à La Rochelle et Annecy on ne chante pas!

Entre Noël et le jour de l’an, la ville de La Rochelle et la ville d’Annecy ont été victimes de cyberattaques. Malgré la paralysie des services et l’affichage des preuves de piratage, les deux administrations ont choisi de ne pas payer de rançon pour accéder aux données.

C’est la nouvelle star des malwares, les «ransomwares». Les hackers n’endommagent ni ne volent plus de données, ce qui les motive maintenant, c’est de l’argent, et pour débloquer une cyberattaque, ils exigent une rançon, d’où le terme «ransomware» ou «ransomware». vécu plus d’une semaine.

Lundi, les hackers du groupe Netwalker ont revendiqué la responsabilité de l’attaque, et il ne sera pas surprenant d’apprendre qu’ils sont russes. Pour prouver qu’ils étaient en fait les auteurs de cette cyberattaque, ils ont téléchargé des visuels comme preuve des données «récupérées». Cité par France Bleu, celui choisi garantit qu’il ne s’agit que « d’une capture d’écran de fichiers qui ne signifie pas que les informations qu’il contient sont extraites et exploitées ».

Cependant, les hackers demandent une rançon et ils menacent de publier les données «récupérées» sur une trentaine de serveurs de la ville. Leur ultimatum est de 14 jours, et un compte à rebours est mis sur les serveurs lorsque les employés de la mairie tentent d’accéder aux données. «Nous ne savons pas exactement ce qu’ils ont pris et nous n’avons actuellement aucune preuve qu’ils détiennent des données importantes», précise le Parisien des techniciens chargés de rétablir l’accès aux différents services, comme le civil statut, DRH ou services généraux.

Ils menacent de publier les données «récupérées»

Du côté de la ville, nous avons porté plainte et une enquête judiciaire est en cours. Et si jamais les données étaient vraiment mises en ligne, la mairie assure qu’elle avertira ses citoyens, mais dans l’immédiat, l’objectif n’est pas de céder au chantage. Un accident qui touche aussi l’urbanité d’Annecy, et bien que les 1.200 fonctionnaires n’aient plus accès à leurs emails et que les services n’aient pas été rétablis, nous avons également choisi de ne pas céder au chantage, et nous sommes surtout étonnés que être la cible des pirates.

Ceci est d’autant plus dommageable en cette période de pandémie que les services ne sont proposés qu’en ligne, notamment pour les personnes âgées. À l’heure actuelle, cette attaque n’a pas été revendiquée, mais le modus operandi semble être identique. D’ailleurs, le groupe Netwalker avait déjà frappé en France plus tôt, et cet été il était soupçonné d’être à l’origine de la cyberattaque contre les compagnies d’assurance MMA.

Netwalker avait déjà frappé en France plus tôt

Plusieurs grandes entreprises françaises avaient subi des attaques de la part de ce groupe russophone, et l’un des points d’entrée était un PC sous Windows 7, qui n’avait pas été mis à jour. Qu’il s’agisse de logiciels ou de matériel, les pirates sont plus que souvent heureux d’exploiter des vulnérabilités non corrigées. Autre passerelle: le courrier électronique via le phishing et la période des fêtes est la raison idéale pour envoyer de fausses cartes de vœux qui cachent des logiciels malveillants.

Les pirates de SolarWinds ont infiltré les systèmes en septembre 2019

CrowdStrike a découvert un autre malware impliqué dans l’attaque de SolarWinds, appelé Sunspot. Il a permis au code Sunburst d’être inséré dans le code source d’Orion, le logiciel SolarWinds compromis par des pirates.

SolarWinds compromis par des pirates.

Un par un, les mystères restants du piratage d’entreprise de SolarWind ont été résolus. CrowdStrike, l’une des sociétés chargées d’enquêter sur l’incident, a publié le 11 janvier un rapport sur des logiciels malveillants jusque-là inconnus impliqués dans la cyberattaque. Ce malware appelé « Sunspot » serait le premier maillon de l’attaque avant le désormais célèbre « Sunburst ».

Il aurait été introduit sur le serveur d’une entreprise dès septembre 2019. Plus précisément, Sunspot a infecté le moteur de production de SolarWind, le système responsable de l’assemblage des logiciels du groupe. Son objectif: espionner l’usine du logiciel Orion, le logiciel de gestion de réseau de l’entreprise.

Comme le note ZDNet, après une phase d’observation, Sunspot a inséré le code nécessaire pour créer le cheval de Troie Sunburst dans le code source d’Orion. Résultat: entre mars et juin 2020, si un client SolarWinds a installé la mise à jour logicielle, Sunburst s’est installé via le même canal. Ce dernier a ouvert une porte aux serveurs des victimes – plus de 18 000 organisations – dans laquelle les hackers pouvaient pénétrer.

Ils ont ensuite dû déposer manuellement un troisième logiciel malveillant, encore plus puissant, appelé « Teardrop », sur des systèmes proches des organisations qu’ils avaient en vue. Ils ont continué à espionner 250 organisations, dont de nombreux départements et agences du gouvernement américain: armée, renseignement, énergie… Ce sont des domaines critiques compromis par des hackers, « probablement » russes selon les autorités américaines.

L’attaque sur SolarWinds a donc duré de septembre 2019 à juin 2020 et n’a été découverte qu’en décembre 2020. C’est un constat d’échec pour l’entreprise victime, qui a désormais confié l’amélioration. de sa sécurité aux grands noms du secteur.

De leur côté, les enquêteurs ont presque atteint le bout de la chaîne des attaques. Il ne leur reste plus qu’à comprendre comment les pirates ont réussi à implémenter Sunspot sur le moteur de production SolarWinds. Les hypothèses sont répandues, mais cet élément reste un mystère pour le moment. Ensuite, ils devront décider qui a organisé l’attaque: les Russes, mais qui exactement? Certains médias, dont le Washington Post, évoquent APT29, surnommé Cozy Bear, un groupe de hackers d’élite affiliés à l’une des agences de renseignement russes.

Et une cyberattaque pour Fareva « abricant pharmaceutique ».

La société Fareva, qui travaille principalement sur la commercialisation d’un vaccin contre Covid-19, est paralysée depuis le 15 décembre par une cyberattaque de type ransomware. On espère que les systèmes seront à nouveau utilisés avant la fin de la semaine.

Leader mondial de la sous-traitance industrielle

Le sous-traitant pharmaceutique Fareva lutte contre les ransomwares depuis le 14 décembre, et le redémarrage de son unité de production se fait lentement, selon les informations de France Bleu Touraine.

L’attaque a été annoncée dans la presse le 17 décembre: selon Les Echos, c’est le centre de données de l’entreprise basé à Savigny-le-Temple qui a été touché. En effet rebond, plusieurs usines du groupe spécialisées dans le transport et le conditionnement de produits pharmaceutiques et cosmétiques ont été fermées par l’attaque, selon le quotidien. Un reportage que la direction termine avec Les Echos, indiquant que seuls les sites français seraient concernés par l’attaque.

La direction du groupe a alors confirmé que la réponse rapide de l’équipe informatique avait permis de limiter les pertes de données et prévoyait le retour des sites de production à partir du 4 janvier. Mais selon France Bleu Touraine, citant des sources syndicales, les machines de l’usine d’Amboise sont toujours restées immobiles lundi, la quasi-totalité des ouvriers de l’usine étant en emploi de courte durée depuis le 22 décembre. La reprise progressive de l’activité sur place est désormais attendue ce week-end.

Fareva est une société basée au Luxembourg. Il a notamment été choisi par le groupe allemand CureVac pour conditionner le vaccin contre Covid-19. Pour le président du groupe Bernard Fraisse, le lien entre l’attentat et l’annonce serait « évident ».

Et l’hôpital de Hyères?

Outre Fareva, plusieurs hôpitaux français ont été victimes de cyberattaques en décembre: le centre hospitalier d’Albertville-Mûtier en Savoie a annoncé avoir été touché par un ransomware le 22 décembre. Le centre hospitalier a pu continuer à fonctionner dans un accident, mais plusieurs services et équipements ont été rendus inaccessibles par l’attaque. Plus tôt ce mois-ci, c’était l’hôpital de Narbonne qui avait déclaré avoir été victime d’une cyberattaque, mais cette fois, il s’agissait d’exploiter la puissance de calcul de ses équipements pour extraire de la crypto-monnaie. Si les dégâts ont été limités, les mesures prises pour désinfecter le système d’information ont contraint les salariés de l’entreprise à travailler plusieurs jours sans accès à Internet.

En décembre, les agences de cybersécurité française et allemande ont publié une déclaration commune mettant en garde le secteur contre la recrudescence des attaques contre les organismes de santé.

Le secteur de la santé a été confronté à plusieurs attaques en décembre 2020. L’attaque contre l’Agence européenne des médicaments au début du mois a permis à des tiers non autorisés d’accéder aux documents connexes. l’approbation des vaccins. IBM a également signalé une augmentation des attaques de phishing ciblant les entreprises chargées de fournir des vaccins. À l’échelle mondiale, Checkpoint confirme une tendance similaire, indiquant qu’il a connu une augmentation de 45% des attaques ciblant le secteur de la santé depuis novembre 2020.

L’Hôpital d’Albertville subit une cyberattaque


Le centre hospitalier Albertville-Moûtiers en Savoie est victime d’une cyberattaque depuis le lundi 21/12/2020. Elle a endommagé ses serveurs informatiques.

Le directeur et le directeur délégué, Guy-Pierre Martin (à droite) et Pierre Idée

Quelques jours après l’hôpital de Narbonne, qui a été touché par une cyberattaque infectant ses serveurs, le Centre Hospitalier Albertville-Moûtiers (CHAM) en Savoie a de nouveau été confronté à un virus informatique qui a endommagé son système d’information. Découvert le lundi 21 décembre, vers 18 h. 4, la cyberattaque provoquée par un virus «ransomware» rendu inaccessible «à un certain nombre d’équipements, de serveurs, de logiciels et d’une partie du réseau informatique». Comme l’a indiqué l’hôpital dans un communiqué de presse mercredi. Outre les hôpitaux d’Albertville et de Moûtiers, deux EHPAD ont également été , soutenu par CHAM, concerné.

Dès que l’attaque a été découverte, tout le réseau informatique de l’hôpital a été fermé, rendant impossible l’accès aux dossiers des patients et aux dossiers de traitement. «C’est très compliqué pour tous les services, nous sommes limités par l’ordinateur, et ça risque de durer», explique un officier hospitalier.

Les connexions informatiques à l’hôpital voisin de Chambéry, dont la gestion est partagée avec le centre hospitalier d’Albertville-Moûtiers, ont été suspendues à partir de lundi pour éviter de propager le virus. «Nous avons été informés lundi après-midi qu’une attaque assez grave avait eu lieu à Albertville et que tous les systèmes centraux de communication avaient été cryptés par le virus», explique un membre du personnel de l’hôpital de Chambéry.

Malgré sa virulence, l’attaque ne mettrait pas en péril le fonctionnement de l’établissement. La protection respiratoire et les salles d’opération, la plateforme d’imagerie et les urgences « fonctionnent normalement », précise l’hôpital.

Le journal Ouest France piraté par un ransomware

Le groupe Ouest France, qui a été perturbé il y a quelques jours par un « virus mystérieux », a en fait été cyber-attaqué par un ransomware.

ZATAZ peut confirmer que le groupe de presse français Ouest France, cyberattaque du samedi 21 novembre, était du groupe de hackers Egregor. Ces opérateurs de ransomwares malveillants confirment cette intrusion en communiquant, à travers la divulgation de preuves, l’intrusion et les otages 2.0

Le journal Ouest France piraté par un ransomware

Ces terroristes numériques ont téléchargé un fichier de plus de 80 Mo (1% de ce qu’ils auraient volé) pour signaler ce piratage.

Un hack qui a abouti au blocage de nombreuses machines au sein du groupe de presse et à l’obligation de réduire la publication du journal. Ouest France n’a pu sortir qu’une seule édition (au lieu de neuf) le dimanche 22 novembre.

La direction du journal n’a alors déclaré aucune fuite de données et n’avoir vu aucune demande de rançon. LIEN

Les groupes derrière les ransomwares appellent les victimes qui les ignorent

Les cybercriminels continuent de développer à un rythme leurs méthodes intimidantes de pression sur leurs victimes. Après les menaces de fuite que le marketing téléphonique …

Les groupes derrière les ransomwares appellent les victimes qui les ignorent

« Si vous voulez arrêter de perdre votre temps et récupérer vos données cette semaine, nous vous recommandons de discuter de la situation avec nous sur le chat, sinon les problèmes avec votre réseau ne finiront jamais. » Depuis août, des firmes qui ont sacrifié des rançongiciel qui ne contactent pas leurs rançonneurs ont reçu de tels appels, rapporte ZDNet.

Sur la ligne, un agent d’un centre d’appels payé par des cybercriminels a été constamment trouvé. Il explique que les hackers soupçonnent qu’une société de cybersécurité est impliquée dans la gestion de l’incident, puis cela se transforme en menaces. Cette demande vise à mettre encore plus de pression sur les équipes de sécurité déjà débordées pour tenter de favoriser la restauration du réseau de rançon.

Virus informatique Hyères

Les noms les plus connus du secteur comme Conti, Ryul ou Maze (qui a depuis cessé ses activités) ont déjà utilisé cette méthode. S’il n’est pas complètement nouveau, il est systématisé pour la première fois. Selon les spécialistes interrogés par ZDNet, il semble que les hackers utilisent tous le même centre d’appels.

CHOISIR D’IGNORER L’APPLICATION DE LA SOLUTION EST DIFFICILE
Une récupération et un nettoyage complets d’un réseau infecté par un ransomware peuvent prendre des jours, voire des mois, en fonction de la propagation du malware et de l’architecture du réseau. Pendant cette période, la société offreuse fonctionnera au ralenti, ce qui affectera de manière irréversible son chiffre d’affaires.

Il peut donc être tentant de payer la rançon, même si elle est élevée (de quelques centaines de milliers d’euros à des dizaines de milliers de millions d’euros pour les grands groupes), car ce choix peut être économiquement avantageux. Si elle se conforme aux demandes des hackers, elle a la possibilité de récupérer son système en peu de temps, et en plus, certaines assurances couvrent une partie des frais.

Mais choisir de payer la rançon signifie faire confiance aux criminels, risquer de laisser des restes de logiciels malveillants sur votre système et, surtout, remplir la force de frappe du gang derrière les attaques, qui se développent à un rythme alarmant.

Pour mettre leurs victimes sous pression, les voyous ne cessent d’innover depuis deux ans. Ils ont commencé à menacer d’avertir les journalistes afin d’attirer l’attention sur l’attaque et de nuire à la réputation des victimes auprès de leurs clients. Ensuite, ils ont commencé leurs propres blogs où ils ont menacé de publier des échantillons de données volées aux victimes.

Ils commencent par télécharger quelques mégaoctets comme preuve de leurs méfaits et peuvent aller jusqu’à publier toutes les données volées. Et ce n’est pas tout: si la victime s’expose, les cybercriminels n’hésiteront pas à doubler la rançon après le temps imparti.

Solutions de sécurités informatique

Ces derniers mois, les opérateurs de ransomwares ont pris la liberté de tirer de nouveaux threads. Ragnar Locker a acheté des publicités Facebook pour décourager la communication de sa victime Campari. De son côté, Egregor a codé un script dans son malware pour imprimer automatiquement sa note de rançon sur des imprimantes liées à des appareils infectés. Et maintenant, d’autres gangs font face au harcèlement téléphonique. Alors, où s’arrête l’escalade des méthodes utilisées par les cybercriminels?

Ransomware: un problème infinie?

Se défendre contre cette menace en constante évolution n’est pas une mince affaire, mais un bon point de départ est de comprendre où se trouvent les points faibles et comment ils sont exploités.

Ransomware: un problème infinie?

Tous les experts conviennent que les cybermenaces se sont intensifiées ces derniers mois avec l’augmentation des demandes de rançon et des tactiques que l’on peut qualifier d’impitoyables.

Personne n’est épargné par des organismes publics comme les villes de Vincennes et Aulnoye-Aymeries il y a quelques semaines aux plus grandes entreprises privées comme Bouygues Construction, CMA-CMG ou Sopra-Steria.

Les cybercriminels parviennent à trouver de nouvelles façons de contourner les défenses des entreprises grâce à des attaques plus sophistiquées et ciblées. Se défendre contre cette menace en constante évolution n’est pas une mince affaire, mais un bon point de départ est de comprendre où se trouvent les points faibles et comment ils sont exploités.

Les personnes restent le maillon faible de la cybersécurité
Il suffit d’un clic sur un lien de phishing pour faire le travail: les défenses du réseau sont brisées et les logiciels malveillants sont infiltrés.

Renforcer sa défense contre la négligence humaine nécessite non seulement de former les employés à la sensibilisation à la cybersécurité, mais aussi d’introduire des outils pour filtrer les contenus malveillants avant qu’ils ne causent des dommages. Mais comme la cybersécurité n’est pas une science exacte, même les plans les mieux conçus doivent être continuellement revus et adaptés afin de ne pas être dépassés par le rythme fou du développement des cybermenaces.

Prenons, par exemple, l’augmentation massive du télétravail pendant la pandémie.
Ce nouveau «standard» offre aux hackers une toute nouvelle audience et une cible facile qui n’ont pas l’habitude de se protéger des menaces. Ces nouvelles habitudes de travail ont conduit à une augmentation des attaques RDP (Remote Desktop Protocol) de Microsoft dans le monde, selon le fournisseur de sécurité Kaspersky.

Les mails comme porte d’entrée

Les cybercriminels sont bien conscients que chaque industrie présente des vulnérabilités spécifiques. Ils exploitent ces vulnérabilités en passant de campagnes de phishing massives à des attaques plus ciblées. Par exemple, certaines se concentrent sur des entreprises individuelles, généralement de haut niveau, car elles ont souvent beaucoup à perdre, tandis que d’autres ciblent un secteur particulier en utilisant des logiciels malveillants adaptés aux technologies utilisées dans ce secteur.

Dans certains cas, ils utilisent les deux, comme lors de la récente attaque Honda. Le piège dans ce cas était une variante du ransomware Snake qui pouvait à la fois désactiver les mesures de protection et cibler les systèmes d’exploitation SCADA industriels utilisés dans la fabrication de véhicules.

Les attaques de ransomwares deviennent rapidement une «entreprise» de plus en plus diversifiée. Les victimes risquent désormais de voir leurs données sensibles collectées lors d’une attaque de cryptage. Il devient également de plus en plus clair que les ransomwares ciblent régulièrement les systèmes de sauvegarde et de reprise après sinistre ainsi que les données en temps réel. Du moins en apparence car il faut du temps pour vérifier l’intégrité de ces défenses …

Suivez l’actualité de ransomware

Que peut faire une entreprise pour se protéger de ce qui est aujourd’hui l’une des plus grandes menaces pesant sur son système informatique? Il n’y a pas de réponses faciles ou d’outils simples qui peuvent résoudre le problème.

Plutôt qu’une solution miracle, c’est plutôt une approche méthodologique qu’il faut privilégier: sensibiliser et éduquer les utilisateurs finaux sur la sécurité, mettre à jour les outils anti-malware sur les postes de travail et l’infrastructure, et s’assurer que les stratégies et outils de sauvegarde sont suffisamment robustes pour faire face aux menaces contre les ransomwares et permettre un retour rapide à la normale.

Toutes ces mesures méritent d’être envisagées, mais en tant que dernière ligne de défense, c’est la protection qui est la plus importante. D’autant que l’utilisation de périphériques NAS (Network Attached Storage) pour la sauvegarde et l’archivage est répandue et qu’ils sont en eux-mêmes une cible facile. C’est la «partie réseau» qui expose les périphériques NAS au plus grand risque, les rendant faciles à identifier et, une fois trouvés, faciles à attaquer. Souvent sans que personne ne le sache jusqu’à ce que les demandes de rançon arrivent dans la boîte de réception.

La première approche consiste à verrouiller le réseau auquel les périphériques NAS sont connectés, tout en s’assurant que le micrologiciel du NAS est à jour avec toutes les dernières mises à jour de sécurité. Au-delà, il est intéressant de profiter de l’authentification à deux facteurs lorsqu’elle est disponible, et de SSL pour mieux sécuriser l’accès à distance si nécessaire.

Les bonnes pratiques contre les ransomwares

D’autres bonnes pratiques incluent le blocage automatique des adresses IP après l’échec répété d’attaques de connexion par «force brute», ainsi que l’utilisation du cryptage des données et des pare-feu spécifiques au NAS.

En matière de cybersécurité, il vaut mieux être très prudent. Autrement dit, effectuez des sauvegardes fréquentes et régulières du stockage NAS et stockez ces copies à distance (de préférence hors site) et sans connexion au réseau. C’est le seul moyen de garantir qu’il existe une version propre et récupérable des données qui n’est pas obsolète.
Sans oublier, cependant, que cela doit être combiné avec des contrôles d’intégrité réguliers et des analyses de logiciels malveillants pour s’assurer que les données copiées ne sont pas déjà compromises.

La menace du ransomware cessera-t-elle un jour de planer? Possible, mais sûr, de faire de la place à une menace au moins aussi grande. C’est pour cette raison que de nombreuses entreprises cherchent à le désinfecter au niveau du stockage de données avec les capacités de stockage d’objets, de contrôle de version, de technologie WORM (Write Once Read Many) et de systèmes de fichiers immuables.

Gartner prédit qu’env. 20% des données de l’entreprise d’ici 2021 seront stockées en mode scaling contre 30% aujourd’hui. La fin du ransomware n’est pas a priori pour demain, il semblerait que ce soient ces technologies associées au stockage de données qui permettent de désarmer ce type d’attaque et de voir un peu de lumière au bout du tunnel!

Répondre aux attaques de ransomwares pour une meilleure survie

Qu’elles soient intentionnelles ou opportunistes, les attaques de ransomwares créent le chaos. Concentrez-vous sur les faiblesses, les techniques utilisées et les réactions à adopter pour tenter de faire face au pire et limiter les dégâts.

Plus virulentes et professionnalisées que jamais, les cyberattaques provenant de ransomwares ciblant les entreprises ainsi que les administrations et les communautés sont un véritable fléau. Suite à la publication début septembre d’un guide signé par l’ANSSI et le ministère de la Justice passant en revue les moyens d’action et les réponses pour faire face à cette formidable menace, c’est au tour de l’Observatoire. la sécurité des réseaux et des systèmes d’information (OSSIR) pour jouer un rôle dans la lutte contre les ransomwares.

Dans le cadre de l’une des dernières visioconférences de l’association, Christophe Renard, Agent au sein de la direction responsable de la sous-direction des opérations de l’ANSSI, est intervenu dans le cadre d’un retour d’expérience sur l’anatomie des attaques de ransomware. Après avoir brièvement passé en revue le rôle de l’ANSSI dans la lutte contre les cybermenaces (prévention, réponse aux incidents et partage des connaissances), Christophe Renard a rappelé l’explosion des attaques ransomware (104 entre le 1er et le 1er janvier) (septembre 2020), qui a conduit à plusieurs incidents majeurs, qui combinait destruction de données et arrêt de production, comme cela a été le cas récemment avec Sopra Steria, avec un impact économique significatif.

Comment connaitre un ransomware

Dans la première partie de son retour d’expérience, Christophe Renard dresse un panorama des points d’entrée qui permettent à un pirate d’accéder à un système exposé. Généralement via un point d’accès accessible depuis Internet ou un poste de travail utilisateur via un email contenant un lien ou un document capturé. Il y en a un certain nombre allant de l’exploitation de grandes vulnérabilités (CVE-2019-11510 sur PulseSecure, CVE-2019-19781 sur Citrix et CVE-2019-0604 sur Sharepoint) à celles qui font l’objet d’analyses massives, à l’énumération de des mots de passe sur des services exposés sur Internet (RDS sur des serveurs de domaine, des VM de domaine, etc.) ou encore des résultats de campagnes de botnet (Emotet, Dridex, etc.).

« De temps en temps, les attaquants tentent d’étendre leur emprise », a déclaré Christophe Renard. Cette latéralisation peut alors emprunter plusieurs chemins, allant de la numérisation réseau à l’exploration système en montage RDP, RCP et SMB ou encore l’utilisation de trames standards offensives (powershell-Empire, Cobalt Strike, Metasploit, etc.). L’augmentation des privilèges fait bien sûr partie du plan d’attaque d’un hacker pour atteindre ses objectifs. Pour cela il peut essayer de réutiliser des mots de passe qui peuvent être communs entre admin et utilisateur, extrapoler les règles de production ou faire un décompte brutal des applications ou même pêcher dans le SI (mots de passe fichier excel, raccourcis de connexion avec mots de passe enregistrés …). Mais aussi attrapé par les «points d’eau» tels que les applications Web internes ou même le portail VPN en tant que tel. Pour protéger l’accès, des procédures peuvent être envisagées: comme la création de comptes privilégiés (AD, administrateurs locaux, etc.) ou l’ajout d’implants (RAT, webshell, tunnels inversés, etc.).

Anticipant et assurant l’effet maximal de son attaque, le hacker cherche à mettre en œuvre son ransomware le plus rapidement possible. Cela implique en particulier des étapes pour neutraliser l’antivirus, arrêter les processus serveur à la dernière minute ou s’assurer que les objectifs pertinents sont effectivement atteints. Par conséquent, il est préférable de porter une attention particulière à certains signaux susceptibles de se produire, tels que le suivi des virus, les pannes d’antivirus, les pannes de service inattendues ou les connexions de contrôleur de domaine. Dans le but de copier et d’exécuter son programme malveillant à grande échelle, l’utilisation de mécanismes d’administration est effectuée (Batch files de PsExec en série, création de tâches pour l’exécution d’instructions de GPO, utilisation de BITS …). Une fois implémenté, le code s’attaquera à plusieurs objectifs: supprimer les clichés instantanés, rechercher et crypter des fichiers, créer des messages d’invitation et de contact, ou même envoyer des informations de télémétrie pour estimer les attaques réussies.

Comprendre le timing d’un ransomware

Généralement, les campagnes de ransomwares sont menées après un timing qui rend plus difficile de les contrer (week-ends, vacances, etc.). Il est donc temps pour l’entreprise de se lancer avec les conséquences de la transition vers la crise, qui mobilisera des acteurs clés en interne (direction générale, experts sécurité, DSI, etc.), mais aussi en externe (sous-traitants, enquêteurs numériques …). Il est impératif à ce stade d’identifier les responsables et impliqués dans cette gestion de crise, et notamment leur rôle et leur périmètre d’intervention. Les premières actions visent à freiner la prolifération des réseaux (perturbation de l’accès Internet, filtrage réseau de niveau 2 ou 3, coupure des accès tiers, etc.), mais également des systèmes (arrêt des postes de travail, extension de la couverture antivirale et XDR, etc.) le piège tendu par les cyber-attaquants et la nécessité de redémarrer l’activité au plus vite pour éviter de lourdes pertes opérationnelles et financières, les entreprises doivent également initier un plan de communication (salariés, partenaires, médias, etc.) en n’oubliant pas l’essentiel: déposer une plainte auprès du autorités compétentes (police, gendarmerie …) et signaler l’incident (ANSSI, CNIL …).

Testez la restauration à l’avance
Dans une manipulation tendue et compliquée du cotext, les erreurs se produisent rapidement. Mais certaines sont à éviter, comme le rappelle Christophe Renard. « La crise des ransomwares est une crise stratégique; elle ne doit pas être gérée uniquement sous l’angle informatique. » De même, il est illusoire de croire qu’une solution peut être trouvée en quelques jours: « aucune crise de ransomware, comme je l’ai observé, n’a duré moins de 3 semaines […] nous devrons enquêter, reconstruire, mettre en œuvre des mesures temporaires, restaurer Personne n’a les équipes internes pour tout faire. »Attention à ne pas baser toute cette organisation de crise sur une seule personne:« personne ne garde 3 semaines de crises sans repos, un burn-out lors d’un incident survient », prévient Christophe Renard.

Revenir à la normale, après une attaque de ransomware

Pour revenir à la normale et après une étape corrective nécessaire, le processus de récupération est une étape clé qu’il ne faut pas sous-estimer. Il est également nécessaire que les sauvegardes et les applications puissent être restaurées en étant préalablement déconnectées et désynchronisées du SI maître. «L’expérience des tests Restore est précieuse: toutes les raisons pour ne pas les faire par temps calme sont exacerbées par un environnement dégradé et le stress», explique Christophe Renard. Le temps viendra alors de se faire un état des lieux (image, technique, économique, législatif et humain) et d’en tirer les conséquences pour améliorer la réponse aux incidents et mieux contrer les effets catastrophiques du prochain ransomware. Car s’il y a une chose à garder à l’esprit, c’est plus que jamais en termes de cybersécurité que l’on n’est jamais en sécurité une fois pour toutes.

Ryuk LE ransomware 2020?

Anssi a publié un nouveau rapport, cette fois axé sur l’activité ransomware de Ryuk. Particulièrement impliqué dans l’attaque de Sopra Steria en France, ce logiciel malveillant se distingue de la concurrence et ne se contente pas de dupliquer les méthodes de ses concurrents.

Ryuk LE ransomware 2020?

Ryuk est un ransomware actif depuis 2018 et dont les opérateurs sont particulièrement actifs. C’est ce qui a valu le titre de «ransomware le plus rentable» selon le FBI en 2018 et généré plus de 61 millions de dollars de rançon entre février 2018 et octobre 2019.

Cependant, Ryuk n’aborde pas les méthodes qui ont fait le succès de groupes malveillants comme Maze ou Revil: pas de chantage pour le vol de données, pas de place pour montrer les victimes ou les communiqués de presse ici. Pourtant, ce ransomware, qui est actif depuis deux ans maintenant, reste une menace majeure, et Anssi a publié un rapport de statut.

Ryuk est un ransomware dont le but est de crypter les données de la victime pour exiger une rançon. Anssi indique que les cibles privilégiées des opérateurs de ce ransomware sont les grandes entreprises capables de payer les grosses rançons requises, principalement aux États-Unis et au Canada. L’agence note également que les opérateurs de Ryuk ne réservent pas d’autres groupes vis-à-vis des établissements de santé: « en octobre 2020, Ryuk serait responsable de 75% des attaques sur le secteur de la santé qu’il attaquerait depuis le premier semestre 2019 ». Des dizaines d’hôpitaux américains ont été victimes d’une campagne de Ryuk au début d’octobre visant les services dans les hôpitaux de l’UHS. Le FBI et le CISA américain ont également mis en garde contre le risque de nouvelles attaques basées sur Ryuk dans un nouveau communiqué d’information publié fin octobre.

Trickbot, Emotet et le bazar
Comme de nombreux ransomwares, Ryuk n’est que la dernière étape d’une chaîne d’infection multi-malware. Les auteurs du rapport indiquent que l’infection Trickbot, au moins jusqu’en septembre 2020, aurait été le point d’entrée privilégié des opérateurs Ryuk pour s’implanter dans les réseaux d’entreprise. Trickbot, avec Emotet et bien d’autres, est un malware de type chargeur qui se propage généralement via des campagnes de courrier électronique malveillantes pour infecter un appareil cible, puis se propager à travers le réseau interne d’une victime et se déplacer jusqu’à ce qu’il compromette un contrôleur de domaine. La dernière étape est la mise en œuvre du ransomware, le cryptage des machines et la demande de rançon. Et si ce type d’attaque prend généralement du temps, certains opérateurs Ryuk se démarquent par leur rapidité: Anssi indique ainsi que dans certains cas le temps de la première infection et du cryptage est réduit de quelques jours. (2 à 5) en trois heures ».

En 2020, cependant, les opérateurs de Ryuk semblent s’être progressivement tournés vers un nouveau chargeur, connu sous le nom de BazarLoader, actif depuis mars 2020. «Comme TrickBot, Bazar serait utilisé comme un accès en tant que service pour faire des compromis ou même qualifier un SI pour le compte d’autres groupes d’attaquants. On ne sait pas si BazarLoader, comme TrickBot, fonctionne également sur un modèle d’affiliation », précise l’agence, qui précise que le logiciel est principalement distribué par le groupe derrière Trickbot. D’autres chargeurs ont également été identifiés dans des attaques impliquant le malware Ryuk: Buer et Le logiciel Silent Night a également été utilisé dans l’attaque qui a implémenté Ryuk.

Raas ou pas Raas, c’est la question
L’un des points qui sépare Ryuk du reste de l’écosystème de la cybercriminalité des groupes de ransomware est la question du modèle commercial de Ryuk. Pour de nombreux ransomwares apparus ces derniers mois, le modèle économique utilisé est généralement celui de RaaS (Ransomware as a service): le groupe à l’origine des ransomwares commercialise ses logiciels sur des forums clandestins auprès d’autres groupes, qui s’assurent ensuite de les diffuser réseaux informatiques de leurs victimes.

Pour Anssi, Ryuk n’est « pas officiellement un RaaS »: l’agence déclare ainsi qu’elle n’a observé aucune promotion des opérateurs Ryuk sur les forums clandestins. Ryuk est néanmoins exploité par plusieurs acteurs malveillants, selon Anssi. S’il n’est pas vendu au public, il pourrait être mis à la disposition de partenaires de confiance par le créateur du code malveillant, ou il pourrait être exploité indépendamment par plusieurs groupes à l’aide d’outils et de formes de propagation communs. .

Il est donc difficile de savoir qui tire exactement les fils de Ryuk: le rapport de l’agence met en évidence le rôle central joué par deux acteurs malveillants, le groupe WizardSpider derrière Trickbot et le groupe identifié comme UNC1878. Selon FireEye, ce dernier groupe est responsable de 83% des attaques impliquant Ryuk. L’agence note également l’implication d’autres groupes tels que FIN6 dans la prolifération du ransomware Ryuk ainsi que du code et des méthodologies entre Ryuk et un autre ransomware connu sous le nom de Conti. Si Ryuk n’est pas «officiellement un RaaS», il n’en est pas moins un acteur profondément enraciné dans la sphère de la cybercriminalité et avec de nombreux liens avec des groupes tiers.

Titan informatique annonce le lancement de ses forfaits 5H dans la commune de Toulon

Pas de moins de 93 000 logements sont désormais éligibles aux Forfaits 5H de Titan-informatique. Le prestataire de service informatique débarque officiellement sur Toulon.

Titan informatique annonce le lancement de ses forfaits 5H dans la commune de Toulon

Plus vite que prévu, Titan-informatique annonce ce matin l’arrivée de ses Forfaits 5H pour les habitants de Toulon, l’objectif est de couvrir les communes de Toulon, la Garde, la Valette du Var par des services informatique d’ici 2022.