Catégories
Attaque informatique Non classé Ransomware Sécurité

Qu’est-il arrivé aux technologies de FARO technologies?

Ransomware:
Les opérateurs de Revil / Sodinokibi ont brièvement revendiqué le vol d’une très grande quantité de données de ce spécialiste de l’imagerie 3D. Avant de supprimer les traces. Une intrusion aurait pu se produire via un système Citrix NetScaler vulnérable ou un service RDP disponible sur Internet, entre autres.

FARO Technologies est un spécialiste reconnu de la mesure et de l’imagerie 3D. L’année dernière, l’entreprise s’est distinguée notamment par sa collaboration avec AGP (Arts Graphiques et Patrimoine) pour réaliser une opération de numérisation 3D de Notre-Dame de Paris en cas d’urgence.

L’objectif: « en une journée, procéder à un examen 3D précis du bâtiment après incendie pour établir un diagnostic des dégâts ». Auparavant, les outils FARO avaient déjà été utilisés pour numériser de nombreux bâtiments historiques, dont le monastère du Mont-Saint-Michel. Mais la portée de sa technologie va bien au-delà, par exemple, de l’inspection de grandes structures complexes, y compris même pendant la construction, ou de la modélisation de scènes de crime, entre autres.

FARO Technologies est apparu pour la première fois sur le site, les opérateurs du ransomware Revil / Sodinokibi annonçant leurs victimes de la résistance à l’extorsion le 20 mai. Avec une menace: révéler une partie de leur vol, ce qui représente 1,5 To de données. Ce qui a été fait deux jours plus tard.

Dans leur publication originale, les cybercrapules ont revendiqué le vol de « plusieurs téraoctets de données » qui concernaient l’entreprise et ses clients, mais aussi des graphiques et du code source. Surtout, ils ont affirmé qu’ils étaient déjà en pourparlers pour « vendre les données les plus intéressantes » tout en accusant leur victime « d’essayer de cacher le piratage et la fuite de données ».

Le 25 mai, les cybercriminels ont mis à jour leur annonce: « Il n’y aura pas d’autre publication. FARO Technologies a trouvé un acheteur pour vos données. Pas le montant que nous espérions, mais toujours valable. » Très rapidement, toute mention de cette victime disparaîtrait. du site Revil / Sodinokibi Operators, récemment contacté par les rédacteurs, a déclaré n’avoir aucune information à partager sur ce sujet.

De son côté, il ne semble pas que FARO Technologies ait communiqué l’incident, ni à la presse ni à ses investisseurs: au moment de la publication de ces lignes, son site Internet est muet sur le sujet, de même que ses déclarations au policier boursier SEC.

Nous avons contacté le spécialiste de l’imagerie 3D à deux reprises le 27 mai avant d’obtenir un premier contact de son attaché de presse externe. Ce n’est qu’après un échange téléphonique que la réponse officielle de FARO Technologies est tombée le 4 juin: « Nous connaissons cette publication et nous l’étudions ». Cinq jours plus tard, après un premier rappel, rien de plus.

Cette annonce de FARO Technologies s’avère d’autant plus surprenante que les opérateurs Revil / Sodinokibi ne se lancent pas immédiatement sur l’affichage de leurs victimes: ils commencent par laisser la place à des négociations. Ainsi, les cibles des ransomwares ont initialement au moins sept jours pour céder aux demandes de leurs extorqueurs avant de doubler leur prix. Dans certains cas, cette première phase peut même durer deux semaines, selon plusieurs observations.

Ce n’est qu’après avoir considéré que les négociations ont échoué que les cyber-vagues ont commencé à menacer de transmettre les données volées dans le système d’information de leurs victimes – et même récemment de les vendre au plus offrant, par le biais d’enchères tenues à leur propre site Web. Par conséquent, il ne serait pas surprenant que le lancement du rançongiciel chez FARO Technologies ait eu lieu dans la première moitié de mai, ou même plus tôt.

Pendant ce temps, nous avons découvert un service RDP exposé directement sur Internet par une machine qui semble appartenir à FARO Technologies, selon les données de BinaryEdge. Dans de mauvais rapports sur les packages, Troy a déclaré à Mursch que pendant un certain temps, la société avait exposé un système Citrix Netscaler affecté par la célèbre vulnérabilité CVE-2019-19781, connue sous le nom de Shitrix. Il a été découvert le 11 janvier.

Onyphe a également constaté que le système avait été identifié comme vulnérable lors d’un incident survenu le 15 janvier. Et pour préciser que ce système est resté en ligne au moins entre le 8 décembre et le 8 février. Cependant, il n’existe aucun lien établi entre ces observations et les exigences des opérateurs Revil / Sodinokibi. Jusqu’à présent, après une nouvelle augmentation, FARO n’a rien dit de plus sur l’incident.LIEN

Catégories
Etude informatique Non classé Ransomware Sécurité

Plus de 50 autorités locales ont été affectées par des ransomwares depuis janvier.

ET LES SERVICES D’URGENCE?

Le réseau informatique interne de la ville, son site Internet et le réseau judiciaire ont été paralysés pendant des heures. « Les systèmes d’information suivent actuellement les protocoles recommandés. Cela comprend la fermeture des serveurs, de nos connexions Internet et des PC. Veuillez ne pas vous connecter au réseau ni utiliser des applications informatiques pour le moment », ont averti des courriers électroniques reçus par des autorités locales.

Plus de 50 autorités locales ont été affectées par des ransomwares depuis janvier.

Les réseaux informatiques de la ville américaine de Knoxville, dans le Tennessee, ont été attaqués par des ransomwares, rapporte les médias locaux WVLT dans un article publié le 11 juin 2020. Knoxville est la 134e ville des États-Unis par la taille de sa population, avec 188 000 habitants. C’est également le 51e État ou municipalité des États-Unis à être touché par les ransomwares cette année, selon les déclarations de Brett Callow, chercheur au sein du cabinet de sécurité Emsisoft, à Ars Technica.


La ville de Knoxville, dans le Tennessee, a été victime d’une rançon qui a paralysé son réseau informatique, son site Internet et le réseau judiciaire. C’est la 51ème autorité locale des États-Unis à être victime de ransomware depuis le début de l’année.

Ils ont depuis été récupérés, bien que l’attaque puisse encore occasionner des inconvénients mineurs. Les services d’urgence tels que la police, les pompiers et la ligne d’assistance 911 n’ont pas été affectés lorsqu’ils fonctionnaient sur des systèmes distincts. De plus, aucun serveur de sauvegarde n’a été atteint, grâce auquel les services de la ville pouvaient rapidement revenir à la normale.

David Brace, directeur exécutif et maire adjoint, a déclaré que le Bureau des enquêtes du Tennessee et le Bureau fédéral des enquêtes (FBI) soutiennent la ville dans la résolution de cet incident. Alors que les enquêteurs n’ont pas encore trouvé l’étendue des rançongiciels, David Brace dit qu’aucune donnée sur la cybercriminalité n’a été volée.

Ces pièces jointes sont incluses en millions de dollars

Ces attaques informatiques sont parfois très coûteuses. Deux des incidents les plus connus se sont produits en 2018 à Atlanta et à Baltimore, entraînant des coûts de 12,2 millions de dollars et 18 millions de dollars, respectivement. Il est donc temps pour les villes de réaliser que le coût de leurs réseaux coûtera toujours moins cher qu’une attaque informatique. LIEN

Catégories
Attaque Etude informatique Non classé Ransomware vidéo

Ransomware: les PDG qui doivent rendre des comptes aux consommateurs

Selon une enquête réalisée par Veritas, la responsabilité personnelle des dirigeants d’entreprise a été remise en cause en cas d’attaque de ransomware, selon 40% des 12 000 consommateurs interrogés dans le monde. Les Français, cependant, lancent d’abord des pierres sur les cybercriminels devant les dirigeants.

La responsabilité personnelle des dirigeants d’entreprise remise en cause.

Très souvent, lorsque des cyberattaques ont lieu, RSSI est en première ligne. A la fois pour éteindre le feu et prendre les précautions nécessaires pour éviter le pire, mais parfois même lorsqu’il s’agit de se trouver «responsable». S’ils s’avèrent plus ou moins exposés, les RSSI ne sont pas les seuls désignés, c’est également le cas des dirigeants de l’entreprise elle-même, à savoir leur PDG. Selon une enquête réalisée par Veritas, pour laquelle 12 000 consommateurs dans 6 pays (États-Unis, Royaume-Uni, Allemagne, France, Japon et Chine) ont été interrogés en avril 2020, 40% pensent même qu’ils sont personnellement responsables lorsque les entreprises sont compromises par attaques de rançongiciels.

Les administrateurs ne sont pas épargnés par les dommages subis et les jugements attendus sont aussi divers que surprenants. 42% exigent que les PDG s’excusent publiquement pour les ransomwares, tandis que 35% veulent qu’ils paient une amende. 30% des répondants vont jusqu’à déclarer que les PDG en question ne devraient plus pouvoir diriger une entreprise à l’avenir, tandis que 27% demandent leur démission, 25% une baisse de salaire et 23% demandent même sur la prison.

Les consommateurs français plus indulgents envers les PDG
«En tant que consommateurs, nous acquérons de plus en plus de connaissances sur les ransomwares, nous ne pardonnons donc pas aux entreprises qui ne le prennent pas aussi au sérieux que nous», a déclaré Simon Jelley, vice-président des produits chez Veritas. . Cependant, il semble que les Français soient les répondants les plus indulgents des pays interrogés, avec moins d’un quart (24%) voulant blâmer les chefs d’entreprise, un peu plus de la moitié (55%) dans la conviction que seuls les criminels peuvent être accusés. pour les attaques de ransomwares, et seulement un tiers (36%) prévoient de se passer des services d’une entreprise attaquée. LIEN

Catégories
Etude informatique Ransomware Sécurité

Ransomware: Questions sur les attaquants chez Honda et Enel (alerte spoiler) Le télétravail!

Questions sur les attaquants chez Honda et Enel (alerte spoiler) Le télétravail!

Les deux groupes ciblés par le ransomware d’Ekan, également appelé Snake, ont exposé d’anciens services RDP directement sur Internet. Mais ils avaient également des systèmes Citrix NetScaler affectés par la vulnérabilité CVE-2019-19871.

Honda et Enel ont récemment reconnu avoir été la cible de cybercriminels. Très rapidement, deux échantillons du ransomware d’Ekan, également connu sous le nom de Snake, sont apparus, suggérant que ses opérateurs avaient en fait tenté d’attraper le constructeur automobile d’un côté et la société énergétique italienne. , d’autre part. Mais où les attaquants ont-ils réussi à s’inviter, ne serait-ce que de manière relativement limitée, aux systèmes d’information de ces deux cibles?

Le chercheur Germán Fernández a très rapidement rapporté qu’un service RDP était exposé sur Internet par un système lié au nom de domaine honda.com, ainsi qu’un de ces services … mais faisant référence à Enel. Et de s’interroger naturellement sur la possibilité d’un lien entre ces services exposés directement en ligne et les attaques menées contre les deux groupes.

Mais une passerelle potentielle a été identifiée par Troy Mursch du rapport Bad Packets: systèmes Citrix affectés par la vulnérabilité CVE-2019-19781, également connue sous le nom de Shitrix. Sur Twitter, il a déclaré qu’un « serveur Citrix VPN (NetScaler) utilisé par Honda » avait été identifié comme vulnérable lors de sa première campagne de recherche de systèmes affectés. Et ajoutez que cela s’applique également à Enel. Pour ces derniers, les systèmes affectés n’ont également tué l’utilisation des correctifs « que quelque part entre le 31 janvier et le 14 février 2020 ».

Vitali Kremez souligne que « les cybercriminels continuent de rechercher des passerelles VPN d’entreprise exploitables comme premier vecteur de violation », et en particulier les systèmes Citrix / Netscaler affectés par la vulnérabilité CVE-2019-19781. En réponse, Troy Mursch se souvient avoir identifié plusieurs victimes de ransomware qui exposaient de tels systèmes: Chubb, Conduent et Pitney Bowes, par Maze, mais aussi ISS World, par Ryuk ou encore Brittany Telecom, par DoppelPaymer.

Catégories
Etude informatique Ransomware Sécurité

Ransomware: des attaquants infiltrent un faux réseau industriel en seulement trois jours

Selon les chercheurs en sécurité, les réseaux de contrôle industriels sont exposés à un certain nombre d’attaques de rançongiciels. Cet avertissement fait suite à une expérience qui a révélé la vitesse à laquelle les pirates détectent les vulnérabilités des infrastructures critiques.

Des chercheurs en sécurité avaient mis en place un leurre pour surveiller la progression de l’attaque … qui ne tarda pas à venir.

Mise en place du leurre
L’entreprise de sécurité Cybereason a construit un leurre conçu pour ressembler à une entreprise d’électricité opérant en Europe et en Amérique du Nord. Le réseau a été conçu pour paraître authentique afin d’attirer des attaquants potentiels en incluant des environnements informatiques technologiques et opérationnels ainsi que des systèmes d’interface humaine.

Toutes les infrastructures sont construites en tenant compte des problèmes de sécurité communs aux infrastructures critiques, en particulier les ports des stations distantes connectées à Internet, les mots de passe de complexité moyenne et certains contrôles de sécurité habituels, y compris la segmentation du réseau.

Le leurre a commencé plus tôt cette année et il n’a fallu que trois jours aux attaquants pour découvrir le réseau et trouver des moyens de le compromettre – y compris une campagne de ransomware qui a infiltré des parties du réseau et qui a réussi à récupérer les informations de connexion.

Le cours de l’attaque
« Très peu de temps après le lancement du » pot de miel « , la capacité du ransomware a été placée sur chaque machine compromise », explique Israel Barak, chef de la sécurité informatique de la cyber-raison chez ZDNet.

Les pirates ont placé des ransomwares sur le réseau à l’aide d’outils de gestion à distance pour accéder au réseau et déchiffrer le mot de passe administrateur pour se connecter et contrôler le bureau à distance.

À partir de là, ils ont créé une porte dérobée pour un serveur compromis et utilisé des outils PowerShell supplémentaires, y compris Mimikatz, qui ont permis aux attaquants de voler des informations de connexion, permettant un mouvement latéral sur le réseau – et la possibilité de compromettre encore plus de machines. L’attaquant a effectué des analyses pour trouver autant de points d’accès qu’ils le souhaitaient et collecté des identifiants au fur et à mesure.

Double peine
En fin de compte, cela signifie qu’en plus de déployer un rançongiciel, les attaquants ont également la possibilité de voler des noms d’utilisateur et des mots de passe qu’ils pourraient exploiter comme un levier supplémentaire en menaçant de révéler des données sensibles si la rançon n’était pas payée.

« Ce n’est qu’après la fin des autres étapes de l’attaque que le ransomware se propage simultanément à tous les terminaux compromis. C’est une caractéristique commune des campagnes de ransomware à plusieurs étapes visant à amplifier l’impact de l’attaque sur la victime », explique Israël Barak.

Réseau compromis
Les attaques de ransomwares provenant de diverses sources ont souvent révélé le piège, et beaucoup ont essayé d’autres attaques, tandis que d’autres pirates informatiques étaient plus intéressés par la reconnaissance du réseau – comme c’était le cas dans une précédente expérience d’oiseau de leurre.

Même si cela ne semble pas aussi dangereux, à première vue qu’une rançon, les attaquants qui tentent d’exploiter le réseau de ce qu’ils croient être un fournisseur d’électricité peuvent finalement avoir des conséquences très dangereuses.

Néanmoins, il semble que les ransomwares soient devenus l’une des principales méthodes par lesquelles les attaquants tentent d’exploiter une infrastructure qu’ils peuvent facilement compromettre, que le rapport décrit comme un «barrage constant» d’attaques contre le secteur. Et le risque devrait s’intensifier.

Renforcer la sécurité de la prévention
Heureusement, ces attaques contre un leurre ne feront aucun mal.

L’expérience montre cependant que les réseaux qui prennent en charge les infrastructures critiques doivent être suffisamment résilients pour résister aux intrusions indésirables en concevant et en exploitant des réseaux pour la résilience – en particulier lorsqu’il s’agit de séparer les réseaux informatiques de la technologie opérationnelle.

Même des améliorations relativement simples, telles que la protection des réseaux avec des mots de passe complexes et difficiles à deviner, peuvent aider, tandis que des initiatives de sécurité plus complexes peuvent aider à renforcer la protection. LIEN

Catégories
Attaque informatique Ransomware

Thanos, pas de solution anti-ransomware!

Le rançongiciel Thanos, découvert en janvier 2020, est développé par le cyber gang de Nosophoro et possède des propriétés de protection exceptionnelles. En utilisant la technique RIPlace, les logiciels malveillants peuvent contourner les actions système et réseau utilisées pour le désactiver.

Thanos, pas de solution anti-ransomware!

Entre pirates informatiques et responsables de la sécurité, c’est un jeu perpétuel de chat et de souris. Mais parfois, la souris peut être particulièrement difficile à neutraliser. C’est le cas du ransomware de Thano, découvert en janvier 2020 par Inskit Group, qui a publié un rapport pour mieux comprendre sa fonction. C’est le groupe de cyber hackers opérant sous le nom de famille Nosophoros, qui se trouve être derrière Thanos, et proposant à la vente sur le dark web une version personnalisable dans 43 configurations possibles de ce malware pour s’adapter au plus près aux besoins du cyber coke . Le mode de distribution, type de rançongiciel en tant que service, combiné avec des mises à jour et de nouvelles fonctionnalités, montre à quel point l’opérateur derrière Thanos professionnalise son activité.

«Le client Thanos est simple dans sa structure et ses fonctionnalités générales. Il est écrit en C # et est facile à comprendre malgré son obscurité [consistant à rendre un exécutable ou un code source illisible et difficile à comprendre par un humain ou un décompilateur, la note de l’éditeur], et bien qu’il contienne des fonctionnalités plus avancées telles que la technique RIPlace », Explique Inskit Group. Ce malware intègre 12 à 17 classes, dont un programme de base commun et Crypto, puis d’autres tels que NetworkSpreading, Wake on LAN, selon les « options » choisies par les acheteurs de ce ransomware. La technique RIPlace, embarquée dans Thanos, consiste à augmenter la capacité de ce malware à contourner la défense introduite par l’équipe de sécurité de l’entreprise (antivirus, pare-feu …) pour le désactiver. «Avec les meilleures pratiques en matière de sécurité, telles que l’interdiction des connexions FTP externes et la mise sur liste noire des outils de sécurité offensifs connus, les risques associés aux deux composants clés de Thanos – le voleur de données et le mouvement latéral (via l’outil SharpExec) – peuvent être évités», explique Inskit Group.

Kaspersky et Carbon Black s’arrêtent pour corriger la vulnérabilité RIPlace
«Le client Thanos utilise AES-256 en mode CBC pour crypter les fichiers utilisateur. La clé utilisée pour le chiffrement AES provient d’un mot de passe et d’un sel créés via l’appel de fonction Windows rfc2898DeriveBytes. Une fois que le client Thanos a utilisé cette clé pour crypter tous les fichiers qu’il découvre, il utilise une clé publique RSA 2048 intégrée pour crypter le mot de passe AES utilisé. La chaîne Bas64 de ce mot de passe chiffré est ajoutée au message de rançon demandant à la victime d’envoyer la chaîne de mot de passe chiffrée aux acteurs de la menace pour déchiffrer leurs fichiers. La clé privée associée à la clé publique utilisée pour chiffrer le mot de passe est requise pour déchiffrer le mot de passe AES. Seul l’opérateur qui a créé le client Thanos doit avoir accès à la clé privée », a déclaré Inskit Group.

La technique RIPlace utilisée par Thanos a d’abord fait l’objet d’un POC par Nyotron en novembre 2019. Ce dernier a mis en garde les fournisseurs de solutions de sécurité, dont Microsoft. Mais à l’époque, cette technique n’était pas considérée comme une vulnérabilité par la plupart d’entre eux, à l’exception de Kaspersky et Carbon Black (acquis par VMware), qui ont modifié leur logiciel en conséquence. Début 2020, Inskit Group a pu observer sur le dark web et sur les forums de cyber pirate que la technique RIPlace commençait à être mise en œuvre.

Une chance de récupérer des données sans payer
Cependant, tout n’est pas perdu: « Si une clé dynamique est sélectionnée avant le démarrage du processus de chiffrement, le client Thanos utilise Windows RNGCryptoServiceProvider pour générer une chaîne base64 de 32 octets aléatoire qui sera utilisée comme mot de passe AES. Si le client Thanos est configuré pour utiliser un mot de passe statique, il est stocké dans le binaire lui-même. Cela signifie que si un client Thanos est restauré après le chiffrement, les victimes de Thanos ont toujours la possibilité de récupérer leurs fichiers sans payer de rançon « , explique Inskit. Cependant, selon les dernières analyses de la société, Nosophoros a reçu des signaux positifs de la communauté des pirates, affirmant que l’outil « fonctionne parfaitement » et encourage les cyber gangs à « garder les mises à jour à venir ». Pour Nosoporos, c’est comme d’habitude.

Catégories
Attaque Etude informatique Ransomware

DJVU/stop : faux déchiffrement, vrai ransomware


Une application masquée comme un décryptage de ransomware DJVU / STOP a été identifiée par un chercheur en sécurité. Cela crypte les données des victimes qui pensaient avoir trouvé une solution à leur problème.

Face à une attaque de ransomware, le remède peut parfois s’avérer pire que la maladie. Ainsi, un chercheur en sécurité a rapporté la semaine dernière un nouveau programme malveillant se faisant passer pour un décrypteur de ransomware DJVU / STOP, un ransomware très actif, et destiné aux particuliers. Michael Gillespie, chercheur indépendant en sécurité spécialisé dans la lutte contre les ransomwares, a attiré l’attention sur les malwares dans un tweet à la fin de la semaine dernière. Ce programme malveillant, appelé Zorab, se présente sous la forme d’un décrypteur: un type de programme qui exploite les erreurs logicielles dans la conception d’un ransomware pour décrypter les fichiers de la victime sans que la victime ait besoin de récupérer la clé de cryptage pour les attaquants.

Zorab ne vous sortira pas de l’affaire, au contraire: le chercheur explique qu’il crypte les données de la victime une seconde fois, et met sur l’ordinateur une note demandant à l’utilisateur de payer une rançon pour décrypter les fichiers en question. Pour la victime, il s’agit donc d’une double peine: il a dû payer une première fois pour décrypter les données rendues indisponibles par le ransomware Zorab, puis une deuxième fois pour décrypter le cryptage DJVU / STOP. Le groupe derrière DJVU / STOP attire moins d’attention que des acteurs malveillants comme Maze ou Dopplepaymer, mais ce ransomware est l’un des plus actifs aujourd’hui. Selon Emisoft, fin 2019, Stop / DJVU représentait plus de 56% des fichiers téléchargés sur la plateforme ID Ransomware, se plaçant en tête du classement. Comme l’explique Bleeping Computer, les opérateurs de ce ransomware sont plus susceptibles d’attaquer des individus et de demander des montants entre 500 $ et 1000 $ pour obtenir la clé de déchiffrement.

Double peine
Les cybercriminels derrière Zorab ont soigneusement choisi leurs cibles: plusieurs déchiffreurs sont en fait proposés par des sociétés de sécurité pour déchiffrer les fichiers chiffrés par les anciennes versions du rançongiciel DJVU / STOP. En mars, Emsisoft a publié plusieurs décrypteurs pour aider les victimes de cette rançon. Mais le jeu du chat et de la souris dure depuis des mois: lorsque les éditeurs publient un décryptage, les auteurs du ransomware distribuent une nouvelle version de leur ransomware. Dans cette jungle, il est donc facile pour un tiers de profiter de la multiplication des décrypteurs pour distribuer son propre ransomware en le transmettant comme un outil de déverrouillage de fichier.

Pour obtenir des outils de décryptage, il vaut mieux être prudent: nous pouvons recommander l’initiative NoMoreRansom mise en œuvre par Europol et plusieurs sociétés antivirus pour centraliser les outils de décryptage et anti-ransomware. Vous pouvez également accéder directement aux sites Web officiels d’éditeurs antivirus connus, tels que Kaspersky ou Emsisoft. Des décrypteurs pour les anciennes versions de DJVU / STOP sont disponibles, mais des analyses sont toujours en cours pour développer des outils similaires pour Zorab. Bien sûr, la meilleure solution est d’avoir des sauvegardes mises à jour, mais c’est souvent plus facile à dire qu’à faire.

LIEN

Catégories
Attaque COVID-19 informatique Non classé Ransomware

Thanos est le premier correctif qui exploite un bogue dans Windows 10, 7 et 8.1 connu sous le nom de RIPlace. Ce dernier lui permet d’échapper à presque tous les antivirus du marché, y compris Windows Defender.

Son nom bien choisi provoque la terreur et son comportement en fait un ransomware discutable. Thanos prospère sous Windows 7, 8.1 et 10 depuis octobre 2019 sous différents noms, mais ce n’est qu’en janvier 2020 qu’il a fait l’objet d’un rapport détaillé publié par la société Inskit Group. Il s’agit d’une famille de ransomware qui possède à son ancêtre un seul outil développé par un hacker nommé Nosophoros.

Cet outil est capable de générer un ransomware personnalisé basé sur 43 paramètres de configuration différents. La solution est disponible sur le Dark Web et en particulier sur les forums de piratage russes comme les logiciels de type « ransomware as a service ». En d’autres termes, Nosophorus recrute d’autres pirates pour diffuser des logiciels malveillants. Ce dernier obtient une part de revenu d’environ 60 à 70% pour tout paiement de rançon.

Thanos: premier ransomware à tirer parti de l’erreur RIPlace qui la rend indétectable
RIPlace est une technologie de camouflage qui a été dévoilée comme preuve de concept fin 2019 par des scientifiques de Nyotron. Il est utilisé pour modifier des fichiers indétectables par Windows et par un antivirus. Par conséquent, les attaquants peuvent contourner diverses protections contre les ransomwares pour crypter les fichiers sur les machines ciblées.

Lire aussi – Ransomware: les pirates s’excusent pour les dégâts qu’ils ont causés à leurs victimes!

Nyotron a partagé sa découverte avec les fournisseurs d’antivirus et Microsoft. À l’époque, la plupart d’entre eux estimaient que cette technique ne devait pas être traitée comme une vulnérabilité, d’autant plus que son utilisation réelle n’a pas été prouvée. Seuls Kaspersky et Carbon Black (appartenant à VMware) avaient modifié leur logiciel pour empêcher cette technique d’être appliquée.

Dans un nouveau rapport publié le 10 juin 2020, Inskit Group décrit comment la vulnérabilité RIPlace est utilisée par Thanos, le premier ransomware à l’utiliser. Les chercheurs pensent que les logiciels malveillants continueront d’être exploités, individuellement ou collectivement, dans le cadre du programme d’affiliation de son créateur. La nouvelle version devrait inciter Microsoft et d’autres fournisseurs de protection à intervenir.

Catégories
Attaque informatique Ransomware

Ransomware, Honda arrête la production! MAJ

Le constructeur japonais de véhicules et de moteurs Honda enquête sur un dysfonctionnement de son réseau informatique. Cet incident sera lié aux conséquences de la diffusion du rançongiciel SNAKE dans ses infrastructures.

Un vent de panique chez Honda. Le constructeur japonais de véhicules et de moteurs traverse actuellement une cyber-crise suite à l’intrusion et se répand dans ses réseaux informatiques de malware. «Le dimanche 7 juin, Honda a subi une interruption de son réseau informatique, entraînant une perte de connectivité, ce qui a eu un impact sur nos opérations commerciales. Nous avons annulé une partie de la production aujourd’hui et évaluons actuellement la situation », a déclaré un porte-parole. Chez Honda, une enquête est en cours sur cet incident de sécurité qui a affecté ses infrastructures informatiques au Japon, mais aussi en Europe.

Le groupe a été contacté par BleepingComputer, confirmant que son réseau informatique était affecté sans préciser clairement l’événement, quelle que soit la diversité des indications, même des preuves de cette cyberattaque. Les chercheurs en cybersécurité pensent que l’entreprise a été ciblée par un ransomware personnalisé après avoir analysé la situation. Ce dernier serait une variante du rançongiciel SNAKE (également connu sous le nom d’EKANS) conçu pour cibler le nom de domaine mds.honda.com.

Des détails provenant du cyber gang derrière SNAKE?
Le chercheur en sécurité Vitali Kremez a également déclaré qu’en plus de cibler mds.honda.com, ce ransomware comprend également une référence à l’adresse IP 170.108.71.15, citant le nom d’hôte – plus que suspecté – unspec170108.amerhonda. com. La référence à cette adresse IP et la vérification interne du nom d’hôte sont des indicateurs très forts que les fermetures actuelles du réseau ont été causées par une attaque par le rançongiciel SNAKE. « Pour le moment, nous ne partagerons pas les détails de l’attaque pour permettre à la cible de la nier pendant un certain temps. Cela va changer avec le temps », a déclaré le gang derrière le malware à notre collègue.LIEN

MAJ:

Le ransomware EKANS destiné aux systèmes de contrôle industriels semble avoir lié Honda à son tableau de chasse. Quelles conséquences?

Vous voulez créer un site? Trouvez des thèmes et plugins WordPress gratuits.
Honda, victime d’un ransomware? Le groupe automobile refuse actuellement de confirmer les informations.

Son annonce officielle fait état d’un « incident » sur le réseau informatique qui a été observé dimanche 7 juin. En conséquence, une « perte de connexion » et la suspension d’une partie de la production.
Selon les dernières nouvelles, l’activité a repris dans la plupart des usines.

En plus du discours de façade, il y en a un qui circule en interne. Et le contenu n’est pas le même.

Illustration avec un message d’un membre du service informatique de la filiale américaine. Il parle clairement d’un ransomware qui a affecté « le moins » les SI dans cette région géographique. Résultat signalé: accès indésirable aux données critiques et incapacité à poursuivre les opérations sur la plupart des lignes de production.

Un rançongiciel ICS spécial …
Quel ransomware a touché? Plusieurs éléments suggèrent qu’il s’agit d’une variante de SNAKE.

Il est également appelé EKANS, notamment en référence à une étiquette affectée aux fichiers qu’il crypte. Son premier morceau remonte à fin 2019.

Catégories
Etude informatique Non classé Ransomware

Vingt ans plus tard, créateur du virus informatique « I Love You »

Le but initial du créateur du virus « I Love You » n’était pas de créer des logiciels malveillants dangereux mais de surfer gratuitement sur Internet.


L’écrivain de code informatique, qui a causé des milliards de dollars de pertes au début des années 2000, vit maintenant une vie modeste et à faible kilométrage à Manille, selon la BBC.

Le 4 mai 2000, le virus « I Love You » s’est propagé à travers le monde de manière fulgurante. En quelques jours, il a frappé les systèmes informatiques du Pentagone, de la CIA et de grandes entreprises comme L’Oréal, Siemens et Nestlé. Ce petit morceau de code a infecté des dizaines de milliers d’ordinateurs, ce qui en fait l’un des virus les plus virulents de l’histoire.
L’auteur a été identifié quelques jours plus tard: un Philippin de 24 ans nommé Onel de Guzman. Il ne sera pas inquiet, car à cette époque, la législation de son pays ne contient pas ce type d’infraction. Vingt ans après l’incident, un journaliste britannique l’a trouvé à Manille, la capitale, et l’a interrogé sur ses motivations dans un reportage publié le 4 mai sur le site Internet de la BBC.

Selon l’auteur du virus « I Love You », son objectif initial n’était pas de créer des logiciels malveillants dangereux, mais simplement de surfer gratuitement sur Internet. À ce moment-là, vous pouviez vous connecter au réseau à partir de différentes lignes téléphoniques avec le mot de passe et l’ID de quelqu’un d’autre. On dit que De Guzman a envoyé une version initiale de son virus à quelques cibles pour récupérer leurs codes, des personnes avec lesquelles il avait l’habitude de socialiser dans les salles de chat en ligne.

Recherche dans le carnet d’adresses
C’est plus tard que le jeune homme arme son virus pour qu’il se propage automatiquement et fouille dans les ordinateurs infectés à la recherche du carnet d’adresses du logiciel de messagerie Outlook et s’envoie ensuite à des dizaines de correspondants. De Guzman a l’idée de nommer son virus LOVE-LETTER-FOR-YOU.TXT.VBS. « Je pensais que beaucoup de gens veulent une petite amie, ils veulent de l’amour », a-t-il déclaré à la BBC aujourd’hui.

Beaucoup de gens cliquent sur ce message qui, si vous regardez trop vite, regarde un fichier texte « TXT » mais se révèle être un morceau de code informatique « VBS » si vous intervenez pour lire son nom jusqu’au bout. Agressif infecte la mémoire de l’ordinateur en remplaçant les photos ou les morceaux de musique qu’il détruit au cours du processus. « I Love You » est responsable de dommages estimés à 10 milliards de dollars.

Onel de Guzman a aujourd’hui 44 ans. Interrogé par la BBC, il a regretté les dégâts causés. «Je n’aurais jamais imaginé que le virus irait aux États-Unis et en Europe. Cela m’a surpris », dit-il maintenant. Il va même jusqu’à confesser … souffrant de sa renommée. «Parfois, ma photo apparaît sur Internet. Mes amis me disent: « Mais c’est toi! » Je suis une personne timide, je ne veux pas. « 

Un petit atelier
Un discours qui contraste avec celui qu’il a prononcé quand il était plus jeune. En 2000, quelques mois à peine après la création du virus, le jeune homme a déclaré au New York Times: « Je pense que je fais partie de l’histoire des Philippines. Il ne peut pas être supprimé. À l’époque, la blessure ne lui causait pas autant d’émotion. De Guzman souligne la responsabilité de Microsoft de commercialiser des «produits vulnérables».

Le jeune homme imagine même un avenir en tant que concepteur de logiciels inviolables. Selon lui, de nombreuses sociétés informatiques ont tenté de le pousser dans les semaines qui ont suivi la publication du virus, mais Onel de Guzman ne trouve pas de travail lorsque son avenir juridique se précise quelques mois plus tard.

Il n’obtient pas non plus son diplôme universitaire après avoir rejeté sa thèse finale. Cette thèse a été reproduite avant la date fatidique du 4 mai, décrivant un programme informatique proche du virus « I Love You ». Son professeur l’a ensuite rejeté avec la déclaration « C’est illégal. Nous ne formons pas de voleurs ».

Onel de Guzman gère maintenant un petit atelier pour téléphones portables avec un comptoir étroit et désordonné. C’est là que la BBC l’a trouvé après une longue enquête à travers des forums obscurs dédiés à l’internet souterrain philippin, puis des dizaines d’ateliers à Manille. LIEN1 LIEN2