Après un mois et demi à peine cette année, le nombre de violations ou de compromissions de données par les pirates informatiques a atteint un niveau plus élevé que pendant tout le premier semestre de 2020. Des attaques de ransomware, fuites données, sabotages d'infrastructures publiques en Floride, tout ceci s'est déjà produit rien qu'en un mois. La semaine dernière, c'est une gigantesque base de données appelée COM qui a fait l'objet d'une en ligne, avec plus de 3 milliards d'identifiants et de mots de passe d'utilisateurs des plateformes LinkedIn, Netflix, Gmail, Hotmail, etc.Une fuite de données désignée comme étant la "mère de toutes les fuites"
Les données qui ont fait l'objet de fuite ont été partagées la semaine dernière sur des forums de piratage. Baptisée "COMB", ou la compilation de nombreuses fuites, par les experts, notamment CyberNews, la fuite de données n'est pas le résultat d'un nouveau piratage ou d'une nouvelle brèche dans les données. Au lieu de cela, elle présente des informations d'identification d'utilisateur extraites de nombreuses fuites précédentes, toutes rassemblées dans une base de données facile à utiliser. Au total, ses créateurs ont accumulé plus de 15,2 milliards de comptes piratés.
Selon un rapport, un site d'informations sur la cybersécurité et de recherches indépendantes, la fuite renferme plus de 2,5 milliards d'e-mails uniques. Les données compromises sont des informations d'identification volées lors de raids en ligne contre des sociétés comme Netflix et LinkedIn. Les identifiants des services de messagerie électronique très populaires Gmail et Hotmail, qui comptent à eux deux des milliards d'utilisateurs, font également partie de la fuite. Les pirates ont, par exemple, collecté les identifiants des 117 millions de comptes LinkedIn ayant fait l'objet de fuites en 2012.
CyberNews estime dans son rapport que COMB pourrait bien être la plus grande collection de données de connexion volées jamais partagée en ligne. En comparaison, COMB contient plus du double de la quantité de paires de courriels et de mots de passe uniques que la compilation de 2017 dans laquelle 1,4 milliard d'informations d'identification ont été mises en ligne. En outre, tout comme la compilation des violations de 2017, la base de données COMB qui a fait l'objet d'une fuite contient également un script nommé "count_total.sh".
Cependant, à la différence de la fuite de 2017, COMB inclut également les scripts "query.sh" pour l'interrogation des courriels et "sorter.sh" pour le tri des données qu'elle contient. À l'heure actuelle, l'on ne sait toujours pas quelles bases de données ayant fait l'objet de fuites ont été incluses dans COMB. Cependant, les exemples vus par CyberNews montrent que les courriels et les mots de passe contenus dans la fuite proviennent de domaines du monde entier. En effet, un grand nombre d'utilisateurs réutilisent leurs mots de passe et leurs noms d'utilisateur sur plusieurs comptes en ligne.
Ce qui signifie que l'impact de COMB sur les consommateurs et les entreprises pourrait être sans précédent, car ces données peuvent être utilisées pour lancer des bourrages de cartes d'identité et d'autres cyberattaques. Un autre problème est le fait que les cybercriminels peuvent utiliser les justificatifs d'identité des comptes de médias sociaux d'un utilisateur pour pivoter vers d'autres comptes plus importants tels que leur courrier électronique ou même leur stockage dans le cloud. Toutefois, aucun incident de ce genre n'a encore été signalé pour le moment.
Pour éviter d'être victime de futurs piratages de comptes réalisés à l'aide des données contenues dans COMB, CyberNews recommande aux utilisateurs de mettre en place une authentification multifacteur, mais aussi d'utiliser un gestionnaire de mots de passe pour protéger davantage leurs comptes en ligne. Il propose également un outil pour vérifier si vos identifiants de connexion ont fait l'objet d'une fuite.
Le pirate de Floride pourrait avoir tiré certaines données de COMB
Selon le rapport de CyberNews, le piratage des installations d'eau en Floride par un attaquant inconnu a eu lieu trois jours après la fuite de COMB. L'attaquant s'est introduit dans les systèmes informatiques de la ville d'Oldsmar et a tenté d'empoisonner l'approvisionnement en eau en augmentant 100 fois les niveaux de produits chimiques. Cela dit, l'attaque a été rapidement reconnue et les niveaux de soude ont été inversés. Les responsables gouvernementaux continuent d'enquêter sur la façon dont l'attaque s'est produite, bien qu'ils pensent que l'attaquant n'était pas commandité un État.
Au lieu de cela, l'attaquant semble avoir réussi à pénétrer dans les systèmes d'Olsdmar via le logiciel de l'usine qui permet aux superviseurs d'accéder au système à distance. Un avis du Massachusetts laisse entendre que l'attaquant d'Oldsmar est entré par un programme d'accès à distance appelé TeamViewer qui était installé sur tous les ordinateurs utilisés par le personnel de l'usine. Tous les ordinateurs étaient connectés au système de contrôle de l'usine et le personnel de l'usine partageait le même mot de passe.
Pour beaucoup, plusieurs systèmes gérant des installations grand public aux États-Unis sont facilement pénétrables. Par exemple, une enquête du média en juillet 2020 a mis en évidence la facilité avec laquelle un attaquant pourrait pénétrer dans des infrastructures américaines critiques via ces types de systèmes de contrôle industriel (ICS) non sécurisés. L'avis du Massachusetts indiquait en outre que les ordinateurs de l'installation de traitement des eaux d'Oldsmar semblaient avoir été "connectés directement à Internet sans qu'aucun type de protection par pare-feu soit installé".
Cependant, CyberNews estime qu'un ICS vulnérable n'est qu'un des nombreux vecteurs d'attaque qu'un acteur de la menace pourrait employer. Un autre vecteur serait une attaque par bourrage d'informations d'identification sur l'installation cible. Le média estime que la première partie du bourrage des identifiants serait l'espionnage et la reconnaissance, en examinant le système ICS, qui le contrôle, le domaine qu'ils utilisent pour les courriers électroniques, etc.
L'attaquant vérifierait ensuite diverses compilations pour détecter les fuites d'identifiants sur ces domaines pour des paires d'identifiants. La deuxième étape de la chaîne de destruction des cyberdomaines serait les "intrusions" proprement dites. CyberNews pense que la fuite de COMB est liée à l'attaque des systèmes d'eau d'Olsdmar. « Ces attaquants pourraient avoir obtenu les identifiants Oldsmar à partir de la fuite de COMB », a déclaré le média.
Sources : CyberNews
Et vous ?
Que pensez-vous de cette nouvelle fuite de données ? Pensez-vous que 2021 sera une année difficile sur le plan de la cybersécurité ? Avez-vous vérifié si vos identifiants de connexions font partie de la fuite de données ?Voir aussi
Des pirates informatiques ont saboté une installation de traitement d'eau en Floride en modifiant les niveaux de produits chimiques, après avoir accédé à l'installation via TeamViewer Les hackers de Cyberpunk et de Witcher affirment qu'ils vont vendre aux enchères le code source volé pour des millions de dollars. CD Projekt Red, l'éditeur de ces jeux, ne compte pas payer la rançon Le montant total payé par les victimes de ransomware a augmenté de 311 % en 2020 pour atteindre l'équivalent de près de 350 millions de dollars en cryptomonnaies selon Chainalysis Les administrateurs du rançongiciel Ziggy annoncent l'arrêt de ses opérations et publient des clés de déchiffrement à la suite des récentes opérations des forces de l'ordre contre Emotet et Netwalker 2021 sera l'année du "ransomware 2.0", avec des attaques de plus en plus agressives, une ingénierie sociale plus professionnelle et des malwares plus innovants, selon G DATA CyberDefense 
Envoyé par marsupial
