Retour sur une année marquée par de nombreux incidents pour les collectivités territoriales françaises.
L’année 2020 a été marquée par une forte augmentation du nombre d’attaques par ransomware et la France n’a pas été épargnée. Certaines attaques ont touché de grandes entreprises et ont été particulièrement médiatisées (Bouygues Construction, Sopra Steria et Dassault Falcon Jet). Les entités publiques ont aussi été impactées par ce phénomène, qu’il s’agisse de centres hospitaliers, d’organismes de santé ou de laboratoires de recherche médicale, malgré le contexte sanitaire. Des municipalités et des collectivités locales américaines ont versé des rançons importantes pour retrouver l’usage de leurs systèmes d’information. La ville de Lake City, en Floride, a payé 460.000 dollars aux…
Alors que le recours au chiffrement et à l’exfiltration de données est devenu monnaie courante dans la sphère cybercriminelle, un groupe affilié à l’État iranien s’intéresse à l’exploitation de ransomware pour mener à bien ses attaques. L’adoption du ransomware par des acteurs étatiques interroge quant à l’évolution du mode opératoire de ces attaquants et de leurs intentions.
Nouveau ransomware Pay2Key
Depuis novembre 2020, un opérateur de ransomware a déployé le ransomware Pay2Key sur des entreprises israéliennes. Comme la plupart des ransomware, Pay2Key chiffre et exfiltre les données de la victime et demande une rançon pour les récupérer. Le paiement de la rançon n’assure en rien l’accès pour les victimes à la clé de déchiffrement.
Une affiliation avec Fox Kitten?
Selon les entreprises de cybersécurité Clearsky et Checkpoint, Pay2Key serait affilié au mode opératoire avancé iranien présumé d’origine étatique Fox Kitten. En effet, les techniques utilisées pour déployer le ransomware présenteraient des similitudes avec les TTPs de Fox Kitten (exploitation de vulnérabilité Citrix et F5, installation…
“Le second cliché [du renseignement] consiste à penser que seule l’information obtenue dans les conditions les plus rocambolesques et “secrètes” présente une valeur importante” Alain Chouet, La sagesse de l’Espion
Introduction
La Cyber Threat Intelligence (CTI) s’adresse à des publics dont les besoins et les attentes sont différents. Il en résulte que les informations ne sont ni couvertes, ni transmises, ni analysées de la même façon selon le récepteur, ce qui peut conduire à un cloisonnement de l’activité de CTI, alors que celle-ci présente par nature un caractère protéiforme permettant d’adresser bon nombre de problématiques aux acteurs de la cybersécurité.
Les…
SEKOIA.IO process almost a billion client events per day. That’s tens of thousands of log entries per second. Every single event has to be analyzed quickly and reliably by our detection pipeline, to detect cyber threats and react as soon as possible. You can imagine that breaking this pipeline, even for a few seconds, is out of the question.
Safely deploying changes to this high-throughput, low-latency workflow is a major challenge that we continuously try to solve.
Of course, we embrace the microservice architecture: production is handled by a large set of loosely coupled components. This approach allows us to easily scale and update parts of our infrastructure independently, but it also means that we have to handle a large number of deployments, frequently.
All our microservices run on Kubernetes, which is great for auto-healing and progressive rollouts. Kubernetes is smart, but Kubernetes is not that smart. Even combined with all the CI/CD and staging in the world, we…
This SEKOIA.IO Threat & Detection Lab tackles a Man-in-the-middle (MITM) phishing attack.
This type of attack is frequently leveraged by attackers to harvest victims’ credentials, sometimes without even the victims noticing they have been phished [1], [2]. The aim of this lab is to play the attack, to search for traces left by the attackers by analysing the logs and to see how this type of attack can be detected and mitigated. As an example, we will focus on an O365 phishing scenario, from the mail click to the endpoint detection.
First, what is a Man-in-the-middle phishing attack?
In traditional phishing, to lure the victims and make them fill in their credentials, attackers used to develop HTML templates looking…
Organizations around the world are facing multiple and growing cybersecurity challenges:
- an increase in both number and sophistication of fast-evolving cyber threats;
- an expanding attack surface;
- a cybersecurity talent shortage; and
- a shift to Cloud technologies.
When we started to imagine SEKOIA.IO, we wanted to solve these different global issues encountered by the cybersecurity industry. To achieve this new challenge, we had to reinvent threat detection and response.
Traditional SIEM and SOC are costly to build, run and maintain. They are inefficient in today’s hybrid IT environments: on-premises, multi-Cloud, SaaS, mobile, etc. Classic SIEM generates too many false positives. SOC…
La libra a été annoncée le 19 juin 2019 par Facebook. La Libra est à la fois le nom de la cryptomonnaie et le nom du protocole qui la fait fonctionner. Cette cryptomonnaie serait développée et gérée par la Libra Association, consortium basé en Suisse, initié par Facebook. Sa mise en circulation, originellement prévue pour juin 2020, semble compromise, d’autant plus une année d’élection présidentielle.
Afin d’intégrer cette association, les entreprises intéressées devaient investir 10 millions de dollars (environ 9 millions d’euros) rien de moins ! …
SEKOIA.IO, notre SaaS SIEM, est alimenté nativement par la Cyber Threat Intelligence de SEKOIA pour contextualiser, enrichir et décupler vos capacités de détection et de réponse face aux dernières cybermenaces.
Pour rendre actionnable la Cyber Threat Intelligence de SEKOIA.IO dans votre contexte de SOC / CSIRT / CERT, nous misons une nouvelle fois sur la communauté des outils sécurité open source avec le lancement d’un feed MISP et d’un analyseur CORTEX.
Un feed MISP pour augmenter vos capacités de détection des cybermenaces
Alors que les cybercriminels continuent de profiter de la panique autour de la crise sanitaire liée au COVID-19 pour piéger leurs victimes, plusieurs attaques d’origines étatiques ont également utilisé le cyberespionnage pour récolter des informations à forte valeur ajoutée en lien avec la recherche contre le coronavirus.
Les laboratoires de recherche contre le COVID-19 sont ainsi devenus des cibles privilégiés pour le groupe d’attaquant étatique APT29 présumé d’origine russe. Le 16 juillet 2020, les services de renseignement américains, britanniques et canadiens ont accusé APT29 d’être à l’origine d’une campagne de cyberattaques ciblant des organismes de santé impliqués dans la recherche d’un vaccin contre le coronavirus. Ce groupe, aussi connu sous le nom de Cozy Bear avait déjà été suspecté d’ingérence dans les élections américaines de 2016.
Depuis 13 ans, la société Verizon publie un rapport sur les fuites de données, le Data Breach Investigations Report ou DBIR, réputé pour sa rigueur scientifique et sa richesse statistique. L’édition 2020 a été publiée le 19 mai dernier. Elle s’appuie sur 157 000 incidents : 32 000 incidents ont été analysés car jugés significatifs dont 3 950 ont eu comme conséquence une fuite de données avérée.
Quels sont les principaux enseignements à tirer de la lecture du DBIR 2020 ?
L’appât du gain reste la principale motivation dans la très grande majorité des compromissions. 86% des incidents analysés relèvent de cette catégorie, soit 15% de plus qu’en 2018. Moins de 10% des incidents sont liés au cyber espionnage. La couverture médiatique accordée à ce dernier semble donc proportionnellement inverse aux nombres d’incidents étudiés. Verizon constate même une baisse du nombre d’incidents liés à cette activité par rapport à l’année 2018.
En ce qui concerne les acteurs, 55% des incidents sont le fait de groupes cybercriminels. …
SEKOIA Team
Pure player français de la cybersécurité depuis 2008 #ThreatIntelligence #CERT (réponse sur incident) #Pentest #RedTeam #Conseil #Formation #MSSP
