BLACK IS ETHICAL

⚠️ Rapport Ponemon 2024 sur la Cybersécurité dans le Secteur de la Santé ➡️ Selon le rapport 2024 du Ponemon Institute, réalisé en partenariat avec Proofpoint, met en lumière les menaces cybernétiques croissantes dans le secteur de la santé, impactant à la fois la sécurité des patients et les coûts financiers des établissements médicaux. 1️⃣ 👉 Menaces majeures identifiées 🔴 Compromission des comptes cloud : 69 % des organisations ont subi une attaque, avec une moyenne de 20 incidents par organisation en deux ans. Attaques de la chaîne d’approvisionnement : 68 % des établissements ont été touchés, causant des perturbations directes dans les soins. 🔴 Ransomwares : 59 % des établissements ont été attaqués, 36 % ont payé la rançon, avec une hausse de 10 % des montants versés, atteignant en moyenne 1,1 million de dollars. 2️⃣ 👉 Impact des cyberattaques sur les soins 🔴 70 % des hôpitaux attaqués ont subi une interruption des soins. Retards dans les procédures médicales entraînant des complications et une augmentation du taux de mortalité. 🔴 Perturbation des tests et interventions dans 56 % des cas d’attaques sur la chaîne d’approvisionnement. 3️⃣ 👉 Coût financier des cyberattaques 🔴 Le coût moyen d’une cyberattaque dans le secteur de la santé atteint 4,7 millions de dollars. 🔴 Les perturbations opérationnelles représentent 1,47 million de dollars par attaque, soit une augmentation de 13 % en un an. 4️⃣ 👉 Facteur humain et risques internes 🔴 31 % des fuites de données sont causées par des erreurs humaines (non-respect des politiques, envoi de données sensibles à de mauvais destinataires). 🔴 26 % des incidents résultent d’une perte accidentelle de données, soulignant un besoin accru de formation en cybersécurité. 5️⃣ 👉 Rôle de l’IA en cybersécurité 🔴 54 % des organisations utilisent l’IA pour améliorer leur cybersécurité et la gestion des soins. 🔴 57 % estiment que l’IA renforce leur posture de sécurité. 🔴 63 % des organisations s’inquiètent de la protection des données sensibles utilisées par l’IA. 🤔 Que peut-on retenir? 🗣️ Le secteur de la santé est une cible privilégiée des cybercriminels, mettant en péril la qualité des soins et la sécurité des patients. 🟡 La négligence humaine, la vulnérabilité des chaînes d’approvisionnement et la montée en puissance des ransomwares nécessitent une stratégie renforcée incluant la formation du personnel, l’intégration de solutions IA sécurisées et une meilleure gestion des risques internes.

🚨 CyberAlerte : Cyberattaque en Afrique 🇪🇬 - Xlab Group 🇪🇬 victime du groupe ransomware FOG ! ! 📣 Comme il n’y a pas une semaine sans cyberattaque en Afrique, cette fois c’est l’Égypte 🇪🇬 qui est touchée ! Le groupe FOG revendique une attaque contre Xlab Group (xlab-group.com), une entreprise égyptienne spécialisée dans le marketing digital et la transformation numérique. 🚨 5 Go de données exfiltrées ! 🚨 Le ransomware a publié un torrent contenant les fichiers volés, exposant ainsi potentiellement des informations sensibles. 👉 Encore une preuve que les cybercriminels considèrent l'Afrique comme un terrain de chasse privilégié 😡. 🔐 Entreprises africaines, réveillez-vous ! Il est plus que temps d’investir dans la cybersécurité avant qu’il ne soit trop tard... 🔴 1. Mettre à jour vos systèmes et logiciels 🔄 🔴 2. Sauvegarder vos données régulièrement 💾 🔴 3. Sensibiliser et former vos employés 🎓 🔴 4. Renforcer l'authentification des accès 🔐 🔴 5. Surveiller les activités suspectes en temps réel 👀 🔴 6. Établir un plan de réponse aux incidents 🚨 🔴 7. Collaborer avec d'autres acteurs de la cybersécurité 🤝 🚨 Ne sous-estimez pas la menace ! 🚧💻 ✴️ Les cybercriminels considèrent l'Afrique comme un terrain d’expérimentation et un marché rentable. Investir dans la cybersécurité aujourd’hui, c’est éviter une catastrophe demain. 🚀

🚨 CyberAlerte : 🇳🇬 Achievers Science Journal (Nigeria) 🇳🇬 Compromis par FunkSec ! 🚨 Le groupe FunkSec revendique une cyberattaque contre Achievers Science Journal (achieverssciencejournal[.]org, Nigeria 🇳🇬 ), un site académique dédié à la publication scientifique. Données Exfiltrées : 🔴 64 comptes utilisateurs compromis (noms, adresses Gmail). 🔴 Informations sensibles du serveur (PHP Info, configurations, etc.). 🔴 Risque de falsification de recherches et d’usurpation d’identité. 📌 Le groupe a publié un message confirmant l’attaque et l’exfiltration des données, exposant ainsi les chercheurs et collaborateurs du journal à des tentatives de phishing et d’autres cybermenaces. 🚨Cette attaque met en lumière la vulnérabilité de nombreuses plateformes académiques en Afrique, devenues des cibles privilégiées des cybercriminels. 🗣️ Il est urgent de renforcer les mesures de cybersécurité pour protéger les données sensibles et garantir l’intégrité des institutions éducatives.

🚨🚨🚨 CyberAlerte : Un nouveau groupe ransomware frappe l'Afrique et cible même AWS AMAZON, un géant mondial !⚠️ ⚠️Un nouveau groupe de ransomware GD LockerSec, émergeant en ce mois de janvier 2025 fait trembler le cyberespace africain. En l'espace de quelques jours, ce groupe ransomware GD LockerSec a orchestré une série d'attaques ciblées contre des infrastructures critiques et des organisations stratégiques sur le continent. Cibles identifiées : ✴️ Nigeria 🇳🇬 : lnrbda.gov.ng – Site officiel de la Lower Niger River Basin Development Authority. Les données ont déjà été publiées par les attaquants. ✴️ Maroc 🇲🇦 : usmba.ac.ma – Portail de l'Université Sidi Mohamed Ben Abdellah. Les données exfiltrées seront publiées dans 3 jours si la rançon reste impayée. ✴️ Égypte 🇪🇬 : fgse.cu.edu.eg – Site de la Faculté d'études supérieures de l'environnement de l'Université du Caire. La publication des données est prévue dans 6 jours en l'absence de paiement. ✴️ ✴️ AWS (Amazon Web Services) 🌍 : aws.amazon.com – Une cible de poids mondial, dont l'impact potentiel de l'attaque est critique. La publication des données est prévue dans 11 jours . 📣 L’Afrique doit se préparer à faire face à ces nouvelles menaces pour éviter de devenir un terrain d’expérimentation pour les cybercriminels. Le temps presse !

🚨 🚨 🚨 Cyberattaque : Compromission du site cu-barika.dz 🇩🇿 🇩🇿 le site cu-barika.dz, probablement lié à des activités financières et mutualistes en Algérie 🇩🇿 , a été victime d’une cyberattaque orchestrée par le groupe FunkSec. 🔴 Voici les principaux éléments publiés par FunkSec : 🔶 Revendication complète du contrôle du site, avec extraction de données sensibles. 🔶 Invitation adressée aux équipes de cybersécurité algériennes pour signaler les failles exploitées et initier des actions correctives. 🔶 Publication de données de contact via des plateformes de communication sécurisées (Session et Tox). 🤔 FunkSec déclare ne pas demander de rançon, encourageant plutôt des dons à des causes humanitaires, et se positionne comme un groupe visant à protéger les infrastructures numériques d'Algérie et de Russie. 🟠 Cette attaque met en lumière la nécessité de renforcer la sécurité des systèmes critiques en Algérie 🇩🇿 . Une réponse coordonnée et proactive est essentielle pour limiter l’impact et prévenir de futures attaques.

🟠 Rapport de menace d'AlienVault en date du 22/01/2025 : Exploitation de la vulnérabilité Zyxel par le groupe de ransomware "Helldown" 🔴 Le groupe Helldown a exploité une vulnérabilité dans les pare-feu Zyxel (CVE-2024-29868), obtenant un accès administrateur au système. Grâce à cet accès, ils ont collecté des identifiants de domaine, créé des comptes pour une persistance accrue et compromis l'infrastructure de cibles situées en Italie et à Singapour. 🔴 Les attaquants ont utilisé des outils comme Advanced IP Scanner et Mimikatz pour découvrir le réseau et voler des informations d'authentification. 🔴 Plusieurs variantes de ransomwares ont été déployées, chiffrant des systèmes Windows et ESXi. Les attaques comprenaient l’exécution de commandes manuelles pour arrêter les processus de machines virtuelles avant leur chiffrement. 🟧 🟧 👉 Les IoC (Indicateurs de Compromission) identifiés : Adresses IP suspectes : 🔸 178[.]249[.]211[.]103 🔸 193[.]37[.]32[.]74 🔸 193[.]37[.]32[.]94 🔸 193[.]37[.]32[.]73 🔸 193[.]37[.]32[.]55 🔸 193[.]37[.]32[.]68 🔸 193[.]37[.]32[.]92 🔸 193[.]37[.]32[.]97 🔸 85[.]190[.]232[.]139 🔸 hxxp://193[.]37[.]32[.]0/24 🔸 Email: unitui57@onionmail[.]org 🟧 🟧 Hachages de fichiers malveillants : 🔸 MD5 : 2630663a9f73a85a77fbff918d402bdc 🔸 SHA-1 : f8aac544bde705a9a4e0e086a107d1200e045dd0 🔸 SHA-256 : 4ac8b5edd679c54ed5ffa3f1403e13322a175e25020c5211f6b23630f3feb4de 95d26fea78a10ee5d82d4de5e16bba8077ef038139b3c0fcf7519f2b4c813518 965047b2f573f732c66824cba2dda2309b9e8e36b74d315d845a0138fed705a6 🔶 Que faire🤔 ❓ ❓ ❓ 🔹Écrivez des règles avec ces IoC identifiés 🔹Blocage des IP dans les firewalls si possible

⭕ Comment l’IA soutient l'évolution des SOC ❓ ❓ ❓ 1️⃣ Réduction de la surcharge d’alerte : L’IA priorise les alertes critiques, réduit les faux positifs et regroupe les incidents liés pour alléger la charge des analystes. 2️⃣ Automatisation des tâches répétitives : L’IA automatise des tâches comme l’analyse de données, la corrélation d’incidents et la réponse à certaines menaces, libérant ainsi du temps pour les analystes. 3️⃣ Amélioration des décisions et de la rapidité : L’IA détecte rapidement des menaces complexes et propose ou exécute des actions défensives automatiques, réduisant les délais et limitant les erreurs humaines. 4️⃣ Apprentissage continu : Avec le temps, l’IA devient plus performante, améliorant la détection des menaces et l’efficacité globale du SOC. 5️⃣ Renforcement de la collaboration et du partage d'informations : L’IA facilite l'intégration des renseignements sur les menaces provenant de multiples sources, permettant aux équipes de collaborer efficacement et de partager des informations critiques avec d'autres SOC ou communautés de cybersécurité. 6️⃣ Adaptabilité aux nouvelles menaces : Grâce au machine learning, l’IA peut identifier des tactiques, techniques et procédures (TTP) émergentes utilisées par les attaquants, permettant une meilleure préparation face aux menaces futures. 7️⃣ Conformité réglementaire simplifiée : L’IA peut automatiser le suivi des politiques de sécurité, la gestion des audits, et la génération de rapports pour assurer le respect des normes comme le RGPD, PCI-DSS, ou ISO 27001. 8️⃣ Simulation et test de défense proactive : Les outils d’IA peuvent simuler des attaques (ex. Red Team/Blue Team) pour tester les défenses d’un SOC, identifier les vulnérabilités et améliorer la posture de sécurité. ✳️ Ces éléments soulignent davantage la polyvalence de l’IA dans la modernisation et l’optimisation des SOC. #Comment #IA #soutient #évolution #SOC

🗣️ Une campagne de spear phishing attribuée au groupe Star Blizzard (également connu sous le nom de Coldriver) utilise des QR codes pour accéder aux comptes WhatsApp de cibles hautement sensibles, selon Microsoft. 🟠 Tactiques initiales : Le groupe se faisait passer pour des experts via de faux comptes pour établir une relation, puis envoyait des liens de phishing. 🟠 Nouvelle méthode : Face à la détection accumulée de ces liens, ils utilisent désormais des QR codes . ✴️ Le QR code initial est volontairement brisé, incitant la cible à demander un lien alternatif. ✴️ Un lien raccourci redirige ensuite vers un site affichant un autre QR code. ✴️ En scannant ce dernier, la victime ajoute involontairement un appareil au compte WhatsApp ciblé, permettant au groupe d'accéder aux messages et d'utiliser des plugins pour exporter les discussions via WhatsApp Web. Mesures de protection : 1️⃣ Vérifiez les liens : Passez la souris sur les liens avant de cliquer, et analysez les URL raccourcies. 2️⃣ Inspectez les invites : Assurez-vous que les actions demandées correspondent à ce qui est attendue. WhatsApp vérifiez toujours l'ajout d'un appareil. 3️⃣ Confirmez l'identité de l'expéditeur : Utilisez un autre moyen de contact pour valider son authenticité. 🟢 Conseils : Les idées efficaces étant souvent copiées, soyez vigilant face aux nouvelles variantes de ces attaques.

🚨 Vague de cyberattaques en Afrique 🚨 Cyberattaque contre le Ministère Égyptien🇪🇬 des Transports : FunkSec exige 1 million de dollars de rançon Cette semaine, plusieurs institutions africaines ont été ciblées par des groupes ransomware : 🔴 SEOCOM Marrakech 🇲🇦 (Maroc) attaqué par le groupe FunSec. 🔴 Sharm Reef Hotel 🇪🇬 (Égypte) ciblé par le groupe Space Bears. 🔴 Intelservice 🇳🇬 (Nigeria), leader logistique pétrolier, frappé par le groupe ransomware RansomHub. 🔴 mts.gov.eg 🇪🇬, site officiel du Ministère égyptien 🇪🇬 des Transports, victime d’une attaque orchestrée par le groupe ransomware FunkSec, avec des données critiques exfiltrées. ⬛ 🟧 Nature de l'attaque : Vol de données sensibles (fichiers Excel, PDF, rapports secrets, plans de paiements, informations sur les navires et employés). ⬛ 🟧 Rançon demandée : 1 million de dollars, avec une menace de vente des données pour 50 000 dollars si le paiement n'est pas effectué. ⬛ 🟧 Délai de divulgation des données : Les données volées seront divulguées publiquement si la rançon n'est pas payée avant le 31 janvier 2025. ⬛ 🟧 Conséquences potentielles : Exposition publique de données sensibles, risques pour la sécurité maritime (mouvements et itinéraires des navires), atteinte à la confidentialité des employés et partenaires. 👉🏿 Ces attaques mettent en lumière une recrudescence des cybermenaces sur le continent. Renforçons la vigilance et la sécurité pour limiter les impacts.

🚨 🚨 Les mises à jour de sécurité de janvier 2025 : 🔶 Mises à jour de Microsoft : Le Patch Tuesday de janvier 2025 corrige 159 CVE, dont huit vulnérabilités zero-day. Trois de ces vulnérabilités sont activement exploitées, touchant des composants critiques tels que Windows Hyper-V, Microsoft Access, et Windows App Installer. 📌 Catégories de vulnérabilités : 🔸 58 vulnérabilités d'exécution de code à distance (RCE) 🔸 40 vulnérabilités d'élévation de privilèges (EoP) 🔸 22 vulnérabilités de divulgation d'informations 🔸 20 vulnérabilités de déni de service (DoS) 🔸 14 contournements de fonctionnalités de sécurité 🔸 5 vulnérabilités de spoofing ✳️ Vulnérabilités zero-day : 🔶 Trois des vulnérabilités activement exploitées concernent l'escalade de privilèges via Windows Hyper-V. D'autres vulnérabilités de sécurité touchent Microsoft Access, Windows App Package Installer et Windows Themes. ✳️ Vulnérabilités critiques : 🔶 Plusieurs vulnérabilités RCE, comme celles affectant Outlook et Remote Desktop Services, sont parmi les plus graves et doivent être corrigées rapidement. ✳️ Problèmes avec Citrix SRA : Les mises à jour de Windows de janvier 2025 peuvent échouer sur les systèmes utilisant Citrix Session Recording Agent (SRA), avec une solution temporaire pour contourner ce problème. ✳️ Mises à jour SAP et Fortinet : SAP a publié des patchs critiques pour des vulnérabilités de type "authentification incorrecte" et "divulgation d'informations". Fortinet a corrigé une vulnérabilité zero-day (CVE-2024-55591) exploitée activement, touchant plusieurs produits FortiOS et FortiProxy. 🟠 Les entreprises doivent appliquer ces mises à jour de sécurité immédiatement pour se protéger contre les exploits.