En un coup d’œil.

• Indice de sécurité mobile de Verizon.
• Nouveau cadre d’attaque.
• Rapport sur les rançongiciels.

Indice de sécurité mobile de Verizon.

Verizon ce matin publié un rapport sur la sécurité mobile, constatant que la plupart des entreprises réalisent la menace posée par les compromis sur les appareils mobiles, mais sont encore largement mal préparées à faire face à ces menaces :

« Les équipes de sécurité sont confrontées à une bataille difficile à mesure que le nombre d’appareils et de travailleurs à distance augmente, à tel point que 79 % des personnes interrogées ont convenu que les récents changements apportés aux pratiques de travail ont nui à la cybersécurité de leurs organisations. Avec la menace accrue, il semblerait que Cependant, les résultats indiquent le contraire, avec 85 % affirmant que le Wi-Fi domestique et les réseaux/points d’accès cellulaires sont autorisés ou qu’il n’y a pas de politique contre eux, et 68 % autorisent ou n’ont aucune politique contre le l’utilisation du Wi-Fi public. »

Nouveau cadre d’attaque.

Cisco Talos décrit un nouveau cadre d’attaque baptisé « Manjusaka » qui a été publié librement sur GitHub, avec une interface utilisateur écrite en chinois simplifié. La motivation du développeur n’est pas claire, mais ils l’annoncent comme une alternative à l’outil d’équipe rouge Cobalt Strike. Comme Cobalt Strike, l’outil est abusé par les acteurs de la menace. Les chercheurs ne font aucune attribution, mais ils pensent que le développeur de Manjusaka est situé dans la région du Guangdong en Chine. Talos note que le cadre a été utilisé dans une campagne ciblant la ville de Golmud dans la région tibétaine de Chine, mais ils ne lient pas cette campagne au développeur.

Les chercheurs pensent que Manjusaka « a le potentiel de devenir répandu dans le paysage des menaces »:

« La disponibilité du cadre offensif Manjusaka est une indication de la popularité des technologies offensives largement disponibles auprès des opérateurs de logiciels criminels et d’APT. Ce nouveau cadre d’attaque contient toutes les fonctionnalités que l’on peut attendre d’un implant, cependant, il est écrit dans le plus langages de programmation modernes et portables. Le développeur du framework peut facilement intégrer de nouvelles plates-formes cibles comme MacOSX ou des saveurs plus exotiques de Linux comme celles qui s’exécutent sur des appareils embarqués. Le fait que le développeur ait mis à disposition une version entièrement fonctionnelle du C2 augmente les chances d’une adoption plus large de ce cadre par des acteurs malveillants. »

Rapport sur les rançongiciels.

Venafi a publié un rapport sur les offres de ransomwares criminels, constatant que « 87% des ransomwares trouvés sur le dark web ont été diffusés via des macros malveillantes ». (Les chercheurs notent que Microsoft a désactivé les macros en juillet.) Venafi décrit également le marché des rançongiciels :

« En plus d’une variété de ransomwares à différents prix, la recherche a également découvert une large gamme de services et d’outils qui permettent aux attaquants ayant des compétences techniques minimales de lancer plus facilement des attaques de ransomwares. Les services avec le plus grand nombre de listes incluent ceux qui offrent le code source, les services de build, les services de développement personnalisés et les packages de ransomware qui incluent des didacticiels pas à pas.

« Les services de création de ransomwares génériques imposent également des prix élevés, certaines annonces coûtant plus de 900 $. À l’autre extrémité de la gamme de prix, de nombreuses options de ransomware à faible coût sont disponibles sur plusieurs listes, avec des prix commençant à seulement 0,99 $ pour le rançongiciel Lockscreen. »