Des hackeur pro-Ukrainien ce proclament être a l'origine de l'attaque DR.Web - Version imprimable +- TISI (https://www.tisi-fr.com/board) +-- Forum : Gɛɛk Zønɛ (https://www.tisi-fr.com/board/forumdisplay.php?fid=3) +--- Forum : Sécurité (https://www.tisi-fr.com/board/forumdisplay.php?fid=7) +--- Sujet : Des hackeur pro-Ukrainien ce proclament être a l'origine de l'attaque DR.Web (/showthread.php?tid=4659)

Des hackeur pro-Ukrainien ce proclament être a l'origine de l'attaque DR.Web - Omnous_Luminae - 10-10-2024 Un groupe de hacktivistes pro-ukrainiens a revendiqué la responsabilité de la brèche de sécurité en septembre chez l'entreprise russe de cybersécurité Doctor Web (Dr.Web). Le mois dernier, Dr.Web a confirmé que son réseau avait été piraté le 14 septembre, ce qui l'a obligé à déconnecter tous ses serveurs internes et à arrêter la diffusion des mises à jour de la base de données des virus pour ses clients pendant qu'elle enquêtait sur l'incident. Dans un post publié mardi sur Telegram, les hacktivistes pro-ukrainiens de DumpForums ont affirmé être responsables du piratage et avoir accédé aux systèmes de développement de Dr.Web. Ils auraient eu accès au réseau de Dr.Web pendant environ un mois, ce qui leur aurait permis de voler environ dix téraoctets de données, y compris les bases de données clients, à partir du GitLab, des e-mails, de Confluence et d'autres serveurs compromis de l'entreprise. « Nous avons réussi à pirater et à télécharger le serveur GitLab d'entreprise où étaient stockés les développements et projets internes, le serveur de messagerie d'entreprise, Confluence, Redmine, Jenkins, Mantis, RocketChat – des systèmes où le développement était réalisé et les tâches discutées », a déclaré DumpForums. Le serveur PostgreSQL de Dr.Web aurait été piraté.   Le serveur PostgreSQL piraté (BleepingComputer)   L'équipe de recherche sur les menaces de ReliaQuest affirme que DumpForums est un "hub en ligne pour les hacktivistes et les acteurs de cybermenaces patriotiques" depuis au moins fin mai 2022. Leurs efforts se concentrent sur le soutien "de l'effort de guerre ukrainien contre la Russie" via des attaques DDoS et des fuites d'informations volées au gouvernement russe et à des entités privées. Dr.Web nie les accusations de vol de données : Aujourd'hui, Dr.Web a publié une déclaration en réponse à ces affirmations, confirmant à nouveau la brèche de septembre, mais affirmant que l'attaque a été "rapidement stoppée". La société russe anti-malware a ajouté qu'elle ne paiera pas la rançon exigée et a nié que des informations sur les clients aient été volées lors de l'attaque. « Le principal objectif était d'exiger une rançon de notre société, mais nous ne négocions pas avec les attaquants. Pour le moment, les forces de l'ordre mènent une enquête, et nous ne pouvons donc pas donner de commentaires détaillés pour ne pas interférer avec l'enquête », a déclaré Dr.Web dans un post Telegram mercredi. « Les informations publiées sur Telegram sont en grande partie fausses, les données des utilisateurs n'ont pas été affectées. Ni les mises à jour de la base de données des virus ni les mises à jour des modules logiciels ne présentent de menace pour la sécurité de nos utilisateurs. » Dr.Web n'a pas encore répondu à plusieurs e-mails envoyés par BleepingComputer pour demander plus d'informations sur la brèche et les affirmations de DumpForums. Dr.Web est la plus récente entreprise russe de cybersécurité à avoir été ciblée et piratée lors d'une cyberattaque. En juin, les hackers pro-ukrainiens Cyber Anarchy Squad ont piraté l'entreprise russe de sécurité informatique Avanpost, affirmant avoir divulgué 390 Go de données volées avant de chiffrer plus de 400 machines virtuelles. Un an plus tôt, en juin 2023, Kaspersky a également révélé que des attaquants avaient infecté des iPhones sur son réseau avec des logiciels espions via des exploits iMessage sans clic, ciblant des failles zero-day d'iOS dans le cadre d'une campagne désormais connue sous le nom d'« Opération Triangulation ». RE: Des hackeur pro-Ukrainien ce proclament être a l'origine de l'attaque DR.Web - EnZ0 - 10-10-2024 Ça montre bien que même les experts en cybersécurité ne sont pas à l'abri. Ce qui me frappe, c'est le temps que les hackers auraient passé dans le réseau... un mois, c'est énorme ! Ça soulève des questions sur la détection des intrusions. J'ai creusé un peu et il semblerait que ce type d'attaque contre des entreprises russes de cybersécurité soit devenu plus fréquent ces derniers temps. Par exemple, Kaspersky a aussi été ciblé l'année dernière par une opération appelée "Triangulation" qui exploitait des failles zero-day d'iOS (merci qui ?). Ce qui est fascinant, c'est de voir comment la cybersécurité devient un véritable champ de bataille géopolitique. Les groupes comme DumpForums semblent avoir des motivations politiques claires. Une chose qui m'intrigue : comment Dr.Web compte-t-elle restaurer la confiance de ses clients après un tel incident ? C'est loin d'être gagner !