(HS) Vous et les CRYPTOMONNAIES et NFT

[Tenno]

Pour moi, ces soit disant innovations sont des trucs qu'on nous vend tout le temps en nous montrant le bon côté de la chose mais qui au final sont toujours utilisées à mauvais escient. Et ceux qui investissent dans le développement de ces "innovations" ne sont jamais dénués d'arrières pensées.
Un exemple : crois tu que le nucléaire a été développé dans le but de produire de l'électricité ? Et surtout, crois-tu qu'on aurait cherché à le développer et investit massivement si les applications militaires n'avaient pas existé ?
Pour cette raison, par principe, je rejette ces technologies non régulées car elles finissent toujours par aboutir à l'asservissement.
J'ai peut-être tort, mais en fait, aucun argument ne peut me faire changer d'avis, il y a trop d'exemples. Et je pense qu'il vaut mieux tirer un trait que de chercher à corriger ce qui au final finira toujours par être mal utilisé.
Et pour revenir aux cryptomonnaies, finalement, en admettant qu'on puisse les réguler, alors, elles ne présenteront plus aucun intérêt et disparaitront. Si elles restent et se développent c'est justement parce-qu'elles permettent les dérives.
C'est ce que je te disais plus haut, tu es optimiste, moi non.

[Flan]

Ha oui, là effectivement on ne sera pas trop réconciliables. Mais j'ai été content d'échanger avec toi, ça m'a ouvert l'esprit et ça me fait beaucoup réfléchir, j'ai appris beaucoup.

Dommage on va devoir se rabattre sur les bières (ou le côte de Bourg) et la moto

[Tenno]

Ha oui, là effectivement on ne sera pas trop réconciliables. Mais j'ai été content d'échanger avec toi, ça m'a ouvert l'esprit et ça me fait beaucoup réfléchir, j'ai appris beaucoup.

Dommage on va devoir se rabattre sur les bières (ou le côte de Bourg) et la moto

Je ne trouve pas ça dommage, je reste quelqu'un d'ouvert tant qu'on (le on ne te vise pas) ne cherche pas à me vendre des "nouvelles technologies".
Un dernier exemple. la téléphonie mobile, formidable.
Oui c'est vrai, mais aussi on se faire harceler en permanence par les marchands, on est quasi obligé de répondre dans la seconde au boulot etc...bref, on est devenus esclaves du téléphone.
Beaucoup le vivent bien, pour moi c'est encore un asservissement et si j'avais le choix, je préfèrerais me passer de téléphone mobile pour avoir la paix. Malheureusement, je n'ai pas le choix.
Et encore un exemple dans lequel on voit bien qu'on ne peut pas réguler. Même si tu ne veux pas être dérangé par les marchands, même si des lois ont été votées dans ce sens, dans les faits, rien ne change, les marchands continuent de te harceler.

[Tenno]

@Flan https://www.contrepoints.org/2022/01/14 ... -centrales

[yop1025]

J'ai honte, j'ai une carte annexe pour ne pas payer de frais à l’étranger (Revolut) et en préparant mon prochain voyage, en trifouillant dedans, j'ai vu hier qu'on avais accès au Crypto.
Du coup j'en ai pris pour 50 euros de bite coing, et 50 autres de riples

[aurels]

J'ai honte, j'ai une carte annexe pour ne pas payer de frais à l’étranger (Revolut) et en préparant mon prochain voyage, en trifouillant dedans, j'ai vu hier qu'on avais accès au Crypto.
Du coup j'en ai pris pour 50 euros de bite coing, et 50 autres de riples

J ai aussi revolut "gratuit" pour avoir une 2eme carte gratuite et interressante a l etranger.
Et meme une carte crypto.com, juste pour débuter dans la crypto en récupérant cashback sans investir plus que la somme bloqué pour avoir une carte.

A voir sur le long terme....

[Le Pat]

Ha oui, là effectivement on ne sera pas trop réconciliables. Mais j'ai été content d'échanger avec toi, ça m'a ouvert l'esprit et ça me fait beaucoup réfléchir, j'ai appris beaucoup.

Dommage on va devoir se rabattre sur les bières (ou le côte de Bourg) et la moto

Je ne trouve pas ça dommage, je reste quelqu'un d'ouvert tant qu'on (le on ne te vise pas) ne cherche pas à me vendre des "nouvelles technologies".
Un dernier exemple. la téléphonie mobile, formidable.
Oui c'est vrai, mais aussi on se faire harceler en permanence par les marchands, on est quasi obligé de répondre dans la seconde au boulot etc...bref, on est devenus esclaves du téléphone.
Beaucoup le vivent bien, pour moi c'est encore un asservissement et si j'avais le choix, je préfèrerais me passer de téléphone mobile pour avoir la paix. Malheureusement, je n'ai pas le choix.
Et encore un exemple dans lequel on voit bien qu'on ne peut pas réguler. Même si tu ne veux pas être dérangé par les marchands, même si des lois ont été votées dans ce sens, dans les faits, rien ne change, les marchands continuent de te harceler.

Hello

Oula mon Tenno, tu as besoin d'une bonne dose de bisounours, tu m'inquiètes
tu va me faire le plaisir de prévoir un week-end de moto en Ardèche rapidement

Le fond du problème, ce ne sont pas les inventions, ce sont les hommes, qui en dévoient l'utilisation.
Pas trop de solution que de choisir avec attention ceux qu'on fréquente.

Pour le harcèlement téléphonique, que ce soit sur mobile ou sur fixe, blocktel : https://www.bloctel.gouv.fr/
c'est très efficace et j'y suis inscrits depuis que ca existe, je vous promets que c'est vraiment efficace

Pour le harcèlement professionnel, enregistrer les noms et numéro te téléphone et connaitre ses engagements auprès de ceux qui nous appelle.
Si ca devient trop contraignant pour une personne, mettre en place une secrétaire, ou un call-center
La qualité de la relation s'en trouve amoindri, mais souvent ca n'est pas pire que de ne pas répondre

Pour ceux qui aime jouer avec les cryptos, et qui ne le savent pas encore, il n'existe pas de produit géré par un ordinateur qui ne soit pas piratable.
Comme dans le jeu du gendarmes et du voleur, le gendarme a toujours un train de retard, la sécurité de l'information ne fait pas exception à la règle.

Il ne se passe pas un mois sans qu'une de ces monnaies ne soient piratées, la dernier évènement en date, les voleurs sont partis avec plusieurs dizaine de millions d'euros.
et comme il y a beaucoup à prendre, les principaux acteurs de ces vols sont localisés comme par hasard dans les pays qui ont du mal avec les relations humaines (je vous laisse chercher, ca ne sera pas long)

donc il y a des centaines de personnes payés, par ces gouvernements, à chercher comment entrer dans ces algorithmes pour les cracker et partir avec la caisse.
tous ne sont pas des top-guns, mais il ne faut pas rêver, le nombre et le temps feront qu'ils y arriveront.

[Le Pat]

Je vais peut être dire une connerie, mais ça serait pas un bon moyen pour un artiste de monnayer une œuvre numérique à l'inverse ?
Le NFT est un moyen de tracer de façon hyper fiable et infalsifiable, le propriétaire d'une œuvre d'art (visuelle, un musicale, écrite, ...), comme un certificat de propriété, des droits d'auteur,... En étant totalement indépendant de tout notaire, société, pays, institution, société de stockage, etc.

les techniques mises en oeuvre pour les NFT ont déjà été piratées

[Tenno]

Bloctel, j'y suis inscrit aussi, vaste blague.
La techno a permis à des choses intéressantes d'exister comme ce forum par exemple.
Mais ce forum c'est préhistorique au niveau technologique, tu y vas si tu le veux, quand tu veux.
Aujourd'hui ce qui est développé depuis les réseaux sociaux n'a qu'un but, c'est de te capter, de t'aliéner pour te faire bouffer de la pub et te faire consommer. Et aussi de te tracer.
Quand on voit les dégâts créés par les algorythmes des réseaux sociaux sur les sociétés humaines, il y a de quoi s'interroger.
J'ai décidé une bonne fois pour toutes de rejeter tout ça en bloc.
Et la première chose que je ferai dans quelques années quand je prendrai ma retraite sera de jeter mon smartphone qui est un instrument d'aliénation totale. Si c'est encore possible à ce moment là, j'utiliserai un téléphone, dans le cas contraire, je n'utiliserai rien.

[Morbach]

Bloctel, j'y suis inscrit aussi, vaste blague.

Ca oui. Si tu t'es inscrit pour le fixe, il y a une solution: un poste qui bloque tous les appels ne figurant pas dans son répertoire.
Si un n° inconnu appelle le répondeur demande de taper une touche # (ou une combinaison) définie par toi pour te contacter ou laisser un message.
J'en ai un, plus aucun appel merdique depuis, alors que j'en avais jusqu'à 6 tous les jours sauf dimanche depuis ... looooongtemps.
Une paix royale mon vieux
Pour 60 €.

Et la première chose que je ferai dans quelques années quand je prendrai ma retraite sera de jeter mon smartphone qui est un instrument d'aliénation totale. Si c'est encore possible à ce moment là, j'utiliserai un téléphone, dans le cas contraire, je n'utiliserai rien.

Ben ça tu pourras pas, désolé de te le dire. Bien au contraire tu vas être obligé de t'en servir de plus en plus, c'est comme ça

[Tenno]

Et la première chose que je ferai dans quelques années quand je prendrai ma retraite sera de jeter mon smartphone qui est un instrument d'aliénation totale. Si c'est encore possible à ce moment là, j'utiliserai un téléphone, dans le cas contraire, je n'utiliserai rien.

Ben ça tu pourras pas, désolé de te le dire. Bien au contraire tu vas être obligé de t'en servir de plus en plus, c'est comme ça

Ça c'est hors de question.
Il existe plein de pays dans le monde qui sont moins "avancés" et si on doit en arriver là, je n'hésiterai pas à aller dépenser ma retraite chez eux.
En plus, je serai mieux soigné si je suis malade.

[Flan]

Je vais peut être dire une connerie, mais ça serait pas un bon moyen pour un artiste de monnayer une œuvre numérique à l'inverse ?
Le NFT est un moyen de tracer de façon hyper fiable et infalsifiable, le propriétaire d'une œuvre d'art (visuelle, un musicale, écrite, ...), comme un certificat de propriété, des droits d'auteur,... En étant totalement indépendant de tout notaire, société, pays, institution, société de stockage, etc.

les techniques mises en oeuvre pour les NFT ont déjà été piratées

Je veux bien une source Pat, ça m'intéresse.
La seule que je connaisse n'est pas de craquer la blockchain, mais plutôt un bête phishing (c'est ce qui marche encore le mieux). Du coup le maillon faible resterait le possesseur et pas le code.

[Le Pat]

les annonces sont discretes, il y a tellement de pognon en jeu
Oui, le phishing est la meilleur attaque quand on ne connait rien à la technique (enfin, pas trop)
https://www.protocol.com/fintech/bored-ape-hack-nft
https://www.zdnet.com/article/hackers-a ... n-malware/

mais il ne faut pas se leurrer, ce sont bien des ordinateurs, avec des failles de sécurité, qui régissent la sécurité de ce bordel
https://www.theverge.com/2021/10/13/227 ... allet-hack
https://cryptoast.fr/hacker-exploite-fa ... 0-dollars/
https://www.clubic.com/nft/actualite-40 ... e-nft.html
https://www.lebigdata.fr/nft-rarible-cible-hackers

si vous êtes un peu curieux et d'un optimisme à tout épreuve, abonnez-vous aux publication du CERT : https://www.cert.ssi.gouv.fr/
si vous ne comprenez rien à la technique, un peu de bon sens: https://www.01net.com/actualites/arnaqu ... 54847.html

si vous êtes bon en technique et que vous voulez vous faire de l'argent de poche , et un whitehat (bon hacker) il y a des concours (bugbounty) une peu partout sur la toile https://docs.nft-gods.com/security/bug-bounty
Si vous êtes un très bon et que vous n'avez pas peur, il y a la même chose sur le dark net, et ca rapporte bien plus (bon, je ne mets pas de lien hein, en cherchant 5 minutes j'ai trouvé 5 liens, donc 3 contenants des véroles pour niquer ceux qui se croient les plus malins )

[Flan]

Coucou.
Merci Pat.
Du coup ça confirme que ce n'est pas la technologie blockchain qui a été craquée (d'ailleurs c'est impossible ou quasiment) mais "juste" des usurpations de nom de domaine, du phishing qui exploitent la baisse de vigilance des propriétaires, ou des failles dans les sites de gestion.

Un peu les mêmes problématiques qui sont à la base des escroqueries sur les sites bancaires etc.

[Tenno]

Coucou.
Merci Pat.
Du coup ça confirme que ce n'est pas la technologie blockchain qui a été craquée (d'ailleurs c'est impossible ou quasiment) mais "juste" des usurpations de nom de domaine, du phishing qui exploitent la baisse de vigilance des propriétaires, ou des failles dans les sites de gestion.

Un peu les mêmes problématiques qui sont à la base des escroqueries sur les sites bancaires etc.

Les banques assurent ton argent, si elles sont crackées c'est leur problème, toi tu récupères tes billes. Au pire elles sont soutenues par les banques centrales, bref par les Etats et même par les organisations supra étatiques comme l'Union Européenne par exemple.
Le reste n'offre aucune garantie, aucun soutien, c'est le far west.
Pour les NFT, la technologie blockchain, même en admettant qu'il soit impossible de la cracker, ce que je ne crois pas une seule seconde, ne sert à rien si les machines qui la régissent sont pleines de failles de sécurité. Regarde le nombre de failles décrites dans les liens que Pat a fourni.
On apprend aussi qu'au final les NFT, c'est juste un joli nom pour un lien vers une zone de stockage et que 40% de ces liens ne pointent plus vers rien au bout de quelques temps.

[Flan]

Les banques assurent ton argent, si elles sont crackées c'est leur problème, toi tu récupères tes billes. Au pire elles sont soutenues par les banques centrales, bref par les Etats et même par les organisations supra étatiques comme l'Union Européenne par exemple.
Le reste n'offre aucune garantie, aucun soutien, c'est le far west.

Sur les articles, il est dit que certaines plateformes ont remboursé les clients qui se sont fait arnaquer.
Mais bon ce sont des plateforme de vente, comme Mamazone & co, si le client donne ses identifiants sans trop faire gaffe, suis pas sur qu'ils te remboursent non plus ceux là.
Après c'est sur que c'est pas comparable avec une banque ou une assurance puisque tu paies cet intermédiaire pour tout ça, encore heureux que ça couvre certains déboires, mais même elles peuvent les gens qui donnent leurs codes sans sourciller, ou se font voler sans avoir pris de précautions.
Je voulais surtout comparer avec le principe de l'arnaque assez classique qui consiste à se faire copier ses codes bancaires, mais j'en reparle en dessous.

Pour les NFT, la technologie blockchain, même en admettant qu'il soit impossible de la cracker, ce que je ne crois pas une seule seconde, ne sert à rien si les machines qui la régissent sont pleines de failles de sécurité. Regarde le nombre de failles décrites dans les liens que Pat a fourni.

Ce ne sont pas des machines qui régissent la blockchain dont il est question, puisque celles ci sont en réseau peer to peer, le code crypté est distribué en de multiples endroits et est vérifié par de multiples machines, il est aussi mis à jour sur plusieurs machines en cas de transaction, et cette redondance permet de garantir l'absence de fraude: Si par exemple une machine est ciblée par des pirates, ou qu'un code est modifié ou se voit inséré anormalement, le reste du réseau permet de le détecter. Le nombre de ces machines en réseau est tellement grand que la puissance de calcul qu'il faudrait pour craquer un seul code est hors de portée.

Quant aux failles dont on parle dans les liens, elles concernent autre chose: Des plateformes de vente et d'échange, un peu comme des marketplaces Amazon, Leboncoin, etc. La fraude se fait par scamming, phishing et du typosquattage, autrement dit, les pirates mettent en place un site qui copie presque à l'identique la plateforme et son URL, et ils envoient par exemple un message ou un cadeau aux usagers avec un lien qui pointe vers leur site frauduleux, où ils peuvent récupérer des données, des identifiants, des codes si les utilisateurs s'y laissent berner.
Rien de nouveau, on voit ça depuis que le Net existe et ce n'est pas propre aux NFT. Juste que le succès de ceux ci attirent les arnaqueurs en ce moment.

On apprend aussi qu'au final les NFT, c'est juste un joli nom pour un lien vers une zone de stockage et que 40% de ces liens ne pointent plus vers rien au bout de quelques temps.

Non non, le NFT n'est pas un lien.
C'est un cryptage dont seul un utilisateur détient le code et qui certifie qu'il est le propriétaire d'une œuvre, le NFT code l'information "L'artiste X a vendu l'œuvre Y à monsieur Z"
Le lien vers cette œuvre n'est pas crypté, tout le monde peut l'avoir, pas seulement le propriétaire et même copier et posséder le fichier chez soi, si le NFT représente une œuvre ou un objet numérique.

Voilà, je ne dis pas qu'il n'y a pas de problème, je voulais juste apporter ma vision sur ces liens intéressants.
C'est aussi clair que les NFT doivent être interopérables, et surtout être reconnus au delà du consensus social actuel pour encore gagner en efficacité.

Le principe de la blockchain ne s'arrête pas à ces deux exemples (monnaies fongibles ou actifs non fongibles), comme le dit not' bon gouvernement: https://www.economie.gouv.fr/entreprise ... pplication et il existe des projets où la confidentialité, la traçabilité, la rapidité et la sécurité sont nécessaire, comme par exemple le lien que j'avais posté sur Kinect et la mise en lien de donneurs et de demandeurs d'organes, plus généralement dans le domaine de la santé. C'est un exemple.

[dgero]

Un petit sondage avant de faire exploser ma TRANSALP.
Etes-vous acheteur de NFT de pièces calcinées ??
Merci de vous lister avant la Mise à Feu

Bon Dgero est influençable, il s'est laissé entrainé par un copain

huracan.JPG (20.34 Kio) Vu 566 fois

huracan 1.JPG (61.13 Kio) Vu 566 fois

huracan 2.JPG (105.86 Kio) Vu 566 fois

[Tenno]

Ce ne sont pas des machines qui régissent la blockchain dont il est question, puisque celles ci sont en réseau peer to peer, le code crypté est distribué en de multiples endroits et est vérifié par de multiples machines, il est aussi mis à jour sur plusieurs machines en cas de transaction, et cette redondance permet de garantir l'absence de fraude: Si par exemple une machine est ciblée par des pirates, ou qu'un code est modifié ou se voit inséré anormalement, le reste du réseau permet de le détecter. Le nombre de ces machines en réseau est tellement grand que la puissance de calcul qu'il faudrait pour craquer un seul code est hors de portée.

Dès l'instant où il existe une entrée, la technologie peut être crackée.
D'autant plus quand les machines sont en réseau et c'est justement sur ce postulat que repose la blockchain.
On peut très bien imaginer que le réseau soit retourné contre lui même et que la puissance de calcul de ses propres machines soit utilisée pour le cracker.
Un truc très simple (façon de parler), tu infectes tout le réseau, et une fois infecté, tu attaques le code.
La seule manière de se protéger et de diminuer les risques c'est justement exactement le contraire, à savoir, laisser la machine seule sans aucune porte d'entrée.
C'est ce qui est pratiqué par exemple avec les machines qui conduisent les réacteurs nucléaires.


Pour les NFT, oui, tu as raison, le lien n'est pas le NFT. Mais enfin si tu as la clé de la maison dont tu es propriétaire et que tu ne sais pas où elle se situe, ça devient un peu compliqué il me semble. Surtout si d'autres savent la repérer avec ou sans la clé.

[Le Pat]

hello

je confirme ce que dit tenno en tous points
croire le contraire c'est jouer l'autruche
je ne veux pas en parler sur la toile ou au tel, mais autour d'un truc bizarre à la Grok, c'est jouable
Si vous voulez jouer avec ces trucs, faites comme à la bourse : n'investissez que l'argent que vous êtes capable de perdre instantanément sans sourciller

[fagus.be]

Pensez à investir en roubles, dans 6 mois il sera bien remonté ....

rouble.JPG (17.17 Kio) Vu 531 fois

[Flan]

hello

je confirme ce que dit tenno en tous points
croire le contraire c'est jouer l'autruche
je ne veux pas en parler sur la toile ou au tel, mais autour d'un truc bizarre à la Grok, c'est jouable
Si vous voulez jouer avec ces trucs, faites comme à la bourse : n'investissez que l'argent que vous êtes capable de perdre instantanément sans sourciller

Ce ne sont pas des machines qui régissent la blockchain dont il est question, puisque celles ci sont en réseau peer to peer, le code crypté est distribué en de multiples endroits et est vérifié par de multiples machines, il est aussi mis à jour sur plusieurs machines en cas de transaction, et cette redondance permet de garantir l'absence de fraude: Si par exemple une machine est ciblée par des pirates, ou qu'un code est modifié ou se voit inséré anormalement, le reste du réseau permet de le détecter. Le nombre de ces machines en réseau est tellement grand que la puissance de calcul qu'il faudrait pour craquer un seul code est hors de portée.

Dès l'instant où il existe une entrée, la technologie peut être crackée.
D'autant plus quand les machines sont en réseau et c'est justement sur ce postulat que repose la blockchain.
On peut très bien imaginer que le réseau soit retourné contre lui même et que la puissance de calcul de ses propres machines soit utilisée pour le cracker.
Un truc très simple (façon de parler), tu infectes tout le réseau, et une fois infecté, tu attaques le code.
La seule manière de se protéger et de diminuer les risques c'est justement exactement le contraire, à savoir, laisser la machine seule sans aucune porte d'entrée.
C'est ce qui est pratiqué par exemple avec les machines qui conduisent les réacteurs nucléaires.

Non, ce n'est pas possible à ma connaissance, dans le sens où si tu "infectes" une machine, tout le réseau pourrait être infecté. Ca ne fonctionne pas comme ça, il n'y a pas d'exécutable qui risquerait de se propager dans le système comme un virus ou autre.
Chaque machine est en réseau peer to peer, et indépendamment des autres, elle valide ou non que le code de la block chain est correct. Et si la majorité des machines valide la modification de la blockchain (une transaction par exemple), cette dernière devient admise par le réseau, ... Mais si un petit malin modifie la blockchain sur une machine, ou un nombre trop faible de machines, cette chaine ne sera pas validée car très minoritaire. Ce processus est répété autant de fois que de modifications à intégrer, ou de vérifications à faire (il y a plusieurs techniques, certaines plus gourmandes en énergies que d'autres, mais passons).
Chaque machine connectée au réseau constitue ainsi un "nœud" qui participe à la vérification et sa puissance de calcul sert donc à valider des blockchains, plus il y a de nœuds, plus le réseau est populaire, plus il est sécurisé, tous les membres de ce réseau sont des "mineurs", ils contribuent donc à sa sécurisation, mais au passage ils ne le font pas nécessairement par altruisme, car ils sont récompensés, ooops, ... rémunérés par une fraction des actifs sur le réseau. D'où leur accumulation de processeurs pour augmenter leur part de rémunérations.

Le système est tellement chiadé, qu'une technique pour le pirater, c'est de ... devenir le réseau soi même: Un "mineur" qui aurait suffisamment de puissance de calcul (au moins 51% du réseau global) à sa disposition pourrait devenir la référence majoritaire du réseau et en principe prendre son contrôle. Et c'est déjà arrivé!
Le "mineur" qui accède à cette puissance crée une chaîne alternative, ce qu'on appelle un "fork" (une fourche), et comme elle est majoritaire, elle devient en théorie plus fiable que celle d'origine, et devient la référence. Le pirate peut par exemple exécuter des paiements avec l'ancienne chaine, dont on ne trouvera pas trace dans la "fork" pirate.
Mais bon, ça c'est la théorie, car pour une blockchain d'un système assez répandu, donc avec une masse suffisante de nœuds, la puissance de calcul pour prendre le contrôle de 51% du réseau représente une somme de l'ordre du quart de million d' € par heure! , ce qui d'office rend le ratio discrétion/coût/rapport d'un piratage, proche de peanuts.
Mais sinon le ratio baisse pour des systèmes de blockchains plus petits (donc moins populaires), et/ou la dévaluation d'une monnaie numérique par exemple, ce qui pousse certains mineurs du réseau à éteindre leurs machines à l'occasion, donc à diminuer la puissance de vérification du réseau.

Encore une fois, je ne dis pas qu'il n'y a pas de problème, mais selon moi, je pense comme Alambic, que le plus gros problème des NFT n'est pas lié à la blockchain mais tient surtout au scamming (usurpation d'identité, ou revente d'œuvres qui n'appartiennent pas au vendeur).

[Le Pat]

Le système est tellement chiadé, qu'une technique pour le pirater, c'est de ... devenir le réseau soi même: Un "mineur" qui aurait suffisamment de puissance de calcul (au moins 51% du réseau global) à sa disposition pourrait devenir la référence majoritaire du réseau et en principe prendre son contrôle.

vrai pour faire parti du réseau, c'est le plus facile
et pour devenir la référence majoritaire, il faut calculer plus vite ou .... faire taire ceux qui sont plus rapide .... ou se faire passer pour .... tellement facile, d'ailleurs c'est une des grandes craintes de ce bordel, celui qui arrivera à attaquer les DNS sera le maitre du monde

[Tenno]

sera le maitre du monde

virtuel
c'est à dire rien.
J'espère connaitre le temps où on va débrancher tout ça.
Vu l'énergie gaspillée le plus tôt sera le mieux.

[Le Pat]

Mouai
Pas si virtuel que ca
Je suis pas trop pressé de voir le merdier que ca va generer, les histoires actuelles sont des contes pour enfants en comparaison

[Le Pat]

bon, pour ma part, je vais clore ce sujet en vous partageant les alertes que j'ai reçu ce matin
c'est un jour normal pour ceux qui se poseraient la question

News - 01/03/2022
Bonjour,

Voici la liste des dernières news ajoutées sur le portail du CERT Orange Cyberdefense :

TrickBot Malware Gang Upgrades its AnchorDNS Backdoor to AnchorMail
01/03/2022
Even as the TrickBot infrastructure closed shop, the operators of the malware are continuing to refine and retool their arsenal to carry out attacks that culminated in the deployment of Conti ransomware.
L'article complet sur thehackernews

Microsoft Accounts Targeted by Russian-Themed Credential Harvesting
01/03/2022
Malicious emails warning Microsoft users of “unusual sign-on activity” from Russia are looking to capitalizing on the Ukrainian crisis.
L'article complet sur threatpost

Toyota shutters 14 plants after probable cyberattack
01/03/2022
Incident struck supplier day after officials warned of massive spike in efforts to launch Emotet malware
L'article complet sur theregister

Daxin Espionage Backdoor Ups the Ante on Chinese Malware
01/03/2022
Via node-hopping, the espionage tool can reach computers that aren’t even connected to the internet.
L'article complet sur threatpost

Ukraine Hit with Novel ‘FoxBlade’ Trojan Hours Before Invasion
01/03/2022
Microsoft detected cyberattacks launched against Ukraine hours before Russia’s tanks and missiles began to pummel the country last week.
L'article complet sur threatpost

This JavaScript scanner hunts down malware in libraries
01/03/2022
Stick a fork in this Socket and zap malicious NPM packages
L'article complet sur theregister

Insurance Aon confirms it has suffered 'cyber incident'
01/03/2022
Oh the irony! Insurance companies, even those selling cyber insurance, are attack targets
L'article complet sur theregister

IsaacWiper and HermeticWizard: New wiper and worm targeting Ukraine
01/03/2022
ESET researchers uncover a new wiper that attacks Ukrainian organizations and a worm component that spreads HermeticWiper in local networks
L'article complet sur welivesecurity

Vulnérabilités
Mozilla Firefox TianfuCup 2020 Use-After-Free Vulnerability Fixed by 82.0.3 and ESR 78.4.1
RDoc Command Injection Vulnerability Fixed by 6.3.1
Apple iOS and Safari TianfuCup 2021 Kunlun Lab Remote Code Execution Vulnerabilities
Microsoft Roaming Security Rights Management RCE Vulnerability Fixed by February 2022 Patch Day
Cyrus SASL SQL Injection Vulnerability Fixed by 2.1.28
Ruby Multiple Vulnerabilities Fixed by 2.6.8, 2.7.4 and 3.0.2
Golang Go "zip.NewReader" Memory Exhaustion Vulnerability Fixed by 1.16.8 and 1.17.1
Ruby Gem "Date.parse" ReDoS Vulnerability Fixed by 3.2.1, 3.1.2, 3.0.2 and 2.0.1
Ruby CGI Gem Multiple Vulnerabilities Fixed by 0.3.1, 0.2,1, and 0.1,1
Microsoft Runtime Remote Code Execution Vulnerability Fixed by February 2022 Patch Day
Linux Kernel eBPF Out-of-Bounds Write Vulnerability
Vim "unix_expandpath()" Use of Out-of-range Pointer Offset Vulnerability Fixed by 8.2.4418
Linux Kernel "nft_fwd_dup_netdev_offload()" Heap Out-of-Bounds Write Vulnerability
Synology DSM Arbitrary Commands Execution Vulnerability Fixed by 6.2.4-25556-5
Blunder Dependencies Resolution Confusion Vulnerability
Vim "find_ucmd()" NULL Pointer Dereference Vulnerability Fixed by 8.2.4428



ID : 584848 - Niveau de menace : 4/5
Un lien pour afficher ce rapport sur le portail Threat Defense Center est fourni à la fin du message.

Mise à jour - ESET découvre un nouveau malware, les organisations russes sous attaque active
1. Analyse
Mis à jour le : 2022-03-02 09:45:21
________________________________________
Rappel:
Le 23 février, la Russie a lancé une guerre à grande échelle contre l’Ukraine, et nous suivons ici les dernières évolutions géopolitiques de ce conflit .
Vous trouverez ci-dessous les informations spécifiques relatives aux cyberincidents identifiés dans cette guerre hybride.

Mise à jour 11, 02/03/2022 - ESET découvre un nouveau malware, les organisations russes sous attaque active
Suite à la publication du 27 février par un utilisateur de Twitter appelé #Contileaks, un nouveau lot de fichiers contenant tout le code source de Conti, ainsi qu’une grande quantité de données, y compris des logiciels malveillants, des informations sur les victimes, leur modus operandi... Nos experts analysent actuellement les différents documents, mais la quantité d’informations nécessite plusieurs jours de travail.
En outre, les chercheurs d’ESET ont publié un rapport dans lequel ils fournissent plus d’informations sur le fonctionnement d’HermeticWiper . Ils y annoncent qu’ils ont découvert un nouvel essuie-glace qui attaque les organisations ukrainiennes et un composant de ver qui se propage dans les réseaux locaux.
L’exemple de ver, baptisé HermeticWizard, est un fichier DLL développé en C++ qui permet aux attaquants de déployer le logiciel malveillant HermeticWiper sur les réseaux locaux qui ont été compromis. Pour ce faire, il essaie de trouver d’autres machines sur le réseau local en utilisant différentes fonctions Windows telles que NetServerEnum, GetTcpTable, GetIpNetTabl, etc. Lorsque cela est fait, il essaie de se connecter aux adresses IP collectées pour déployer les différents outils nécessaires à l’exécution du logiciel malveillant HermeticWiper. Cependant, il utilise simplement les protocoles SMB et VMI pour le déployer, il ne s’agit donc pas d’un malware très complexe, contrairement aux vers tels que EternelBlue ou EternelRomance.
Le deuxième malware identifié comme IsaacWiper est un essuie-glace qui a été déployé le 24 février lors d’une deuxième attaque destructrice contre un réseau gouvernemental ukrainien. Il s’agit d’un logiciel malveillant qui réside dans une DLL Windows ou EXE sans signature Authenticode. Selon les chercheurs, il n’a aucune similitude de code avec HermeticWiper et est beaucoup moins sophistiqué que ce dernier. IsaacWiper vise à effacer le contenu des appareils Windows. Il est important de noter que lorsqu’il efface les disques durs du périphérique compromis, il supprime récursivement les fichiers dans un seul thread, de sorte que le temps d’effacement d’un disque volumineux est augmenté.
À ce stade, rien n’indique que ces logiciels malveillants ont été utilisés contre un autre pays que l’Ukraine. Cependant, il existe toujours un risque que les acteurs de la menace décident de l’utiliser davantage contre les pays qui soutiennent le gouvernement ukrainien ou sanctionnent les entités russes.
En outre, le bureau d’enregistrement de domaines, Namecheap, a annoncé qu’il cesserait de fournir des services aux clients enregistrés en Russie. La société a ajouté que tous les domaines concernés seraient automatiquement configurés pour afficher les erreurs HTTP 403 interdites.
D’autres cyberattaques d’hacktivistes contre la Russie en représailles à la guerre contre l’Ukraine sont signalées, mais il est difficile de confirmer l’exactitude de ces affirmations. Par exemple, un groupe affilié à Anonymous a revendiqué une attaque réussie contre le centre de contrôle de l’Agence spatiale russe « Roscosmos ». Ils affirment que la Russie a perdu le contrôle de ses satellites à la suite de cette attaque. Une autre cyberattaque majeure a été revendiquée par AgainstTheWest visant la principale institution financière russe appartenant à l’État, Sberbank. Les pirates disent qu’ils vont bientôt divulguer des données d’infrastructure DNS, des clés privées pour SSL, sberbank API, CLI et SDK.
Mis à jour le : 2022-02-28 11:15:07
________________________________________
Rappel:
Le 23 février, la Russie a lancé une guerre à grande échelle contre l’Ukraine, et nous suivons ici les dernières évolutions géopolitiques de ce conflit .
Vous trouverez ci-dessous les informations spécifiques relatives aux cyberincidents identifiés dans cette guerre hybride.

Mise à jour 10, 28/02/2022: L’hacktivisme augmente, les chats Conti ont fuité

Le 27 février, un membre de l' Conti ransomware Le groupe, soupçonné d’être d’origine ukrainienne, a divulgué de nombreuses discussions internes de gangs à la suite du message pro-russe agressif publié par un représentant du groupe sur leur site officiel.
Les données divulguées contiennent 339 fichiers JSON, chacun consistant en un journal d’une journée complète. Des conversations du 29 janvier 2021 au 27 février 2022 ont donc été divulguées car ce membre de Conti a probablement participé et / ou piraté le serveur interne Jabber / XMPP du gang. Ce contenu, déjà indexé dans une base de données publique et traduit en anglais, est donc aujourd’hui analysé par de nombreux analystes de Threat Intel (en plus des organismes d’application de la loi). Le LockBitransomware a adopté une position différente et plus prudente, annonçant dans un message apolitique qu’il ne choisirait pas un camp entre l’Ukraine et la Russie, et que pour eux, tout ce qui compte, c’est les affaires (c’est-à-dire gagner de l’argent).
Les opérations de cyber-hacktivisme continuent d’augmenter et la dernière à ce jour a été menée par le groupe biélorusse "Cyber Partisans" contre le réseau ferroviaire du pays, afin de perturber les mouvements de troupes russes en Ukraine. Ces pirates ont peut-être effectivement endommagé un système de contrôle ferroviaire, forçant les trains à s’arrêter à Minsk, Orsha et Osipovichi.
Une autre cyberattaque a visé un poste de contrôle frontalier ukrainien alors que des milliers de personnes tentent de fuir le pays à cause de la guerre. Cette attaque a été causée par un essuie-glace, bien qu’on ignore encore si c’est HermeticWiper qui a récemment ciblé plusieurs entités ukrainiennes (voir notre mise à jour n°6&7 ci-dessous).
De plus, ProofPoint a déclaré avoir identifié un ukr présumé compromis. compte net envoyant un document Excel malveillant sur le thème de l’évacuation à un gouvernement européen. Ce document malveillant est envoyé par e-mail de phishing au personnel militaire ukrainien. ProofPoint a ajouté que le document malveillant communique avec 84.32.188[.] 141 mais aucun autre détail n’a été fourni pour le moment. Tous les IOC pertinents ont été ajoutés à notre référentiel Datalake CTI, proposés en tant que service autonome (appelé Managed Threat Intelligence) et utilisés par nos équipes de détection des menaces gérées.
Différents groupes ont en effet choisi un camp dans ce conflit et se battent actuellement dans le cyberespace, une liste de ces acteurs a par exemple été partagée ici par un compte anonyme baptisé CyberKnow. Celui-ci partageait auparavant des affirmations non vérifiées (et très probablement fausses) telles que celle concernant l’origine de Log4shell. Mais leur liste de groupes participants semble crédible, car la plupart d’entre eux ont mentionné publiquement être impliqués.
De plus en plus d’attaques DDoS continuent de se produire, car des milliers de personnes, par exemple, ont déjà rejoint « l’armée informatique de l’Ukraine » que nous avons mentionnée hier, et des guides faciles à utiliser sont partagés en ligne sur la façon de participer. La Bourse de Moscou, sous forte pression en raison des sanctions qui affectent déjà sévèrement la monnaie du pays, qui a retardé son heure d’ouverture ce matin, semble par exemple en baisse pour le moment.
Mis à jour le : 2022-02-27 12:11:26
________________________________________
Rappel:
Le 23 février, la Russie a lancé une guerre à grande échelle contre l’Ukraine, et nous suivons ici les dernières évolutions géopolitiques de ce conflit .
Vous trouverez ci-dessous les informations spécifiques relatives aux cyberincidents identifiés dans cette guerre hybride.

Mise à jour 9, 27/02/2022: L’hacktivisme augmente, l’Ukraine lance une armée informatique pour combattre la Russie sur Internet

L’hacktivisme ne cesse de croître avec de plus en plus d’attaques DDoS, de dégradations ou de fuites de données.
Certaines fuites d’informations militaires des deux côtés ont par exemple été annoncées par des hacktivistes, dont 200Go d’un entrepreneur de défense biélorusse.
Mais la principale préoccupation est venue hier du Conti opération de ransomware , qui a annoncé se ranger du côté de la Russie et a menacé d’attaquer les infrastructures critiques si la Russie était la cible d’une cyberattaque. Plus tard, ils ont adouci leur message et l’ont transformé en un plaidoyer contre les États-Unis et aussi contre la guerre. Sur Twitter, un chercheur en sécurité a réagi en divulguant les adresses Tor de l’infrastructure back-end Conti, avant de supprimer rapidement son message.
Ces informations peuvent également être liées au fait que les autorités ukrainiennes ont lancé ces dernières années de nombreuses opérations contre les groupes de ransomware (et les cybercriminels en général). Mais les gangs RaaS basés en Russie pourraient en effet profiter d’un « âge d’or » de la cybercriminalité encore plus « maintenant, car les autorités russes pourraient les laisser agir librement en réponse aux sanctions occidentales. Même si la Russie a probablement adopté une position plus dure contre les ransomwares au cours des dernières semaines en arrêtant des membres de som REvil.
Les autorités ukrainiennes ont en effet décidé de créer un « Armée informatique », pour « se battre sur le cyberespace » avec des cibles telles que des banques, des entreprises et des organisations publiques russes. Comme l’explique Kevin Beaumont, le gouvernement ukrainien a salué les actions du collectif de hackers Anonymous, qui pourraient bien être un moment charnière, car pour la première fois un gouvernement démocratique soutient publiquement un tel groupe hacktiviste. Sur Internet, les « cyberpatriotes » pourraient intensifier la lutte contre la Russie, qui en retour pourrait tenter d’obtenir de l’aide d’organisations cybercriminelles telles que Conti. Ce scénario n’est pas encore une réalité, et il est difficile de deviner à l’heure actuelle quels impacts pourraient être ressentis dans le monde entier s’il se produisait.
Un autre acteur inattendu s’est également précipité pour aider le peuple ukrainien, Elon Musk. En effet, il a annoncé que les satellites Starlink de SpaceX avaient été activés en Ukraine, avec plus de terminaux en route, à la suite d’une demande du vice-Premier ministre ukrainien Mykhailo Fedorov. SpaceX de Musk a des milliers de satellites Starlink en orbite, ce qui permet à la société de diffuser des services à large bande autour de la Terre, sans avoir besoin de câbles à fibre optique. Les satellites pourraient maintenir leur présence en ligne si son infrastructure Internet est endommagée par les attaques de la Russie.
De l’autre côté, la Russie a annoncé une restriction partielle de l’accès à Facebook en raison de l’interdiction par la plate-forme américaine de la capacité des médias soutenus par le Kremlin à envoyer des publicités. Le site Web de la chaîne de télévision publique Russia Today - ou RT - était inaccessible pendant des heures ces derniers jours. Les médias ont déclaré avoir été victimes d’une cyberattaque DDoS lancée par Anonymous. Les attaques contre des organisations russes ont augmenté au cours du week-end alors que Les chaînes de télévision russes ont été piratées pour diffuser des messages et des chansons pro-ukrainiens. L’hacktivisme a même affecté des ressources inattendues telles que la dégradation de la plate-forme de suivi des navires , l’emplacement et le nom des yachts russes étant modifiés.
Netlab360 a fourni quelques informations supplémentaires sur les botnets à l’origine des différentes attaques (contre l’Ukraine et la Russie) qui se sont produites ces derniers jours.

Le niveau de cybermenace reste néanmoins inchangé et est toujours évalué à un niveau de 4 sur 5. L’équipe de World Watch surveille la situation dans le monde cybernétique et géopolitique et mettra à jour cette alerte une fois que de nouvelles informations seront disponibles.

Mis à jour le : 2022-02-25 13:25:28
________________________________________

Mise à jour 8, 25/02/2022: Plus d’hacktivisme attendu alors que les cyber-conflits s’intensifient

Le 24 février, les réactions ont augmenté dans la communauté du piratage. Une attaque DDoS tentant de perturber les sites Web Kremlin.ru et Mil.ru, a été identifiée par des systèmes capturant un trafic malveillant d’amplification. Les autorités russes ont réagi et l’ont « géolocalisé » pour n’autoriser que les adresses IP russes à s’y connecter. Les attaquants n’ont toujours pas été confirmés, mais ils ont probablement impliqué des hacktivistes de l’ancien collectif « Anonymous » . En effet, ils ont annoncé sur Twitter le lancement de campagnes pour lutter contre le gouvernement russe et ont revendiqué le mérite des attaques DDoS, y compris contre les FAI russes et les grandes banques locales.
Le célèbre administrateur du forum clandestin des cybercriminels RaidForums a également annoncé qu’il interdirait les comptes se connectant depuis la Russie. En outre, les autorités ukrainiennes ont demandé aux pirates locaux de les aider à protéger les infrastructures critiques et à mener des missions de cyberespionnage.
Cela signifie que le conflit continuera très probablement à s’intensifier dans le cybermonde, avec plus de fuites de données, de dégradations et d’attaques DDoS en particulier.
L’Europe a accepté de fournir des forces de cyberdéfense à l’Ukraine conformément au cadre de la CSP . Le secrétaire d’État polonais à la cybersécurité a annoncé que les cyberattaques ont augmenté contre leurs systèmes gouvernementaux, tout comme le PDG de PGE, le principal service public d’électricité de ce pays. Et le CERT d’Ukraine a partagé sur Facebook une attaque de phishing en cours ciblant les comptes de messagerie .ua, probablement de l’acteur biélorusse unC1151.
Nous avons ajouté les IOC basés sur l’hôte et le réseau fournis dans cette campagne de phishing à notre référentiel Datalake. Les noms d’hôte ont déjà été bloqués par CloudFlare maintenant. En outre, GreyNoise, un fournisseur de sécurité américain avec de nombreux capteurs dans le monde, a commencé à partager la liste des adresses IP qu’ils identifient comme ciblant spécifiquement l’Ukraine. Nous avons implémenté leur flux dans notre plateforme Datalake CTI sous l’ID source : « greynoise_ukraine ».
Enfin, un peu plus d’informations sont disponibles concernant l’attaque de cheval de Troie en préparation dont nous avons discuté hier. Surnommé OutSteel par les autorités ukrainiennes (ou LocrecDocStealer par NSFOCUS), il fait partie d’une campagne plus vaste affectant l’Ukraine depuis des mois. Les attaquants (c’est-à-dire nommés TA471, Lorec53 ou UAC-0056 par le CERT ukrainien) ont ciblé sans relâche au moins 50 adresses e-mail appartenant au gouvernement ukrainien, à l’armée ou à des organisations publiques. Les TTP impliquent l’envoi d’e-mails de phishing intégrés avec des pièces jointes malveillantes avec des documents leurres écrits en ukrainien. Il exploite principalement les fichiers LNK ou CPL, et les domaines se terminant par « .site » pour héberger les charges utiles ou C2. L’objectif final des charges utiles est de voler des documents, il est donc axé sur l’espionnage.

Nous restons déterminés à aider tous nos clients et continuerons à partager toute évolution du niveau de cybermenace par le biais de cet avis. Mais pour l’instant, le paysage des cyber-risques n’a pas changé pour la plupart des organisations non ukrainiennes / russes selon nous.
Mis à jour le : 2022-02-24 17:21:16
________________________________________
Rappel:
Hier soir, la Russie a lancé une guerre à grande échelle contre l’Ukraine, et nous suivons ici les dernières évolutions géopolitiques concernant ce conflit .
Vous trouverez ci-dessous les informations spécifiques relatives aux cyberattaques identifiées dans cette guerre hybride.

Mise à jour 7, 24/02/2022: Analyse de HermeticWiper et d’autres logiciels malveillants utilisés contre l’Ukraine
Suite à l’analyse initiale d’ESET et de SentinelLabs de la deuxième attaque d’essuie-glace en cours en Ukraine depuis hier, Symantec a également publié un rapport sur cette souche de malware appelée HermeticWiper. Ce dernier vise à effacer le contenu des appareils Windows, après avoir supprimé les instantanés et manipulé le MBR après le redémarrage.
Selon les chercheurs, les attaquants ont obtenu un accès réseau à une victime ukrainienne le 23 décembre 2021, via une activité malveillante de PME contre un serveur Microsoft Exchange. Cela a permis aux attaquants de voler des informations d’identification, puis d’installer un shell Web le 16 janvier, avant que l’essuie-glace ne soit finalement déployé le 23 février.
L’essuie-glace, signé par un certificat de signature numérique légitime -probablement volé-, utilise des ressources légitimes pour exécuter les composants les plus dommageables des attaques. Par exemple, il utilise un pilote de gestion de partition identifié comme « empntdrv.sys » à partir de l’application EaseUS Partition Manager , pour accéder directement aux disques physiques, ainsi que pour obtenir des informations sur les partitions. En utilisant cet accès, le malware corrompt entièrement les disques durs. Il est important de noter que le malware intègre différentes versions du pilote légitime (x86, x64, x86 pour WinXP et x64 pour WinXP), lui permettant de fonctionner sur la plupart des versions de Windows.
Enfin, l’essuie-glace ne semble pas avoir de fonctionnalité supplémentaire au-delà de ses capacités destructrices. Selon Symantec, la campagne liée à HermeticWiper déploie également une souche de ransomware contre les organisations touchées. Les noms de fichiers utilisés par le ransomware incluaient client.exe, cdir.exe, cname.exe, connh.exe ou intpub.exe. Il semble probable que ce ransomware ait été utilisé comme un leurre ou une distraction de l’attaque d’essuie-glace.
Symantec a observé cet essuie-glace dans une organisation en Lituanie au-dessus de l’Ukraine, après l’avoir piraté depuis novembre dernier en utilisant comme vecteur initial une vulnérabilité Tomcat. Une autre rumeur a mentionné qu’il a également été vu en Lettonie, sans beaucoup d’autres preuves pour le confirmer jusqu’à présent. L’attaquant s’est beaucoup appuyé sur des tâches planifiées et des scripts PowerShell, et a téléchargé une charge utile malveillante à partir d’un site Web ukrainien compromis hébergé sur confluence. novus[.] ua.

Une attaque sans rapport découverte par Bellingcat dont nous avons brièvement discuté ci-dessous comprend un cheval de Troie à utiliser contre les citoyens ukrainiens montrant leur soutien à leurs institutions. Ce cheval de Troie a contacté et essayé de télécharger une deuxième étape malveillante probable à partir de « stun[.] site/pet1.exe », puis écrivez-le dans C:\Users\Public\svchosts.exe, et enfin exécutez-le. Malheureusement, ce site est actuellement inaccessible, donc la charge utile finale nous reste inconnue. Certains chercheurs appellent l’acteur de la menace derrière cette campagne TA471.
Dans d’autres nouvelles, les agences de cybersécurité britanniques et américaines ont publié un avis de sécurité conjoint sur un autre nouveau logiciel malveillant, baptisé Cyclops Blink, qu’elles ont officiellement attribué au groupe SandWorm APT soutenu par la Russie. Ce malware est actif depuis au moins juin 2019 et, entre autres, permet la création d’un botnet. À ce jour, les acteurs malveillants derrière ce malware ont ciblé WatchGuard Firebox et d’autres périphériques réseau Small Office/Home Office (SOHO). Cependant, il est probable que ce malware puisse également être compilé sur d’autres architectures et micrologiciels.
Il n’y a aucune preuve jusqu’à présent que ce malware et le botnet associé soient utilisés dans les cyber-opérations actuelles contre l’Ukraine aujourd’hui, mais c’est encore une autre arme dans l’arsenal des autorités russes.

Nous vous conseillons de suivre nos recommandations issues du conseil géopolitique lié à ce conflit, qui fait écho aux recommandations de la CISA et des autres agences de cybersécurité des pays occidentaux.

Mis à jour le : 2022-02-24 08:53:12
________________________________________

Update 6, 24/02/2022 , 10h CET

Une nouvelle attaque DDoS a touché hier plusieurs sites Web liés au gouvernement ukrainien. Cette nouvelle campagne de perturbation a eu un impact positif sur le ministère local des Affaires étrangères, le ministère de la Défense ou les sites Web du Parlement. Les réseaux de Privatbank et d’Oschadbank, également ciblés il y a une semaine lors de la précédente attaque similaire, ont de nouveau eu du mal à servir certains de leurs clients. L’attaque a commencé vers 14h GMT et a fait écho à celles de la semaine dernière.
En effet, le 20 février, Cado Security a publié une analyse technique de l’attaque DDoS à petite échelle. qui a ciblé des sites ukrainiens il y a quelques jours. Selon ces chercheurs, le botnet derrière cette attaque était composé d’appareils vulnérables basés sur Linux (tels que des routeurs ou IoT) utilisant un logiciel malveillant connu depuis un certain temps sous le nom de Katana, une variante accessible au public de Mirai avec des capacités DDoS améliorées. L’attaque a été combinée à un détournement de BGP plus rare, tentant de perturber le routage du trafic, en particulier vers le système autonome de PrivatBank.
Ces attaques ont été attribuées au GRU, le service de renseignement russe, à la fois par les autorités américaines, britanniques ou australiennes par exemple, en plus des autorités ukrainiennes précédentes. Bellingcat, un groupe bien connu d’enquêteurs en ligne qui a partagé quelques détails sur les vidéos falsifiées utilisées comme propagande ici, a fourni des preuves liées aux attaques. Mais ils ont également identifié une autre attaque en préparation. Celui-ci impliquait de faux sites Web imitant ceux officiels du gouvernement ukrainien, mais incorporant une charge utile malveillante déguisée en PDF qui serait déposée sur l’ordinateur de ceux qui l’ouvraient. Nous n’avons pas analysé en détail ce trojanyet, et les sites Web falsifiés ont été supprimés par le fournisseur d’hébergement. Cette attaque spécifique pourrait néanmoins être relancée à partir d’un autre emplacement d’hébergement facilement.
En outre, ESET a identifié une nouvelle campagne d’essuie-glaces distribuée à des centaines d’ordinateurs en Ukraine depuis 15h GMT hier. Cette souche de malware s’appelle maintenant HermeticWiper et a été inversée par Sentinel Labs. Ils ont confirmé que le malware est bien codé à des fins de sabotage, et ESET a mentionné qu’il avait été abandonné dans un cas sur des machines jointes dans un Active Directory via GPO, ce qui signifie que les pirates avaient précédemment eu accès à un compte d’administration dans ce réseau.
Les IoC de ces deux campagnes de logiciels malveillants ont été ajoutés à notre référentiel Datalake CTI et peuvent être consultés dans les annexes. Compte tenu de ces nouvelles évolutions, nous avons relevé le niveau de menace à 4 sur 5, même si aucune propagation de ce malware n’est attendue pour l’instant.
Mis à jour le : 2022-02-16 09:54:27
________________________________________
Update 5, 16/02/2022 - DDoS attack hits Ukrainian government and two major banks
On February 15, several Ukrainian websites including those of the defense ministry, the publicly-funded state radio and the two biggest national banks (Privatbank and Oschadbank), have been hit by a Distributed Denial of Service (DDoS) attack. Privatbank and Oschadbank were down for two hours, starting around 3pm local time, leaving the banks' mobile applications and any online payment inaccessible. Privatbank alone claims to serve nearly 20 million Ukrainian customers. Ukraine’s public radio also suffered an attack, but it didn’t bring its services down, announced its general producer. A few hours later, all targeted websites were once again accessible.
According to the Ukrainian Cyber Police, this attack was part of a bigger disinformation campaign targeting the Ukrainian people, as some of them received unsolicited SMS signaling that ATMs in the country were also offline, which was not true. It is quite clear that this attack didn't aim at causing heavy damages to the impacted systems, but rather to create panic among the local population. DDoS attacks are relatively cheap and easy to carry out. While they can be disruptive, they do not necessarily require sophistication from the attackers.
The attack came amid growing concerns about a possible Russian military invasion of Ukraine. For now, as the investigation is still ongoing, Ukrainian authorities have not formally attributed this cyberattack to any particular country. Indeed, DDoS attacks can be difficult to trace to their source, as hackers can spoof the source addresses of the packets sent to make it seem those are coming from a country they are not located in. They also usually leverage networks of compromised machines, i.e. botnets, that can be located in multiple countries.

For now, the conflict does not impact organizations except Ukrainian ones, but as some private organizations start being targeted, and more disinformation campaigns keep happening, we increased the threat level of this advisory to 3 out of 5.

Updated on : 2022-02-15 09:24:13
________________________________________
Update 4, 15/02/2022 - Tension between Russia and Ukraine at its peak, disinformation florishing
While rumors about an imminent Russian military invasion of Ukraine keep being announced by Western authorities for this week, including US and French ones, Ukrainian intelligence forces says the country is targeted by "massive wave of hybrid warfare".
According to the Security Service of Ukraine (SSU), this campaign aims at systemically sowing panic, by spreading fake information and distorting the real state of affairs. The SSU said it conducted several operations to counter these malicious activities. One of them happened last week as the intelligence service said it dismantled two bot farms linked to Russian intelligence services and controlling 18,000 social network accounts. These botnets were used to distribute fake news to further spread panic and send fake bomb threats to disrupt normal operations across the country.

Consequences of a full-fledge war between the two foes could have a big impact in the whole world. The European Central Bank has for instance asked banks to increase their cyberdefenses amid the growing tensions between Ukraine and Russia. A similar warning was issued earlier by CISA to urge US organizations to strengthen their security stance because of potential Russian cyberattacks. According to the US cybersecurity agency, the Russian government may consider "escalating its destabilizing actions" to impact entities outside of Ukraine. CISA recommended in particular to those working with Ukrainian organizations to monitor, inspect, and isolate traffic from those organizations.

There is currently a huge difference between the official communication of the US and the UK governments, which foresee an imminent invasion, and on the contrary, statements from Ukraine and Russia dismissing probability any conflict would happen in the coming days. Yet the US government is temporarily moving its embassy in Ukraine from Kyiv to Lviv (in the West of the country), due to the "dramatic acceleration in the buildup of Russian forces". On the other side, Russian-backed news agency Interfax reported on February 15 that some of the military units recently positionned near the Ukrainian border are returning to their bases in the Western and Southern military districts.

It is thus obvious that an informational warfare is ongoing in this crisis, so every statement released by the involved parties should be taken with a grain of salt.

We did not change our threat level (i.e. our "severity") rating for this advisory so far, as no new cyber incidents impacting our customers were yet reported.
Updated on : 2022-02-07 09:57:58
________________________________________
Update 3, 07/02/2022 - Cyberespionage against Ukraine by Gamaredon group
On February 4th, Microsoft Threat Intelligence Center (MSTIC) and the Microsoft Digital Security Unit (DSU) said that Gamaredon's cyberespionage campaign is being coordinated out of Crimea, by officers of the Crimean FSB who sided with Russian authorities since the 2014 occupation. This threat actor they now name "ACTINIUM" (and previously DEV-0157) has targeted Ukrainian government including judiciary, law enforcement and military, as well as local non-government organizations (NGO). Its primary intent remains acquiring and maintaining access into victim organizations in order to exfiltrate sensitive information.
Gamaredon, also called Armageddon, Primitive Bear or Shuckworm (as mentioned below), is not linked as of now to last month's attacks that targeted multiple Ukraine entities with destructive data-wiping malware disguised as ransomware. A list of IOCs tied to this threat actor was disclosed by Microsoft, including for its Pterodo (also called Pteranodon below) and QuietSieve malware strains.

Palo Alto Networks' Unit42 also issued a report regarding this group's recent activity and said it has detected three "large clusters" of Gamaredon infrastructure that are used to support phishing and malware delivery. The IOCs are associated to downloaders, file stealers and a custom remote access tool called "Pteranodon," which has been exclusively attributed to Gamaredon for years.
An attempt on January 19 to compromise a Western government entity in Ukraine via a spear-phishing attack dropping a malware downloader was mentioned by the security company. In this particular attack, rather than emailing the downloader directly to their target, the actors applied to an open job posting within the targeted entity, embedding a malware-laced resume in their application, Unit42 said.

Updated on : 2022-02-01 11:42:50
________________________________________
Update 2, 01/02/2022 - Cyberespionage against Ukraine by Gamaredon group
On January 31, 2022, researchers from Symantec's Threat Hunter team published a report in which it states that the Russian-linked Shuckworm group (aka Gamaredon, Armageddon), deploys custom malware in cyber-espionage operations against Ukrainian entities.
According to researchers, the first ones started in July with the dissemination of spear phishing emails containing Word documents with macros. These attacks continue with seven different payloads. These different malicious files are self-extracting 7-zip binaries that minimize user interaction requirements.
Furthermore, since 2014, the Shuckworm group has been responsible for more than 5,000 attacks against more than 1,500 Ukrainian government systems according to the November 2018 SSU report.
Finally, we recall that the Shuckworm group is reportedly directly operated by the FSB, so this new report might once again increase tensions between Ukraine and Russia.
The indicators of compromise (IOC) present in the Symantec report are available on our OCD Datalake platform.
Updated on : 2022-01-27 10:25:16
________________________________________

Update 1, 27/01/2022 - Destructive malware targeting Ukrainian organizations detected by Microsoft
On January 26, the Ukrainian government qualified the latest data-wiping attack as a false-flag operation. Indeed, they have found evidence that the WhisperGate malware contained more than 80% of code that was similar to a ransomware strain named WhiteBlackCrypt. This malware was part of a campaign which has targeted several Russian companies in the past. Ukrainian authorities believe that the use of this particular malware strain was meant to conduct a "false-flag" operation in order to distract investigators from the real culprits behind the attack (formally attributed to the Russian government).
The same day, CERT Ukraine has released a report about the recent cyberattacks the country suffered and explained that the most likely vector was a supply-chain attack, but the exploitation of vulnerabilities against OctoberCMS or Log4j were not ruled out. A few days after the attacks, a likely supply-chain compromise involving the product from local company KitSoft, used to manage the targeted websites, was already mentioned.
Moreover, several cybersecurity blogs including Stairwell and Talon SW2 have detailed the 3rd stage of the wiper code. This "Stage 3" is relatively more complex than the two previous ones and once loaded by the stage 2, it will overwrite files on a system with specific extensions. Elastic reversed it too, and even split the stages 2 and 3 in three parts, thus count on their end 4 stages in total:
• Stage 1: MBR payload
• Stage 2 (or 2+3 at Elastic): Discord downloader / injector
• Stage 3 (or 4 at Elastic): File corruptor
Even if no new cyberattacks were recorded recently, tensions between Ukraine and Russia remain very high. Considering the attempt to misdirect attribution in order to probably reinforce a propaganda narrative, we increased the threat level of this alert to 2 out of 5.
Initial alert on : 2022-01-17 10:05:46
1.1 Executive summary - Destructive malware targeting Ukrainian organizations detected by Microsoft
On January 15th, Microsoft announced in a blogpost that it has detected a data-wiping malware disguised as a ransomware being used in attacks against multiple organizations in Ukraine. These attacks combine a destructive "MBRLocker" (a kind of disruptive tool as described in this previous case) with a data-corrupting malware used to destroy the victim's data intentionally. The MBR is the part of a hard drive that tells the computer how to load its operating system.

This new malware family is called "WhisperGate" by Microsoft and was initially detected on January 13th. The threat actor behind this malicious campaign is not previously known and now tracked by the Redmond giant as DEV-0586.

1.2 What you will hear
A new threat actor targets Ukraine with a data-wiping malware called WhisperGate.

1.3 What it means
According to Microsoft, the WhisperGate malware family has two main components:
• stage1.exe, launched from the C:\PerfLogs, C:\ProgramData, C:\, or C:\temp folders, that overwrites the Master Boot Record (MBR) to display a ransom note
• stage2.exe, is executed simultaneously to download a data-destroying malware named "Tbopbh.jpg" hosted on Discord, that overwrites targeted files with static data.
Despite the presence of a ransom note, Microsoft researchers said that the malware is not attempting to deploy a ransomware payload. This behavior is fake and an easy-to-spot smokescreen. Indeed, the MBRLocker's ransom note uses the same bitcoin address for all victims and does not provide a method to input a decryption key. Thus, the goal of these attacks is to render targeted devices inoperable and not to obtain a ransom. For now victims include multiple government, non-profit, and information technology organizations, but all based in Ukraine. Microsoft believes it is highly likely that there are more victims.
Microsoft said that no vulnerability impacting its products was used to launch these attacks, and it for now remains unknown publicly how this malware was deployed initially.

This report released by Microsoft comes amid several cyberattacks targeting Ukraine these last days. At least fifteen websites of Ukrainian public institutions and government agencies were hacked, defaced or taken offline through DDoS attacks last week. The Ukrainian government believes a threat actor linked to the Belarusian intelligence service is behind this massive campaign which used a malware similar to that used by a group tied to Russian intelligence.
Security researchers believe hackers have exploited a vulnerability in a CMS editor called OctoberCMS, which was patched by the vendor back in March 2021. We can assume that Ukrainian affected agencies didn't keep their systems updated and ended up being vulnerable t external attackers.

Relations between Russia and Ukraine are very tense amid concerns over an imminent invasion of Ukrainian territory by Russian forces. Cyberattacks are considered as a mean to further escalate these tensions and create panic in the population.

We have attributed a risk-level of 1 as the threat actor targets victims only in Ukraine. However this threat actor seems sophisticated and the cybersecurity community has begun to track it seriously. Some researchers have already written detection rules (i.e. Yara) to hunt for WhisperGate.

1.4 What you should do
No action required.

2. Appendices :
Updated on : 2022-02-25 15:41:45
________________________________________
Update 10, 24/02/2022

2.1 External links
https://cyberknow.medium.com/2022-russi ... 08ef31c533

2.2 OCD links
Datalake: https://datalake.cert.orangecyberdefens ... edff9cbaa6

2.3. IOCs
We will now start publishing publicly IOCs related to attacks against Ukraine here.

2.4. Other

2.5 mainCategory
mainCategory=Update
Updated on : 2022-02-24 09:07:15
________________________________________
Update 6 and 7, 24/02/2022

2.1 External links
https://www.sentinelone.com/labs/hermet ... er-attack/
https://symantec-enterprise-blogs.secur ... are-russia
https://www.bellingcat.com/news/2022/02 ... u-hackers/
https://www.ncsc.gov.uk/files/Cyclops-B ... Report.pdf
https://www.facebook.com/UACERT/posts/p ... yr7mTxE3El


2.2 OCD links
Datalake: https://datalake.cert.orangecyberdefens ... edff9cbaa6

2.3. IOCs
n/a

2.5 mainCategory
mainCategory=Update
Updated on : 2022-02-01 11:42:45
________________________________________
Update 2, 01/02/2022
2.1 External links
https://ssu.gov.ua/en/novyny/sbu-vstano ... ny-ukrainy
https://symantec-enterprise-blogs.secur ... ge-ukraine

2.2 IOCs
OCD Datalake CTI platform include IOCs provided by Symantec researchers that you may find here: https://datalake.cert.orangecyberdefens ... edff9cbaa6
Initial alert on : 2022-01-17 10:05:46
2.1 External links
Microsoft:
https://www.microsoft.com/security/blog ... nizations/
https://blogs.microsoft.com/on-the-issu ... overnment/

2.2 IOCs
IOCs provided by Microsoft have been added to our Datalake platform that you may find here:https://datalake.cert.orangecyberdefens ... edff9cbaa6

You may access to this World Watch report on the Threat Defense Center Extranet portal by following the below link :
https://portal.cert.orangecyberdefense. ... tch/584848.


Updated - Conti leaks give unprecedented insight to the ransomware gang
1. Analysis
Updated on : 2022-03-02 10:02:18
________________________________________
Update 5, 02/03/2022 - Conti leaks give unprecedented insight to the ransomware gang
The day following the Russian invasion, Conti posted a message informing that it was siding with the Russian government, before softening their message. But a presumed Conti member with Ukrainian origin began leaking data from the Conti ransomware group starting February 27, in retaliation for the war started by Russian authorities (and Conti's stance). This leak contains the entire internal discussions of the ransomware gang, through JSON files with conversations for each full day between January 29, 2021 and February 27, 2022 (339 files).
These conversations include:
• Messages from Conti with the TrickBot and Emotet malware gangs, in which they provide information to rent infected computers to deploy their malware
• Messages confirming that the TrickBot botnet would be shutting down this month
• Messages containing ransom negotiations and payments with victims
• Bitcoin addresses where the Conti gang received payments
• Messages showing pentest attempts with security companies
• Messages about buying security products to identify how to bypass them
• Messages showing that they were selecting targets based on cyber insurance policies.
On February 28, new leaks were published still on Twitter containing all of Conti's source code, as well as a large amount of data including malware, information about victims, their modus operandi...
Our experts are currently analyzing the various archives, but the amount of information to be analyzed is massive.
Among the information already investigated, we find:
• Multiple victim's credentials including as well email addresses and phone numbers
• Internal tools and data associated with their use and infrastructure (IP, C2 server, URL...)
• Bitcon adresses of the group
• Informations on how the NSA took control of the Trickbot botnet in 2020
• Leaks revealed publicly the affiliation between Conti and Ryuk
The indicators of compromise that we found in these information leaks can be found in our CTI Datalake platform.
Moreover, it seems that Conti's activities have not stopped despite the different leaks previously seen. For example, the malicious actors behind Conti have announced new victims such as Caldwell Marine International, LLC and Lifetech Resources.
Finally, we believe that while Conti's activities continue, its reputation and infrastructure are hit significantly after the leaks were published, so it is highly likely that Conti will change its name and stop the operation identified as "Conti".
Updated on : 2022-02-21 15:05:33
________________________________________
Update 4, 21/02/2022 - Conti takes over TrickBot crew members
According to a report published on February 18, 2022 by AdvIntel researchers, the famous ransomware group Conti has progressively taken over the TrickBot malware develoment. From one of the major clients of the gang supporting TrickBot, Conti progressively may have become their sole customer. Furthermore, it seems that Conti's objective may be to bring together the highly skilled malware developers in one structure, which gives them some leverage to monopolize the ransomware market. They may want to prevent other leakages from happening as it dit last August), by improving confidence between the partners working together.
The researchers also state that the TrickBot operation itself , that enabled to compromise hundreds of thousands of devices over the years, is coming to an end. Indeed, since its main members may have moved to work for Conti, the malware has received few updates and the latest associated IOCs haven't change lately, thus are easily detectable now. All recent TrickBot samples, available on our OCD Datalake platform or on the malware analysis sandbox "Triage", belong indeed to old campaigns of the malware, prior to end of December, when we last see TrickBot being active.
According to some reverse engineering reports published in January, these latest versions of Trickbot included nevertheless new features such as anti-debugging scripts in the JS code, web injection modules or anti-debugging techniques. So much effort was made to develop this state-of-the-art malware that it wouldn't be surprising that improvements keep being made later if needed, or that the source code is sold to other hacking crews for a big amount of money. Some TrickBot crew members may have already started working on Diavol ransomware, as mentioned by the FBI.
Thus it is important to note that AdvIntel's information is only rumors so far, and should be taken with a grain of salt. For example, on February 11, 2022, a tweet announced that the Trickbot gang had lost its key members in the last 24 hours due to Russian government actions, but no evidence was provided to confirm this yet. It's more probable that they just focus their efforts on another project, for instance on the now prominent loader called BazarLoader (or BazarBackdoor).
If the claims regarding the closer relationship between Conti and TrickBot are confirmed, then there could be some consequences in the malicious actors' ecosystem.

Updated on : 2021-11-29 10:31:09
________________________________________
Update 3, 29/11/2021 - New module in the Trickbot toolset to detect UEFI/BIOS software vulnerabilities
A security researcher shared on Twitter details of an anti-analysis feature that spam campaigns dropping Trickbot have recently included. This new code terminates the infection chain if the malicious attachment is opened on a device using non-standard screen resolutions (often seen in Virtual Machines). But what is new here is that this verification has been added to the HTML attachment of the malspam. In this early check, the attachment will only download the malicious ZIP archive if on a physical system, but redirects to ABC's website (abc.com) if run in a virtual environment. Such conditional redirection has already been seen before in phishing attacks.
Also, smuggling HTML code (for example JavaScript responsible for downloading the ZIP payload) in Trickbot-related spam campaigns was also described by Microsoft earlier this month.

According to a report released by Cybereason, a threat actor tracked as Shatak (TA551) recently partnered with Trickbot gang to deploy Conti ransomware on targeted systems. Both groups have been working together since July 2021. A typical infection chain starts with a spam sent by Shatak, carrying a password-protected archive containing scripts that execute base64 encoded code to download and install the Trickbot malware from a remote site. Next is deployed a Cobalt Strike beacon on the compromised system, that is added to the scheduled tasks for persistence. The Conti gang then "finishes the job" by spreading laterally, exfiltrating data and encrypting files on disk.

Any change in Trickbot's TTPs is closely monitored, since the gang is very active recently, attracting media attention since mid-November, when Trickbot was observed delivering a new malicious Emotet payload thus rebuilding a massive botnet of Emotet-infected machines, whereas it used to be the opposite a year ago.

The US Department of Justice indicted on October 28th a Russian individual for being a member of the Trickbot gang. Vladimir Dunaev, 38, was extradited from the Republic of Korea where he was stucked since more than a year due to the pandemic. According to the court documents, this is yet another low-level developer of the cybercrime group.


Updated on : 2021-09-06 10:47:07
________________________________________
Update 2, 06/09/2021 - Second developer arrested in South Korea, but TrickBot alive and kicking
A second developer for the TrickBot gang was arrested last week in South Korea. The Russian male spent 1,5 year stuck in the Asian country because of the COVID-19 pandemic, then because its passport expired. The cybercriminal was sought by the US justice since multiple months, and probably was about to leave the country (and/or not providing anymore information to Law Enforcement). He will be most probably extradited in a few months (or years) to come, once he exhausted all the possible appeals he started against this arrestation.
But the TrickBot group remains active and not disrupted since the beginning of September. Almost everyday, new campaigns are delivered (still mostly through spamruns) and include updated "gtag" and "mccconf" configurations. Those contain new command and control servers which are pushed by the group to the bots.
We'll keep tracking their activity closely.

Updated on : 2021-07-13 11:48:45
________________________________________
Update 1, 13/07/2021 - Multiple recent news about TrickBot
Since the beginning of the year, many articles have been published about Trickbot's comeback. The takedown of the C2 infrastructure done last October by a consortium led by Microsoft didn't stop the group. According to some sources, it may be once again, the current top threat for organisations. In February 2021, the U.S. Department of Justice arrested a woman who allegedly helped develop it. Unfortunately it was presumably a low-profile member of the group, thus it did not stop them from pushing new modules and features since then.
For example in April 2021 according to Walmart, a new Cobalt Strike loader was discovered dropped by this malware. Cobalt Strike's usage keeps growing, by many different threat actors and red team pentesters. On April 6th, 2021, Intel 471 detailed a malicious document generator, known in the underground as "EtterSilent", and used in Trickbot's phishing campaigns. EtterSilent was detected in two different versions, one that exploits a known vulnerability in Microsoft Office (CVE-2017-8570) and another one that uses a malicious Excel 4.0 macro stored in a hidden sheet (similarly as in this recent case here). The malicious documents often infringe DocuSign, a popular legitimate software that allows you to electronically sign documents.
Furthermore, according to Bitdefender, the threat actor behind the Trickbot malware uses since May a new module called "tvncDll". This module is an updated version of the "vncDll" module that exists since 2018. This module uses a custom communication protocol on port:443, but without actually encrypting traffic. It allows monitoring and intelligence gathering on victims computers, using up to 9 command and control (C2) servers defined in its configuration file. Bitdefender assumes that all C2 servers are proxying data (directly or through a few layers) to the server in a VNC viewer, a client used by the cybercriminals to reproduce the victim's browser and interact unnoticed with it.
Moreover, our reverse engineering experts have also been able to study in June another evolution of Trickbot. The group removed the "sinj"/"dinj" webinject mechanism and now uses a single new configuration (called "winj"). It contains more than 150 URLs from almost only American banks, but can change anytime. This development effort to go back stealing online banking credentials was described by Kryptos Logic recently.
Trickbot seems to be again interested in banking fraud, after more than one year focusing mostly on providing initial accesses to ransomware threat actors.

Initial alert on : 2021-01-25 09:35:01
1.1 Executive summary - Trickbot now able to inspect the UEFI firmware
On the 3rd of December, a research team from AdvIntel and Eclypsium announced they discovered that the trojan Trickbot had once again evolved and is now able to inspect the UEFI/BIOS (Windows Unified Extensible Firmware Interface) firmware of targeted systems. This new functionality dubbed “TrickBoot,” is a major improvement of the malware and it allows Trickbot to establish more persistent footholds on infected systems, up to a point to survive OS reinstall. The report explains that Trickbot has already begun performing reconnaissance for firmware vulnerabilities.
Surviving an attempt of takedown orchestrated by Microsoft and a coalition of tech companies last October, Trickbot is back with new dangerous features. By implementing malicious code in the targeted systems software, Trickbot can be stealthier and bypass security controls such as Bitlocker, ELAM and Windows 10 Virtual Secure Mode.
According to this report, Trickbot’s new module is not able to modify the software itself but has to check the SPI controller to know if BIOS write protection is enabled or not. The fact that Trickbot has been used by different Russian and North Korean actors to target healthcare facilities and critical infrastructure is particularly alarming. It is thus very important for security teams to ensure that they are not compromised and that their devices are not vulnerable.

1.2 What you will hear

To write malicious code into the system software is a top-level skill, and to succeed in executing code before the operating system while remaining stealthy is a top-level skill which means lot of trouble for security teams. Indeed, malicious code planted in the firmware is bad news as it is invisible to security solutions operating on top of the operating system because it loads before everything else, in the initial stage of a computer’s booting sequence.
Trickbot was first seen in 2016 as a Trojan and has kept evolving since then, by getting stealthier and more persistent. It has become first-class dropper for different actors, like Emotet and Ryuk ransomware. This new Trickoot module comes a few months after Microsoft and several tech companies dealt a serious blow to the botnet that spread it.

1.3 What it means

By getting access to UEFI firmware, a threat actor can establish, on the compromised machine, persistence that resists operating system reinstalls or replacing of storage drives. Such high level attacks allow the threat actor to get the control of the compromise system in a whole different grasp. It can for instance
keep access to the victim’s system even after receiving the ransom
launch a new attack after the cleaning and recovery process of the victim
have a major impact on critical infrastructure and operational environment
make the forensic investigation very difficult and slow down the recovery process

1.4 What you should do

Since the end of October Trickbot has been very active and a peak of 40 000 victims in a single day has been observed. So you have to make sure that you don’t have any vulnerabilities and that none of your devices are compromised. You can check them and be sure that BIOS write protection are enabled, monitor your software and detect any signs of modification.
Always update your devices when it is possible, thus making sure that you are not affected by known vulnerabilities. If you are the victim of Trickbot malware, examine your firmware and be sure of the eradication of any traces of the malware.

[Le Pat]

Ps : apres j'arrete
si on regarde les bons cotés des choses d'internet (accessible à tous, gratuit et instantané)
- une source de savoir infinie sur la totalité des connaissances du monde entier
- un vecteur de communication instantané
- un accès à tous les professionels et tous les vendeurs
- des services de traduction
bref, c'est comme tout, mal utilisé, c'est la misère.
Mais on peut aussi tuer/mutiler avec un stylo bic, pourtant personne ne remets en cause le stylo bic

[GrosRobert]

Personnellement je rejoins la team "Le Pat"

[Flan]

Ps : apres j'arrete
si on regarde les bons cotés des choses d'internet (accessible à tous, gratuit et instantané)
- une source de savoir infinie sur la totalité des connaissances du monde entier
- un vecteur de communication instantané
- un accès à tous les professionels et tous les vendeurs
- des services de traduction
bref, c'est comme tout, mal utilisé, c'est la misère.
Mais on peut aussi tuer/mutiler avec un stylo bic, pourtant personne ne remets en cause le stylo bic

Vala je peux pas dire mieux.

[Tenno]

Ps : apres j'arrete
si on regarde les bons cotés des choses d'internet (accessible à tous, gratuit et instantané)
- une source de savoir infinie sur la totalité des connaissances du monde entier
- un vecteur de communication instantané
- un accès à tous les professionels et tous les vendeurs
- des services de traduction
bref, c'est comme tout, mal utilisé, c'est la misère.
Mais on peut aussi tuer/mutiler avec un stylo bic, pourtant personne ne remets en cause le stylo bic

Vala je peux pas dire mieux.

Ben pas moi, le nombre de morts par stylo Bic étant équilibré par ceux qui ont pu bénéficier d'une trachéotomie d'urgence avec ces mêmes stylos
Et pour être plus sérieux, le sujet c'est pas internet mais les cryptos et les NFT qui sont clairement une mauvaise utilisation d'internet.

[Flan]

Ps : apres j'arrete
si on regarde les bons cotés des choses d'internet (accessible à tous, gratuit et instantané)
- une source de savoir infinie sur la totalité des connaissances du monde entier
- un vecteur de communication instantané
- un accès à tous les professionels et tous les vendeurs
- des services de traduction
bref, c'est comme tout, mal utilisé, c'est la misère.
Mais on peut aussi tuer/mutiler avec un stylo bic, pourtant personne ne remets en cause le stylo bic

Vala je peux pas dire mieux.

Ben pas moi, le nombre de morts par stylo Bic étant équilibré par ceux qui ont pu bénéficier d'une trachéotomie d'urgence avec ces mêmes stylos

Ha bah à plus forte raison alors, merci Tenno.