ciberamenazas - Softonic French

Un groupe nord-coréen utilise des tactiques basées sur l'IA pour s'infiltrer dans des entreprises

Un groupe de menaces lié à la Corée du Nord, connu sous le nom de Jasper Sleet, utilise des tactiques sophistiquées pour infiltrer des entreprises légitimes en créant de fausses identités professionnelles. Cet acteur a profité de l’augmentation du travail à distance provoquée par la pandémie de COVID-19, qui a transformé le paysage de l’embauche et de l’accès aux ressources au sein des organisations. Profitant du télétravail, la dépendance croissante aux environnements en ligne et aux outils d’accès à distance a généré de nouvelles opportunités pour les acteurs malveillants. Jasper Sleet utilise des technologies d’intelligence artificielle pour développer des identités numériques personnalisées et se prépare méticuleusement à paraître […]

Profiter du télétravail

La dépendance croissante aux environnements en ligne et aux outils d’accès à distance a généré de nouvelles opportunités pour les acteurs malveillants. Jasper Sleet utilise des technologies d’intelligence artificielle pour développer des identités numériques personnalisées et se prépare méticuleusement pour sembler un candidat authentique, adaptant ses candidatures en fonction des exigences spécifiques de chaque poste.

Selon une analyse de Microsoft, le groupe utilise des flux de travail dans des logiciels de ressources humaines comme Workday via des appels à des APIs programmatiques pour accéder à des données sur les offres d’emploi et les candidatures actives. Cette technique se distingue par sa précision et sa répétabilité, ce qui indique une approche plus calculée que celle d’un candidat ordinaire.

Une fois engagé, Jasper Sleet a accès à divers outils collaboratifs et environnements cloud de l’organisation, ce qui lui permet de naviguer librement entre des fichiers sensibles, menant éventuellement à un possible vol de données ou à de l’extorsion. Microsoft a observé des schémas d’activité suspects, y compris des alertes de « voyages impossibles » dans les mois suivant l’embauche de nouveaux employés.

Pour contrer cette menace, il est recommandé que les équipes de sécurité et des ressources humaines collaborent étroitement et mettent en œuvre des mesures de formation sur l’ingénierie sociale. Identifier les signaux d’alerte dans le processus de recrutement peut s’avérer plus efficace que d’essayer de détecter la menace une fois que l’acteur a déjà accès à des informations sensibles.

Les cybercriminels changent de tactique : l'exfiltration et l'extorsion de données en augmentation

Dans un récent rapport d’Arctic Wolf, un changement significatif dans les tactiques des attaquants cybernétiques est mis en avant, ceux-ci ayant commencé à abandonner le chiffrement au profit de l’exfiltration et de l’extorsion de données. Ce tournant s’est présenté comme une réponse à la recherche de meilleurs retours économiques, contribuant à une nouvelle vague d’attaques où le ransomware n’est plus la seule approche. En effet, le ransomware a représenté 44 % des incidents de réponse durant la période analysée. Nouvelles stratégies des criminels Le secteur manufacturier est devenu le plus touché, suivi de […]

Dans un récent rapport d’Arctic Wolf, un changement significatif dans les tactiques des attaquants cybernétiques est mis en avant, ceux-ci ont commencé à abandonner le chiffrement au profit de l’exfiltration et de l’extorsion de données. Ce tournant s’est présenté comme une réponse à la recherche de meilleurs retours économiques, contribuant à une nouvelle vague d’attaques où le ransomware n’est plus la seule approche. En effet, le ransomware a représenté 44 % des incidents de réponse durant la période analysée.

Nouvelles stratégies des criminels

Le secteur manufacturier est devenu le plus touché, suivi des cabinets d’avocats, des écoles, des institutions financières et des organisations de santé. Ces secteurs concentrent la majeure partie des attaques, ce qui reflète l’impact croissant des cybermenaces sur les industries clés de l’économie. De plus, les groupes de ransomware ont adopté des modèles d’affiliation, permettant une plus grande interconnexion entre différents groupes, ce qui les rend plus compétitifs et difficiles à arrêter.

Le rapport indique que les interactions policières ont affaibli des groupes comme LockBit, ALPHV/BlackCat et BlackSuit, suggérant que les efforts des forces de l’ordre ont eu un certain effet sur leur opérationnalité. Cependant, d’autres types d’attaques, comme celles de compromission de courriel professionnel, ont proliféré, représentant 26 % des cas investigués par Arctic Wolf. La plupart de ces attaques ont visé des organisations financières et juridiques, avec une utilisation notable du phishing par courriel comme méthode d’accès initial dans 85 % des cas comparés.

De plus, les attaquants ont montré une préférence particulière pour compromettre des outils d’accès à distance, comme le Protocole de Bureau à Distance et les logiciels de gestion à distance, ce qui représente deux tiers des cas non liés au BEC, une augmentation significative par rapport aux années précédentes. Ce changement dans les tactiques souligne l’adaptabilité et la maturité opérationnelle des cybercriminels dans un paysage technologique en constante évolution.

Les attaques automatisées ciblant les serveurs PHP augmentent

Des chercheurs en cybersécurité ont alerté sur une augmentation significative des attaques automatisées ciblant les serveurs PHP, les dispositifs IoT et les passerelles cloud, alimentées par des botnets comme Mirai, Gafgyt et Mozi. Selon un rapport de l’Unité de Recherche sur les Menaces de Qualys, ces attaques automatisées exploitent des vulnérabilités connues et des configurations inadéquates dans le cloud, permettant aux attaquants de prendre le contrôle de systèmes exposés et d’étendre ainsi leurs réseaux de botnets. Certaines mesures simples pour éviter les attaques Les serveurs PHP sont devenus les principales cibles de ces […]

Des chercheurs en cybersécurité ont alerté sur une augmentation significative des attaques automatisées ciblant les serveurs PHP, les dispositifs IoT et les passerelles cloud, alimentées par des botnets comme Mirai, Gafgyt et Mozi. Selon un rapport de l’Unité de Recherche sur les Menaces de Qualys, ces attaques automatisées exploitent des vulnérabilités connues et des configurations inadéquates dans le cloud, permettant aux attaquants de prendre le contrôle de systèmes exposés et d’étendre ainsi leurs réseaux de botnets.

Quelques mesures simples pour éviter les attaques

Les serveurs PHP sont devenus les principales cibles de ces campagnes en raison de la popularité des systèmes de gestion de contenu (CMS) comme WordPress et Craft CMS. L’exposition de ces serveurs à des configurations incorrectes et à des plugins obsolètes élargit leur surface d’attaque. Les chercheurs soulignent que certains des méthodes utilisées par les attaquants impliquent la chaîne de requête ‘/?XDEBUG_SESSION_START=phpstorm’, ce qui permet de démarrer des sessions de débogage qui, si elles sont laissées actives dans des environnements de production, peuvent faciliter l’extraction de données sensibles.

De plus, il a été observé que les attaquants recherchent des identifiants, des clés API et des jetons d’accès sur des serveurs exposés à Internet, et profitent également des failles de sécurité dans les dispositifs IoT. L’activité de scan provient souvent d’infrastructures cloud telles qu’AWS et Google Cloud, ce qui montre comment les cybercriminels abusent de services légitimes pour dissimuler leurs véritables emplacements.

Les experts avertissent que même les attaquants de bas niveau peuvent causer des dommages significatifs grâce aux outils d’exploitation et aux kits de botnets largement disponibles. Pour atténuer ces risques, il est conseillé aux utilisateurs de maintenir leurs systèmes à jour, de supprimer les outils de développement dans les environnements de production et de restreindre l’accès public à leur infrastructure cloud.

Cette montée en puissance des capacités des botnets se reflète dans le récent classement de NETSCOUT, qui a identifié le botnet AISURU comme une nouvelle classe de malware capable de lancer des attaques DDoS dépassant les 20 térabits par seconde. AISURU combine des capacités d’attaque DDoS avec des fonctions supplémentaires, permettant des activités illicites telles que l’utilisation de proxies résidentiels pour dissimuler l’activité malveillante.

L'importance cruciale de la sécurité de l'identité à l'ère de l'IA

L’évolution rapide des agents d’intelligence artificielle a transformé la sécurité des entreprises, faisant de la gestion des identités un composant essentiel pour protéger les organisations contre les menaces modernes. À mesure que ces agents exécutent des tâches de manière autonome et sans supervision, le risque d’erreurs catastrophiques augmente considérablement. Un échec dans la logique ou un accès non autorisé peut transformer une automatisation efficace en un désastre opérationnel, soulignant la vulnérabilité des mises en œuvre d’IA peu réglementées. La transformation de la sécurité des entreprises Actuellement, moins de 40 % des agents d’IA disposent de politiques de sécurité de […]

La rapide évolution des agents d’intelligence artificielle a transformé la sécurité des entreprises, faisant de la gestion des identités un composant essentiel pour protéger les organisations contre les menaces modernes. À mesure que ces agents exécutent des tâches de manière autonome et sans supervision, le risque d’erreurs catastrophiques augmente considérablement. Une défaillance dans la logique ou un accès non autorisé peut transformer une automatisation efficace en un désastre opérationnel, soulignant la vulnérabilité que comportent les mises en œuvre d’IA peu réglementées.

La transformation de la sécurité des entreprises

Actuellement, moins de 40 % des agents d’IA disposent de politiques de sécurité d’identité. Cela laisse les organisations exposées à une série d’attaques potentielles, car ces systèmes fonctionnent avec des privilèges d’accès à des données sensibles. Selon le rapport SailPoint Horizons of Identity Security 2025-2026, la situation est devenue critique, car les anciennes mesures de sécurité, comme les pare-feu, ne sont plus suffisantes face aux nouveaux modèles de menaces liés à l’identité.

Le rapport souligne que 63 % des organisations se trouvent à des niveaux précoces de maturité en matière de sécurité des identités, ce qui augmente leur risque face aux attaques. Les entreprises qui mettent en œuvre des programmes de sécurité des identités matures non seulement obtiennent un meilleur retour sur investissement, mais bénéficient également d’une meilleure efficacité opérationnelle et de capacités commerciales transformantes.

Néanmoins, seulement 25 % des organisations considèrent la gestion des identités comme un facilitateur stratégique. Cette vision limitée empêche de nombreuses entreprises de tirer parti de tout le potentiel transformateur que la sécurité des identités peut offrir. Alors que le paysage des menaces continue d’évoluer, il est impératif que les organisations évaluent leur position actuelle en matière de sécurité des identités et envisagent sérieusement leur préparation à gérer l’accès des systèmes automatisés et des agents d’IA.

La gestion des identités comme clé pour protéger les données dans le cloud

Dans le contexte actuel des environnements cloud complexes et axés sur les données, la plus grande menace pour les organisations ne réside pas uniquement dans la possibilité de fuites de données, mais dans l’érosion de la confiance dans la gestion de ces mêmes données. Cette préoccupation s’intensifie à mesure que les organisations déplacent des applications et des données sensibles vers le domaine numérique, ce qui a conduit à positionner l’identité comme le nouveau point de contrôle pour sécuriser l’accès et protéger les informations critiques. L’érosion de la confiance Cependant, de nombreuses entreprises sont encore confrontées à de sérieux défis, qui incluent des systèmes d’identité isolés et […]

Dans le contexte actuel des environnements cloud complexes et axés sur les données, la plus grande menace pour les organisations ne réside pas uniquement dans la possibilité de fuites de données, mais dans l’érosion de la confiance dans la gestion de ces mêmes données. Cette préoccupation s’intensifie à mesure que les organisations déplacent des applications et des données sensibles vers le numérique, ce qui a conduit à considérer l’identité comme le nouveau point de contrôle pour sécuriser l’accès et protéger des informations critiques.

L’érosion de la confiance

Cependant, de nombreuses entreprises sont encore confrontées à de sérieux défis, notamment des systèmes d’identité isolés et des politiques d’accès incohérentes. De plus, le paysage des menaces est de plus en plus vaste, englobant des configurations erronées jusqu’aux fraudes alimentées par l’intelligence artificielle. L’absence d’un cadre d’identité robuste peut laisser les organisations vulnérables face à ces menaces émergentes.

Dans ce contexte, Rob Otto, CTO EMEA chez Ping Identity, souligne l’importance des stratégies de sécurité centrées sur l’identité. Lors du récent Sommet Virtuel sur la Sécurité dans le Cloud, Otto a expliqué comment les entreprises mondiales rétablissent le contrôle, simplifient l’accès au cloud et protègent des données critiques sans sacrifier l’expérience utilisateur. Il a été souligné que la mise en œuvre de l’identité adaptative peut fonder une posture résiliente dans le cloud et renforcer les initiatives de confiance zéro.

La session a été conçue pour fournir des connaissances clés sur la manière dont une gestion appropriée de l’identité peut non seulement garantir la sécurité, mais aussi renforcer la confiance dans chaque interaction numérique. Cette approche est cruciale pour que les organisations maintiennent leur intégrité et leur stabilité dans un monde de plus en plus numérisé, où la confiance devient l’actif le plus précieux.