à un cloisonnement de l’activité de CTI, alors que celle-ci présente par nature un caractère protéiforme permettant d’adresser bon nombre de problématiques aux acteurs de la cybersécurité.
Les…
Safely deploying changes to this high-throughput, low-latency workflow is a major challenge that we continuously try to solve.
Of course, we embrace the microservice architecture: production is handled by a large set of loosely coupled components. This approach allows us to easily scale and update parts of our infrastructure independently, but it also means that we have to handle a large number of deployments, frequently.
All our microservices run on Kubernetes, which is great for auto-healing and progressive rollouts. Kubernetes is smart, but Kubernetes is not that smart. Even combined with all the CI/CD and staging in the world, we…
This type of attack is frequently leveraged by attackers to harvest victims’ credentials, sometimes without even the victims noticing they have been phished [1], [2]. The aim of this lab is to play the attack, to search for traces left by the attackers by analysing the logs and to see how this type of attack can be detected and mitigated. As an example, we will focus on an O365 phishing scenario, from the mail click to the endpoint detection.
In traditional phishing, to lure the victims and make them fill in their credentials, attackers used to develop HTML templates looking…
Organizations around the world are facing multiple and growing cybersecurity challenges:
When we started to imagine SEKOIA.IO, we wanted to solve these different global issues encountered by the cybersecurity industry. To achieve this new challenge, we had to reinvent threat detection and response.
Traditional SIEM and SOC are costly to build, run and maintain. They are inefficient in today’s hybrid IT environments: on-premises, multi-Cloud, SaaS, mobile, etc. Classic SIEM generates too many false positives. SOC…
La libra a été annoncée le 19 juin 2019 par Facebook. La Libra est à la fois le nom de la cryptomonnaie et le nom du protocole qui la fait fonctionner. Cette cryptomonnaie serait développée et gérée par la Libra Association, consortium basé en Suisse, initié par Facebook. Sa mise en circulation, originellement prévue pour juin 2020, semble compromise, d’autant plus une année d’élection présidentielle.
Afin d’intégrer cette association, les entreprises intéressées devaient investir 10 millions de dollars (environ 9 millions d’euros) rien de moins ! …
SEKOIA.IO, notre SaaS SIEM, est alimenté nativement par la Cyber Threat Intelligence de SEKOIA pour contextualiser, enrichir et décupler vos capacités de détection et de réponse face aux dernières cybermenaces.
Pour rendre actionnable la Cyber Threat Intelligence de SEKOIA.IO dans votre contexte de SOC / CSIRT / CERT, nous misons une nouvelle fois sur la communauté des outils sécurité open source avec le lancement d’un feed MISP et d’un analyseur CORTEX.
Un feed MISP pour augmenter vos capacités de détection des cybermenaces
Les laboratoires de recherche contre le COVID-19 sont ainsi devenus des cibles privilégiés pour le groupe d’attaquant étatique APT29 présumé d’origine russe. Le 16 juillet 2020, les services de renseignement américains, britanniques et canadiens ont accusé APT29 d’être à l’origine d’une campagne de cyberattaques ciblant des organismes de santé impliqués dans la recherche d’un vaccin contre le coronavirus. Ce groupe, aussi connu sous le nom de Cozy Bear avait déjà été suspecté d’ingérence dans les élections américaines de 2016.
Quels sont les principaux enseignements à tirer de la lecture du DBIR 2020 ?
L’appât du gain reste la principale motivation dans la très grande majorité des compromissions. 86% des incidents analysés relèvent de cette catégorie, soit 15% de plus qu’en 2018. Moins de 10% des incidents sont liés au cyber espionnage. La couverture médiatique accordée à ce dernier semble donc proportionnellement inverse aux nombres d’incidents étudiés. Verizon constate même une baisse du nombre d’incidents liés à cette activité par rapport à l’année 2018.
En ce qui concerne les acteurs, 55% des incidents sont le fait de groupes cybercriminels. …
Pure player français de la cybersécurité depuis 2008 #ThreatIntelligence #CERT (réponse sur incident) #Pentest #RedTeam #Conseil #Formation #MSSP