Des pirates informatiques liés à la Chine ciblent les experts américains en IA avec le logiciel malveillant SugarGh0st
Les chercheurs de Proofpoint ont découvert une campagne très ciblée menée par un acteur présumé de la menace chinoise, surnommée « UNK_SweetSpecter », visant à voler des informations à des experts en intelligence artificielle aux États-Unis. Les attaquants ont utilisé une variante personnalisée du célèbre malware Gh0st RAT, appelée SugarGh0st, pour infecter les systèmes d'un groupe sélectionné d'individus associés à une organisation d'IA de premier plan basée aux États-Unis. La campagne, qui a fait surface en mai 2024, impliquait des e-mails de phishing sur le thème de l'IA contenant une archive ZIP malveillante. Une fois exécuté, le logiciel malveillant a établi une communication avec un serveur de commande et de contrôle contrôlé par l'attaquant, permettant potentiellement aux pirates d'exfiltrer des données sensibles liées aux technologies d'IA générative. Proofpoint suggère que cette campagne pourrait être une réponse aux récents efforts du gouvernement américain visant à restreindre l'accès des Chinois aux technologies d'IA générative. La nature ciblée de l'attaque et sa focalisation sur les experts en IA indiquent que l'objectif de l'auteur de la menace était probablement d'obtenir des informations non publiques sur l'intelligence artificielle générative afin de faire avancer les objectifs de développement de la Chine dans ce domaine.Sécurisez vos e-mails maintenant
La CISA met en garde contre une faille activement exploitée dans NextGen Healthcare Mirth Connect
L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a émis un avertissement urgent concernant une vulnérabilité de sécurité critique dans NextGen Healthcare Mirth Connect, une plateforme d'intégration de données open source largement utilisée dans le secteur de la santé. La faille, identifiée comme CVE-2023-43208, permet l'exécution de code à distance non authentifié et serait activement exploitée dans la nature. La vulnérabilité provient d'un correctif incomplet pour une autre faille critique, CVE-2023-37679, et est liée à l'utilisation non sécurisée de la bibliothèque Java XStream pour désorganiser les charges utiles XML. Les chercheurs d'Horizon3.ai ont divulgué la vulnérabilité pour la première fois en octobre 2023, avec des détails techniques supplémentaires et un exploit de validation de principe publiés en janvier 2024. CISA a ajouté CVE-2023-43208 à son catalogue de vulnérabilités exploitées connues (KEV), obligeant les agences fédérales à mettre à jour leurs systèmes vers Mirth Connect version 4.4.1 ou ultérieure d'ici le 10 juin 2024. Bien que l'agence n'ait pas fourni de détails sur le problème en cours. attaques, la faille est considérée comme facilement exploitable et présente un risque important pour les organismes de santé. En plus de la vulnérabilité Mirth Connect, CISA a également ajouté au catalogue KEV un bug de confusion de type récemment révélé affectant Google Chrome (CVE-2024-4947), car Google a reconnu qu'il était exploité dans des attaques réelles.La ville de Wichita ciblée par une attaque de ransomware du week-end
La ville de Wichita, au Kansas, la plus grande ville de l'État et l'une des 50 plus grandes villes des États-Unis, a révélé qu'elle avait été touchée par une attaque de ransomware au cours du week-end. L'incident, survenu dimanche 5 mai, a contraint la Ville à fermer certaines parties de son réseau pour empêcher la propagation du ransomware à d'autres appareils. Dans un geste d'une transparence inhabituelle, la ville a confirmé l'attaque sur son site Internet, déclarant qu'un examen et une évaluation approfondis de l'incident étaient en cours, y compris son impact potentiel sur les données. À la suite de cette attaque, les systèmes de paiement en ligne de la ville, notamment ceux destinés au paiement des factures d'eau, des citations et des contraventions au tribunal, sont actuellement hors ligne. Bien que la ville n'ait pas divulgué l'identité du gang de ransomware responsable de l'attaque, elle a signalé l'incident aux forces de l'ordre locales et fédérales, qui contribuent à la réponse. On ne sait pas encore si des données ont été volées, même s'il est courant que les gangs de ransomwares exfiltrent les données des réseaux compromis pendant des jours, voire des semaines, avant de déployer leurs chiffreurs. Malgré l'attaque, le Ville a assuré aux résidents que les premiers intervenants, y compris la police et les pompiers, continuent de fournir des services, après avoir adopté des mesures de continuité des activités si nécessaire.Fortifier Infrastructure critique Défenses
Black Basta Ransomware cible plus de 500 organisations dans le monde
L'opération de ransomware-as-a-service (RaaS) Black Basta a ciblé plus de 500 entités du secteur privé et des infrastructures critiques en Amérique du Nord, en Europe et en Australie depuis son émergence en avril 2022, selon un avis conjoint publié par la CISA et le FBI. , HHS et MS-ISAC. Les acteurs malveillants derrière Black Basta ont crypté et volé des données dans au moins 12 des 16 secteurs d'infrastructures critiques, en utilisant un modèle de double extorsion. Les filiales du groupe utilisent des techniques d'accès initial courantes, telles que le phishing et l'exploitation de vulnérabilités connues, et fournissent aux victimes un code unique pour les contacter via une URL .onion afin d'obtenir des instructions de paiement de rançon. Black Basta a été lié à 28 des 373 attaques de ransomware confirmées en avril 2024 et a connu une augmentation de 41 % de son activité d'un trimestre à l'autre au premier trimestre 1. Le groupe aurait des liens avec le groupe de cybercriminalité FIN2024. Le paysage des ransomwares est en pleine mutation, avec une baisse d’activité de 18 % au premier trimestre 1 par rapport au trimestre précédent, principalement due aux opérations des forces de l’ordre contre ALPHV (alias BlackCat) et LockBit. De nouveaux groupes de ransomwares, tels que APT2024, DoNex, DragonForce, Hunt, KageNoHitobito, Megazord, Qiulong, Rincrypt et Shinra, ont également fait leur apparition ces dernières semaines. Malgré la baisse globale de l’activité des ransomwares, le paiement moyen des rançons a quintuplé au cours de l’année dernière, passant de 5 400,000 $ à 2 millions de dollars, selon une enquête Sophos. Cependant, les victimes refusent de plus en plus de payer le montant initial demandé, puisque seulement 24 % des personnes interrogées ont payé la demande initiale.Boostez votre cyber-résilience
Annonces SSL.com
SSL.com S/MIME Les certificats peuvent désormais être intégrés à un réseau compatible LDAP
LDAP (Lightweight Directory Access Protocol) est un protocole standard de l'industrie pour accéder et gérer les services d'informations d'annuaire. Il est couramment utilisé pour stocker et récupérer des informations sur les utilisateurs, les groupes, les structures organisationnelles et d'autres ressources dans un environnement réseau.
Intégration de LDAP avec S/MIME Les certificats impliquent l'utilisation de LDAP comme service d'annuaire pour stocker et gérer les certificats utilisateur.
En intégrant LDAP avec S/MIME certificats, les organisations peuvent centraliser la gestion des certificats, améliorer la sécurité et rationaliser le processus de récupération et d'authentification des certificats dans diverses applications et services qui exploitent LDAP comme service d'annuaire.
Contactez-nous ventes@ssl.com pour plus d'informations sur l'intégration LDAP.