Un groupe de pirates a accédé aux serveurs de CD Projekt et a piqué tous leurs documents légaux, administratifs et comptables. Au passage, ils ont fait un tour sur leur serveur Perforce (un système de versionnage de fichiers très utilisé dans le milieu des JV car il supporte les gros fichiers sans problème comparé à Git) et ont piqué le code source de Cyberpunk 2077 et The Witcher 3.

Après coup, ils ont chiffré les données et ont posté une demande de rançon. Si CDP ne s'exécute pas, le groupe de pirates menace de balancer le tout sur Internet. CD Projekt a répondu en expliquant qu'ils sont en train de restaurer les serveurs en question grâce aux sauvegardes faites et qu'ils ne cèderont pas aux demandes. Ils ont aussi précisé que les données de joueurs ne sont pas contenues dans le hack. 

Lire la suite sur le site : [MAJ] CD Projekt pointe au RSA-2048.

Je trouvais souvent que les hackers & co étaient représenté de manière caricaturale dans la culture populaire, les films, les séries, les jeux (coucou Watch_Dogs 2), des djeun'z kikoolol au parlé rugueux, hystérisé et un brin pittoresque (voir pitoyable)... En voyant la tournure du fichier .txt annonçant a CDPK qu'ils ont été hacké jme dis que finalement la culture populaire dépeignait pas un si vilain portrait des hackers, ça sent le roxor pgm 360 noscope tout en maturité et retenu. Ça sentirais presque la sueur d'adolescent, les effluves de mountain dew, le foutre séché dans une chaussette et le bouton d'acné fraichement percé.

Bref, jme plaindrais plus jamais d'un film qui me montre les hackers comme de douloureux adolescent, talentueux certes, mais méritant une grosse claque dans la gueule pour apprendre le respect. Quand on cambriole et réclame rançon, sans forcement faire un power point en 18 feuillets, la maniere d'exposer sa réclamation est importante.

P.S. Pas cool pour CDPK qui avait pas vraiment besoin de ça, mais jpeux pas m'empêcher de sourire sur un gros jeu ayant dépeint un univers cyberpunk ou le piratage est un soucis de chaque instant... ouais c'est pas l'ironie la plus subtile ni la plus flamboyante mais quand même

Cette demande de rançon manque cruellement d'ASCII art.

On dirait que le hacker a ecrit ça vite fait entre deux parties de CSGO.

Chose interressante, chez Ars Technica ils racontent que si les attaques sont en hausse, le revenu générè par le ransomware est en baisse, car de moins en moins d'entreprises payent.
J'imagine que le groupe de hacker sera forcé de faire quelque chose des donnees volees s'ils veulent etre pris au serieux.

choo.t a écrit :
Cette demande de rançon manque cruellement d'ASCII art.

Tellement. Quand on écrit ce genre de chose al y a des formes à respecter. Tout se perd.

Ils avaient pas besoin de ça, et c'est vraiment random mais ça pourrait arriver à n'importe quelle boite / n'importe qui ; quand ça t'arrive, c'est très très très moche et tu te dis que le monde est vraiment dégueulasse.
Cela dit ça ne change pas le fait que les investisseurs misent sur la capacité de CPR à faire des bons jeux, donc si le titre va peut-être prendre un trou d'air, je pense que ça passera.

@DukeFreeman as-tu seulement vu LE film Hackers? Parce que tu sembles l'indiquer, mais en même temps je me dis que c'est pas possible xD

*baille*
Karma.

Le plus gros problème n'est certainement pas le travail à distance, mais principalement l'utilisateur, qu'il soit dans les locaux de la boite ou pas.
99% du temps, une intrusion vient d'un phishing ou d'un spear phising qui compte sur la naïveté ou l'inattention de l'utilisateur et le fait cliquer sur la première merde reçue dans sa boite mail.
Et le fait que le nombre de cas augmente, vient du simple fait que les attaques par phishing+ransomware augmentent (argent facile pour les brokers et opérateurs) et de façon complètement décorrélée avec le COVID.

Les boites ne paient pas "officiellement", mais il y a bien de grosses sommes d'argent qui transitent, et les affaires sont souvent étouffées par les autorités locales (coucou l'ANSSI).

Et il ne faut pas se laisser duper par la forme ou la qualité de la demande de rançon. Ce sont bien des groupes très organisés qui sont à la manœuvre, c'est juste que l'opérateur qui est le dernier maillon de la chaine d'attaque est souvent un hacker lambda qui utilise des outils créés par des groupes tentaculaires.
Un peu comme le dealer de shit du coin de rue (et pas très futé) qui est fourni par un plus gros réseau.

kirk.roundhouse a écrit :
Le plus gros problème n'est certainement pas le travail à distance, mais principalement l'utilisateur, qu'il soit dans les locaux de la boite ou pas.
99% du temps, une intrusion vient d'un phishing ou d'un spear phising qui compte sur la naïveté ou l'inattention de l'utilisateur et le fait cliquer sur la première merde reçue dans sa boite mail.
Et le fait que le nombre de cas augmente, vient du simple fait que les attaques par phishing+ransomware augmentent (argent facile pour les brokers et opérateurs) et de façon complètement décorrélée avec le COVID.

Les boites ne paient pas "officiellement", mais il y a bien de grosses sommes d'argent qui transitent, et les affaires sont souvent étouffées par les autorités locales (coucou l'ANSSI).

Et il ne faut pas se laisser duper par la forme ou la qualité de la demande de rançon. Ce sont bien des groupes très organisés qui sont à la manœuvre, c'est juste que l'opérateur qui est le dernier maillon de la chaine d'attaque est souvent un hacker lambda qui utilise des outils créés par des groupes tentaculaires.
Un peu comme le dealer de shit du coin de rue (et pas très futé) qui est fourni par un plus gros réseau.

Ouais enfin la première source de déplacement dans le reseau ça reste les prestataires de service externe qui justement se font souvent compromettre par ce genre d'attaques. Tu rajoutte donc 50% (chiffre sorti du chapeau magique mais qui est probablement très élevé) le personnel travaillant maintenant a distance et tu augmente significativement les points d'entrées (tu controles pas ce que fait ton employé sur son pc hors heures de travail, hors VPN/SSH)

Donc oui c'est pas la faute a COVID, mais ça y participe beaucoup.

BeatKitano a écrit :

kirk.roundhouse a écrit :
Le plus gros problème n'est certainement pas le travail à distance, mais principalement l'utilisateur, qu'il soit dans les locaux de la boite ou pas.
99% du temps, une intrusion vient d'un phishing ou d'un spear phising qui compte sur la naïveté ou l'inattention de l'utilisateur et le fait cliquer sur la première merde reçue dans sa boite mail.
Et le fait que le nombre de cas augmente, vient du simple fait que les attaques par phishing+ransomware augmentent (argent facile pour les brokers et opérateurs) et de façon complètement décorrélée avec le COVID.

Les boites ne paient pas "officiellement", mais il y a bien de grosses sommes d'argent qui transitent, et les affaires sont souvent étouffées par les autorités locales (coucou l'ANSSI).

Et il ne faut pas se laisser duper par la forme ou la qualité de la demande de rançon. Ce sont bien des groupes très organisés qui sont à la manœuvre, c'est juste que l'opérateur qui est le dernier maillon de la chaine d'attaque est souvent un hacker lambda qui utilise des outils créés par des groupes tentaculaires.
Un peu comme le dealer de shit du coin de rue (et pas très futé) qui est fourni par un plus gros réseau.

Ouais enfin la première source de déplacement dans le reseau ça reste les prestataires de service externe qui justement se font souvent compromettre par ce genre d'attaques. Tu rajoutte donc 50% (chiffre sorti du chapeau magique mais qui est probablement très élevé) le personnel travaillant maintenant a distance et tu augmente significativement les points d'entrées (tu controles pas ce que fait ton employé sur son pc hors heures de travail, hors VPN/SSH)

Donc oui c'est pas la faute a COVID, mais ça y participe beaucoup.

Sauf que c'est faux. Les cibles visées sont presque toujours le personnel interne. Et le "patient zéro" est toujours un interne.
Mais tu veux peut être parler du déplacement latéral suite à la compromission d'une société de prestation (comme SOPRA par exemple).
Ce déplacement latéral ne se fait pas via le réseau ou les interconnexion du SI, puisque les clients coupent tous les liens (qui sont déjà filtrés de base).
Mais se fait par récupération des annuaires et liste de contacts, pour relancer du spear phishing en se faisant passer pour de la correspondance légitime, à destination des clients.

kirk.roundhouse a écrit :
Le plus gros problème n'est certainement pas le travail à distance, mais principalement l'utilisateur, qu'il soit dans les locaux de la boite ou pas.
99% du temps, une intrusion vient d'un phishing ou d'un spear phising qui compte sur la naïveté ou l'inattention de l'utilisateur et le fait cliquer sur la première merde reçue dans sa boite mail.

A noter que je suis particulièrement inquiet de la qualité en hausse de ces attaques.
L'orthographe/grammaire s'améliorent, les adresses email utilisées deviennent beaucoup plus malignes et difficiles à vérifier, etc.

J'en ai reçu un ce matin très bien foutu intitulé "You have six(6) new sharepoint documents", avec un bon HTML, et dont l'adresse d'expédition était no_reply46991.sharepoint@prod_exchange.net.
Honnêtement, faut être suffisamment vigilant pour pas se faire avoir ; je dis pas qu'il faut être un génie, mais... 100% des employés ne sont pas infaillibles xD
On est loin des adresses pourraves que les phisheurs prenaient y'a encore 1 ou 2 ans et qui ne ressemblaient strictement à rien et qui étaient faciles à flag. Là, tout de suite, je pourrais acheter l'extension gouv-public.fr ou .net (dispos) et envoyer des emails à partir de relance@ssi.gouv-public.fr ; et c'est juste un exemple!

La question est : est-ce-que si tu reçois un courrier papier chez toi, te balançant une facture à payer ou un document ultra important à remplir et à retourner avec ton numéro de carte bleu alors que tu ne l'as pas demandé... est-ce-que tu le ferais ?

Non.

Pourquoi les gens le font par email ? Parce que peu d'entreprises font de la prévention auprès de leurs employés et que côté "privé" les gens qui sont sensibles ou conscients de ça sont peu.

Comme pour la pub et tout courrier papier que je n'ai pas sollicité, je fonctionne pareil avec le net... si je reçois un courrier d'une adresse inconnue, que je ne fais pas la connexion immédiate avec quelque chose que je connais ou que j'ai demandé c'est direct supprimé et / ou mis au spam.

Aussi... le manque de rigueur et de méfiance joue beaucoup. J'ai la boite d'une amie qui s'est fait piratée et verrouiller leur système de prod suite à ransomware car un stagiaire bossait sur le traitement des factures. Sa tâche était de prendre les mails entrant et de traiter les factures. Comme la boite travaille à l'international, un mail est arrivé en mode "Here's the invoice".

Le pauvre stagiaire a ouvert le fichier .doc et dans la minute qui suivait le réseau était par terre. Comment empêcher ce genre de chose ? Juste avec des règles de base :
- Tu fais bosser ces gens dans une sandbox extraite du réseau de prod.
- Tu informes les gens de ce que tu attends : "Quand on a une facture, le nom du projet doit être présent dans l'email etc etc"
- Tu sensibilises les gens à la structure d'un échange classique avec tes clients pour qu'ils soient plus à même de soupçonner un email frauduleux
- Tu utilises des logiciels gratuits qui lisent les documents pdf (ou doc ou peu importe) pour leur contenu mais n’exécutent pas les macros qu'un adobe reader exécuterait en temps normal par exemple.
- ...

Il existe des solutions... sauf que les entreprises pensent que c'est toujours aux autres que ça arrive. Généralement les entreprises qui se sont retrouvées avec ce genre de problématiques mettent en place les solution après coup. C'est tellement violent et ça peut tellement mettre en danger ta boite qu'ils évitent que ça se reproduise... mais pour certaines, le mal est déjà fait.

kirk.roundhouse a écrit :

Sauf que c'est faux. Les cibles visées sont presque toujours le personnel interne. Et le "patient zéro" est toujours un interne.
Mais tu veux peut être parler du déplacement latéral suite à la compromission d'une société de prestation (comme SOPRA par exemple).
Ce déplacement latéral ne se fait pas via le réseau ou les interconnexion du SI, puisque les clients coupent tous les liens (qui sont déjà filtrés de base).
Mais se fait par récupération des annuaires et liste de contacts, pour relancer du spear phishing en se faisant passer pour de la correspondance légitime, à destination des clients.

Y'a QU'UNE manière de pénetrer un reseau mais pas tout le temps. Je note pour mes prochains pentesting, surtout la règle internationale sur comment on opère un déplacement latéral. Ah et le patient zéro c'est toujours sur son temps de travail qu'il se fait pwn sa machine. Ça aussi c'est écrit dans le manuel international du piratage. Bref si y'a un truc que j'ai appris c'est qu'avoir des certitudes sur comment les choses n'arrivent jamais en infosec c'est être déjà au chomage.

das_Branleur a écrit :
A noter que je suis particulièrement inquiet de la qualité en hausse de ces attaques.
L'orthographe/grammaire s'améliorent, les adresses email utilisées deviennent beaucoup plus malignes et difficiles à vérifier, etc.

J'en ai reçu un ce matin très bien foutu intitulé "You have six(6) new sharepoint documents", avec un bon HTML, et dont l'adresse d'expédition était no_reply46991.sharepoint@prod_exchange.net.
Honnêtement, faut être suffisamment vigilant pour pas se faire avoir ; je dis pas qu'il faut être un génie, mais... 100% des employés ne sont pas infaillibles xD
On est loin des adresses pourraves que les phisheurs prenaient y'a encore 1 ou 2 ans et qui ne ressemblaient strictement à rien et qui étaient faciles à flag. Là, tout de suite, je pourrais acheter l'extension gouv-public.fr ou .net (dispos) et envoyer des emails à partir de relance@ssi.gouv-public.fr ; et c'est juste un exemple!

La règle numéro 1 en infosec c'est de ne jamais se croire à l'abri. Suffit d'une mauvaise nuit de sommeil, d'une exaspération, d'un mauvais timing voire d'un phishing qui touche juste pour se faire péter le cul, même si on est au courant des pratiques du secteur.
La formation du personnel est importante, mais y'aura toujours quelqu'un pour tomber dans le panneau, et c'est pas forcément Josiane de la compta.

@hohun : c'est bien ce que je dis... Et c'est bien ce qui me terrifie. Je te parle même pas de ma daronne -_-

@__MaX__ : donc tu reçois un mail d'un expéditeur inconnu, c'est poubelle direct?

BeatKitano a écrit :

kirk.roundhouse a écrit :

Sauf que c'est faux. Les cibles visées sont presque toujours le personnel interne. Et le "patient zéro" est toujours un interne.
Mais tu veux peut être parler du déplacement latéral suite à la compromission d'une société de prestation (comme SOPRA par exemple).
Ce déplacement latéral ne se fait pas via le réseau ou les interconnexion du SI, puisque les clients coupent tous les liens (qui sont déjà filtrés de base).
Mais se fait par récupération des annuaires et liste de contacts, pour relancer du spear phishing en se faisant passer pour de la correspondance légitime, à destination des clients.

Y'a QU'UNE manière de pénetrer un reseau mais pas tout le temps. Je note pour mes prochains pentesting, surtout la règle internationale sur comment on opère un déplacement latéral. Ah et le patient zéro c'est toujours sur son temps de travail qu'il se fait pwn sa machine. Ça aussi c'est écrit dans le manuel international du piratage. Bref si y'a un truc que j'ai appris c'est qu'avoir des certitudes sur comment les choses n'arrivent jamais en infosec c'est être déjà au chomage.

Le pentesting c'est bien utile, en phase de développement d'un projet ou sur son évolution. Mais ce n'est pas la vraie vie, ni celle du monde du hacking.
Un pentest c'est une prestation commandité et facturée. Le pentesteur a tous les éléments à sa disposition et le financement nécessaire pour exploiter une faille. La seule variable qui lui manque est souvent le temps.

Le hacker n'a que le temps. Et c'est pour ça qu'il va à l'essentiel, et utilise les méthodes les plus simples et les moins onéreuse pour arriver à ses fins. Et ce ne sont pas celles de l'APT qui font mouiller le slip des CISO. Ce sont les cryptominer, les botnets et les ransomwares.

De temps en temps, on a une attaque à cause d'un zero day, ou un patch non installé sur un équipement en frontal. Mais c'est négligeable.

das_Branleur a écrit :
@__MaX__ : donc tu reçois un mail d'un expéditeur inconnu, c'est poubelle direct?

Si j'ai pas "demandé" à recevoir ce message oui. Comprendre :
- Si c'est pas identifiable facilement concernant mes sources connues (par exemple mes sites web avec un sujet très formaté)
- Si ça fait pas partie de mes "abonnements" ( commerce en ligne, communautés... )
- Si je ne peux pas immédiatement connecter le mail à une démarche que j'ai faite
- Si j'ai le moindre doute sur le réel objectif du mail ( contenu, syntaxe, adresse suspicieuse )

Ca dégage direct.

C'est une pollution incessante les mails... et franchement, je pars du principe que si c'est une vraie personne qui cherchait à me contacter et qu'elle n'a pas pris le temps de rédiger un mail compréhensible pour que je lui réponde. Je vois pas pourquoi je perdrais mon temps à tenter à tenter de le comprendre. Au pire, elle réitéra.

Y'a des gens sur les forums ils font du mansplaining ils sont même pas au courant.

en fait moi je m'inquiete pas trop pour ma daronne.

Parceque vous comparez les utilisateurs dans leur activité personnelle a ceux qui opèrent dans le cadre de leur activité professionnelle en oubliant un élément crucial : la chance et le nombre d'opportunité.
Toutes les activitées de fishing que vous décrivez se basent sur le fait de faire une communication crédible, mais surtout de tombez sur LA personne pour qui ca correspond a ce qu'elle s'attend a recevoir.

Je ne m'inquiète pas tant que ca pour ma daronne, parceque qu'aprés l'avoir un peut sensibilisée, ce n'est pas dur du tout pour elle de trouver louche de recevoir des factures en anglais, voir des factures tout court. Pour elle, le nombre de truc qu'elle peut recevoir par mail est trés réduit et c'est trés facile de se méfier de ce qu'elle ne reconnait pas instantanément. Et elle peut toujours ne pas ouvrir dans le doute et m'envoyer un SMS pour me demander.

Pour la secrétaire de la petite boite de BTP pour laquelle j'ai bossé par contre, c'est normal de recevoir 25 document par jours de fournisseurs et client qu'elle ne connait pas tous par coeur, et qui changent en permanence. C'est bien plus facile pour un hacker de tomber sur LE fishing qui ressemble exactement a un truc qu'elle reçoit régulièrement et endormir sa méfiance.

Rien que pour ca, il y aura toujours plus de fishing réussi sur des entreprise que des particuliers.

__MaX__ a écrit :
Qu'il gicle direct tout ce qui est même trés vaguement chelou.

A ben voila, exactement : J'ai apris ma darone a faire ca, en gros. Mais je ne peut pas demander a la secrétaire de fonctionner comme ca. Les client / fournisseur manquent parfois singulièrement de professionnalisme dans leur com', et il faut quand même les traiter.

Oui, si on prend 1mn pour bien lire le mail et peser la spammabilité, ok.
Parce que jeter direct sans savoir de quoi il s'agit... T'as pas idée le nb de "bons" mails que j'ai reçu sans connaître l'expéditeur - des contacts de contacts, ci ou ça...

Par contre, le spam, ouais, gros gros gros problème et ça me rend dingue.
Je peux pas supporter les "séquences" mail qui te tutoient et font genre t'es un futur copain pour te vendre un vieux service de merde, puis qui te relance 5 fois en mode "Tu n'as peut pas reçu mon précédent email, je me permets de m'assurer qu'un ours ne t'a pas attaqué haha ;)" : va mourir.

@kakek voilà, c'est le problème. Tu peux pas tout jeter direct, tu dois quand même t'assurer de la provenance de certains trucs -_-