Journal des Cyberattaques – Février 2023 • Allistic

Cyberattaques

Ransomware

Le 3 février 2023, le CERT-FR (Computer Emergency Response Team) de l’ANSSI publiait un bulletin d’alerte concernant une vague de ransomwares ciblé utilisant une vulnérabilité dans les serveurs Vmware ESXi. Le ransomware nommé « ESXiArgs » tire partie d’une vulnérabilité d’exécution de code arbitraire à distance connue depuis 2021 (CVE-2021-21974) rendu possible par une vulnérabilité de dépassement de tas dans OpenSLP.

Le grand nombre d’ESXi exposés publiquement sur le net a permis au ransomware d’infecter un grand nombre de machines très rapidement demandant ainsi une réaction rapide de la part des organisations n’ayant pas leurs seveurs à jour. Le 5 février 2023, le CERT-FR publiait une procèdure de récupération pour les ESXi infecté et deux jours plus tard, le CISA (Cybersecurity & Infrastructure Security Agency) mettait à disposition publiquement un scrpit permettant d’automatiser la récupération des machines virtuels chiffrés.

Dans les deux jours qui suivent, les hackers ont adapté leur ransomware et relancent une vague d’attaque avec une nouvelle méthode de chiffrement rendant obsolète les recommandations et outils publiés par le CERT-FR et le CISA. Dernier rempart pour les organisations vulnérables, mettre à jour leurs ESXi dans les plus brefs délais à une version supérieure à la version 7.x. Aujourd’hui encore, cela représente près de 60 000 machines potentiellement vulnérables exposées publiquement.

Mairie de Lille

La mairie de Lille annonçait le mercredi 1er mars que les systèmes d’informations de la ville étaient victimes d’une cyberattaque d’origine inconnue, les mesures prises pour protéger les serveurs ayant notamment entraîné l’arrêt de son standard téléphonique.

La Ville de Lille a été alertée, dans la nuit du 28 février au 1er mars, d’une intrusion dans ses systèmes d’information ayant entraîné une réaction immédiate afin d’éviter toute propagation supplémentaire d’une part en coupant dans la nuit les systèmes actifs et d’autre part en empêchant dès le lendemain toute mise en service des systèmes encore éteints. A ce jour, l’intrusion est confirmée. Des investigations sont toujours en cours pour identifier précisément le périmètre touché.

Les services de la ville n’ont quant à eu pas été interrompu et les citoyens Lillois n’ont pas été directement impacté par l’intrusion mis à part l’obligation de paiement par espèce ou chèque bancaire dans les établissements appartenant à la ville (piscines, zoo etc) dû à l’absence de billetterie informatisé ainsi que l’indisponibilité des lignes téléphoniques et adresses électroniques de la ville.

cybersécurité

Data leak

Du côté des réseaux sociaux, cinq ans après leur dernière intrusion, le 5 février 2023, plusieurs employés du réseau social Reddit ont été ciblés par du spear phishing les redirigeant vers une fausse page de connexion à l’intranet de l’entreprise. Parmi les personnes ciblées, l’une d’entre elles tombe dans le piège et permet aux attaquants de voler plusieurs informations telles que des coordonnées d’employés, des détails sensibles sur les annonceurs de l’entreprise, mais aussi du code source de la plateforme.

Les articles qui pourraient également vous intéresser …