Journal des Cyberattaques – Novembre 2022 • Allistic

Ransomware

Après les attaques par rançongiciel menées par le groupe Hive en france contre les groupes Damart et Altis France en Août 2022, le groupe de hackers affirme ce mois de Décembre 2022 être l’auteur de la cyberattaque mené à l’encontre du très connu groupe d’entreprise de distribution d’articles de sport nommé Intersport le 23 novembre 2022 en plein Black Friday. Parmi les données volées, un échantillon de 12Mo a été diffusé comme preuve de leur implication dans l’attaque. Celui-ci comprenant bulletins de paie, photocopies de passeport, numéros de téléphone, adresses postales, listes de salariés et autres données personnelles.

Ce mois de novembre a également été l’oeuvre de deux attaques par rançongiciel à l’encontre de conseils départementaux Français:

Le week-end du 28 novembre 2022, le récent groupe de hacker Play Ransomware (actif depuis le mois de Juin) a mis en ligne 13 Gb de données volées au conseil départemental Alpes-Maritimes, celui-ci ayant refusé de payer les dix millions de dollars demandés dans les délais impartis. L’échantillon publié contient déjà un grand nombre de données personnelles principalement sur les agents départementaux mais aussi concernant des établissements scolaires du département.

Le 6 novembre 2022, le Département de Seine-Et-Marne a lui aussi été la cible d’une attaque de grande ampleur ayant mené à la coupure complète du réseau informatique du Département. Là encore, une rançon de 10 millions de dollars aurait été réclamée par les assaillants. En parallèle, une plainte a rapidement été déposée dès la découverte de l’attaque le lendemain (le 7 novembre) et la CNIL a été prévenue dans le même temps. Depuis, le Département travaille en collaboration avec une entreprise spécialisée et l’ANSSI afin d’analyser et limiter les conséquences de l’attaque dans les plus brefs délais.

Leaks

Le 16 novembre 2022, une fuite de données faisait grand bruit chez Whatsapp, la soi-disant gigantesque fuite de près de 500 millions de comptes provenant de la célèbre application de messagerie instantanée chiffrée de bout en bout s’est en fait trouvée être une copie d’une fuite ayant été diffusée 4 ans plus tôt en 2019.

Ce mois de novembre également, une énorme base de données de 5 millions de comptes Twitter volées avait été publiée. Une fois de plus, il s’agit d’une ancienne fuite remontant au mois de janvier 2022 qui continue d’être publiée mais qui ne comporte aucun risque pour les personnes ayant changé leur mot de passe depuis.

CVE

Microsoft a aussi fait parlé de lui ce mois de novembre avec leur Patch Tuesday mensuel.

Le Patch Tuesday est un événement programmé tous les deuxièmes mardis du mois par Microsoft dans lequel l’entreprise met en ligne à la disposition de ses clients les derniers patchs de sécurités pour ses logiciels.

Ce mois de Novembre, c’était pas moins de 65 nouvelles vulnérabilités dont 10 critiques pour lesquelles un patch a été publié. Parmi ces vulnérabilités on retrouve des dénis de service, des élévations de privilèges, des fuites de données, des contournements de solution de sécurité, du spoofing, des exécutions de commandes à distance ainsi que 2 CVE sur OpenSSL (CVE-2022-3602 et CVE-2022-3786 | OpenSSL X.509 Certificate Verification Buffer Overrun).

On décompte également parmi ces vulnérabilités 6 zero days dont les fameuses CVE-2022-41040 et CVE-2022-41082 (ProxyNotShell). ProxyNotShell est un ensemble de vulnérabilités qui peuvent être enchaînées pour prendre le contrôle des serveurs de messagerie Microsoft Exchange.

CVE-2022–41040 : La première est une vulnérabilité de falsification de requête côté serveur (SSRF). Cette vulnérabilité permet à un adversaire authentifié de déclencher à distance la deuxième vulnérabilité, CVE-2022–41082.

CVE-2022–41082 : cette vulnérabilité permet l’exécution de code à distance (RCE) lorsque PowerShell est accessible à l’attaquant.

Les articles qui pourraient également vous intéresser ...

EDR, NDR, XDR… Mieux comprendre les solutions de cybersécurité modernes.

Jean-Michel
7 février 2024
blog

EDR, le premier rempart contre les cyberattaques Les solutions EDR, pour Endpoint Detection & Response,…

Grandir et faire grandir - Interview d'Anthony

Jean-Michel
15 janvier 2024
blog

Ce mois ci, nous avons décidé d'interviewer Anthony. Anthony a rejoint Allistic en tant qu'alternant dans le cadre de son Mastère Expert Cybersécurité

Profitez des fêtes en toute sécurité : Maîtrisez les risques cyber pendant la période de Noël

Jean-Michel
18 décembre 2023
blog

La période de Noël apporte son lot de joie et de célébrations, mais elle s'accompagne…

Sécurité informatique des PME et ETI : L'externalisation, un allié stratégique

Jean-Michel
12 décembre 2023
blog

La cybersécurité demeure un enjeu crucial pour les PME et ETI, confrontées à des défis…

Allistic Obtient le Label Expert Cyber !

Nous sommes fiers et ravis d'annoncer une nouvelle réalisation qui témoigne de notre engagement constant envers l'excellence en matière de cybersécurité : Allistic a obtenu le prestigieux label Expert Cyber !

Allistic, Prestataire officiel du CSIRT Hauts-de-France

Nous sommes ravis d'annoncer une nouvelle passionnante qui marque une étape significative dans le parcours d'Allistic. Nous avons été sélectionnés en tant que prestataire officiel du CSIRT Hauts-de-France .

Cookie	Durée	Description
__hssrc	session	This cookie is set by Hubspot whenever it changes the session cookie. The __hssrc cookie set to 1 indicates that the user has restarted the browser, and if the cookie does not exist, it is assumed to be a new session.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
elementor	never	This cookie is used by the website's WordPress theme. It allows the website owner to implement or change the website's content in real-time.

Cookie	Durée	Description
__cf_bm	30 minutes	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
__hssc	30 minutes	HubSpot sets this cookie to keep track of sessions and to determine if HubSpot should increment the session number and timestamps in the __hstc cookie.

Cookie	Durée	Description
__hstc	5 months 27 days	This is the main cookie set by Hubspot, for tracking visitors. It contains the domain, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
hubspotutk	5 months 27 days	HubSpot sets this cookie to keep track of the visitors to the website. This cookie is passed to HubSpot on form submission and used when deduplicating contacts.

Cookie	Durée	Description
uuid	6 months	MediaMath sets this cookie to avoid the same ads from being shown repeatedly and for relevant advertising.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.