BadPower: L\’attaque modifie le microprogamme de chargeurs rapides afin de provoquer une surtension et d\’endommager l\’équipement connecté qui peut alors prendre feu.
Sim swapping: Pour effectuer un échange de carte SIM, un fraudeur obtient les données personnelles d\’une cible, et appelle son fournisseur d\’abonnement téléphonique tout en prétendant être le véritable propriétaire du compte.
Varenyky: Lorsque l’utilisateur ouvre le document associé au courriel, Varenyky s’active et infecte l’appareil tout en créant une passerelle vers un serveur tiers.
fishing
arnaque au président
à la Nigériane
escroquerie à l’amour
arnaque à la loterie
arnaque à la location d\’appartement
Anomaly D
Eurogrammer
Red october
Flame
Duqu
Stuxnet
RSA attack
SpyEye
Zeus
Gozi
Aurora
Ghostnet
Sykipot
Titan Rain
Moonlignt Mazen
Cuckoo\’s egg
The Most Famous Advanced Persistent Threats in History
http://www.arnaques-internet.info
Downadup ou Conficker ou Net-Worm
L’alerte:
23 oct 2008 Microsoft publie une alerte de sécurité et recommande d’appliquer le correctif immédiatement.
La CERT publie l’alerte à son tour.
L’infection:
le 26 janvier 2009 Panda Labs compte 1 PC sur 16 infectés. 29 % des PC en Chine, 11% en Argentine.
Plus de 9 millions d’ordinateurs sont touchés.
Le système d’information du Ministère de la santé en Nouvelle Zélande est inutilisable. Les ordinateurs tournent toujours mais le personnel du ministère ne peut pas avoir accès à son compte.
A Sheffield au Royaume Uni, plus de 800 PC des hôpitaux sont infectés (Les responsables ont annulé les mises à jour Windows l’an dernier!). L’équipe informatique n’a pas encore fini de les désinfecter.
La plupart du temps, les symptômes sont les suivants :
- Plusieurs comptes Administrateurs et/ou Utilisateurs sont verrouillés,
– Plusieurs services importants sont arrêtés et désactivés,
– Vous ne pouvez pas accéder au site Web Microsoft Update et à certains sites Web d\’éditeurs antivirus,
– Vous rencontrez des problèmes liés à Svchost.exe
Les vecteurs d\’attaque les plus probables sont :
– Vulnérabilité liée à MS08-067,
– Partages de fichiers ouverts,
– Ressources réseau accessibles à l’utilisateur connecté,
– Ressources réseau protégées par des mots de passe faibles;
– Périphériques amovibles ou lecteurs réseaux (lancement automatique de programme par autorun).
Pour le supprimer:
-antivirus ? peut-être?
- L\’Outil de suppression des logiciels malveillants (MSRT)
- Le Standalone System Sweeper (disponible dans le Microsoft Desktop Optimization Pack 6.0 ainsi que par l\’intermédiaire des Services de support Microsoft)
- Une procédure manuelle concernant la variante Conficker.b, actuellement la plus répandue (voir ci-dessous) en 38 étapes!
Comment Downadup fonctionne ?
Une fois exécuté sur l’ordinateur, Downadup se copie dans un fichier .dll
il supprime les points de récupération du système
il crée son propre service réseau
il ajoute une entrée dans la Registry
il se connecte sur un site Internet pour vérifier l’adresse IP de son ordinateur
il télécharge un fichier depuis un autre site Internet trafficconverter.biz et il l’exécute
Alors il crée un serveur http sur l’ordinateur infecté avec un port au hasard (non pas 80)
Il envoie cette URL à tous les ordinateurs connectés qui téléchargent le vers à leur tour.
Ensuite il trafique les ports réseau et
il télécharge un nouveau fichier depuis maxmind.com
et il se connecte à un serveur de date
et génère une liste de noms de domaines.
il contacte ses noms de domaine pour capter d’autres informations.
On dit encore qu’il dérobe les mots de passe
il installe un faux antivirus
et que de nouvelles formes de ce vers sont apparues récemment qui contournent le patch de Microsoft
H… à suivre.
Estonia 2007: When the Estonian government decided in April 2007 to move a statue of a Russian soldier from the center of its capital in Tallinn, the move touched off massive protests by the country’s Russian-speaking minority. Those riots were accompanied by a wave of crude distributed denial-of-service attacks that took down hundreds of Estonian websites, likely launched with the backing of the Russian government.
Georgia 2008: The next year, very similar cyberattacks were used during Russia’s war in Georgia, bombarding the country’s web sites at the same time as Russian tanks rolled toward its capital and Russian ships blockaded its coastline. As relatively crude as the online attacks may have been, they were perhaps the first time that widescale digital attacks were combined with a physical invasion.
Stuxnet, 2009: Starting in 2009, an ingenious piece of malware known as Stuxnet began to infiltrate the the network of Iran’s nuclear enrichment facility at Natanz, silently altering the settings of its fragile centrifuges to destroy them and sabotage the country’s quest for a nuclear weapon. Only when the worm accidentally spread to the rest of the world in 2010 was the operation revealed and, two years later, confirmed to be the work of the NSA and Israeli intelligence.
Saudi Aramco, 2012: Just two months after Stuxnet was confirmed to be a US- and Israeli-led operation, a piece of malware known as Shamoon hit oil giant Saudi Aramco, destroying 35,000 computers. The attack, the largest of its kind ever seen at the time, was quickly tied to Iranian hackers, and seen as a proxy attack against US interests in retaliation for Stuxnet’s sabotage.
Sony, 2014: In late 2014, hackers calling themselves the Guardians of Peace ripped through the network of Sony Pictures, stole and leaked vast amounts of data including unreleased films, destroyed thousands of computers, and demanded that Sony not release its Kim Jong Un assassination comedy, “the Interview.” Though the hackers at first appeared to be cybercriminals demanding a ransom, the FBI soon revealed that they were in fact North Korean state-sponsored hackers.
Ukraine, 2015: Two days before Christmas in 2015, Russian hackers triggered the first-ever blackout induced by a cyberattack, turning off the power to hundreds of thousands of Ukrainians. The attack came in the midst of Russia’s physical invasion of the country’s eastern region and Crimean peninsula, and was both preceded and followed by a severe series of data-destroying attacks, culminating in another blackout targeting the country’s capital in late 2016.
NotPetya, June 2017: Russia’s cyberwar against Ukraine climaxed in June of 2017, when it released the NotPetya malware, seeding the data-destroying worm onto thousands of machines via the hijacked software updates of the Ukrainian accounting software M.E.Doc. But as NotPetya devastated Ukraine’s networks, it also spread to multinationals like Maersk, Merck, FedEx, and many others, causing a record-breaking $10 billion in damages.
Triton/Trisis, August 2017: Just months after NotPetya, an oil refinery owned by Saudi Arabian firm Petro Rabigh was shutdown by a sophisticated piece of malware known as Triton or Trisis. But it could have been much worse: Analysts found that the mysterious malware, which showed traces of a Russian science institute’s fingerprints, had been designed to turn off safety systems in the plant, potentially triggering a lethal accident.
ref Andy Greenberg The WIRED Guide to Cyberwar https://www.wired.com/story/cyberwar-guide/?bxid=5cec2524fc942d3ada0971ef&cndid=52112780&esrc=Wired_etl_load&source=EDT_WIR_NEWSLETTER_0_DAILY_ZZ&utm_brand=wired&utm_campaign=aud-dev&utm_mailing=WIR_Daily_083019&utm_medium=email&utm_source=nl&utm_term=list1_p3
