Une femme meurt des suites d’un ransomware

Une femme est décédée jeudi en Allemagne après une attaque de ransomware qui visait à tort un hôpital. En raison de la paralysie du système informatique, le patient a dû être transféré dans un autre établissement mais n’a pas survécu.

Une femme meurt des suites d’un ransomware

Ce que les experts en cybersécurité craignaient depuis longtemps est enfin arrivé. Une femme est décédée suite à une attaque de malware. Arrivée aux urgences d’un hôpital de Düsseldorf, en Allemagne, elle n’a pas pu être prise en charge par des médecins car le système informatique était paralysé par un ransomware ou un ransomware.

Au total, 30 serveurs d’hôpitaux de Düsseldorf ont été infectés par un ransomware, qui a crypté les disques durs et laissé des instructions adressées à l’Université Heinrich Heine, à laquelle l’établissement est affilié. L’hôpital n’était pas la cible des pirates et a été accidentellement pris dans l’attaque. Le patient a dû être transféré dans un hôpital de la ville voisine de Wuppertal, à 32 kilomètres. Les médecins n’ont pas pu commencer le traitement pendant une heure et elle n’a pas survécu.

Les auteurs risquent d’être tués
La police a contacté les auteurs de l’attaque pour les informer de la situation. Ils ont alors immédiatement fourni la clé de cryptage pour bloquer les serveurs concernés. L’hôpital rapporte qu’il n’a subi aucune perte de données et que les systèmes sont redémarrés. L’attaque aurait exploité un bogue dans un produit Citrix (CVE-2019-19781).

Ce n’est pas la première attaque de ransomware dans un hôpital, car d’autres ont déjà forcé les médecins à transférer des patients vers d’autres établissements. Cependant, il peut s’agir du premier décès lié aux logiciels malveillants, directement ou indirectement. Une enquête est en cours pour établir le lien de causalité. Dans ce cas, les auteurs pourraient être accusés de meurtre.

SOURCES:

Hôpital: une femme meurt des suites d’un ransomware
Futura-Sciences

Une femme est décédée jeudi en Allemagne après une attaque de ransomware qui visait à tort un hôpital.
Ransomware: une attaque soupçonnée de provoquer un …
ZDNet France

Ransomware: une menace majeure avec de nombreuses inconnues

Les cybercriminels ont fait près de 700 victimes dans le monde depuis le début de l’année. Nous avons identifié plusieurs dizaines de cas en France. Mais la transparence semble encore très limitée.

Ransomware: une menace majeure avec de nombreuses inconnues

Comment déterminer l’importance de la menace? Quelques exemples épars, plus ou moins frappants, suffisent-ils à éveiller la conscience? Rien n’est moins sûr. Mais il n’y a aucun doute: la menace des ransomwares augmente.LIEN

Nouveau site pour le dépannage informatique sur Hyères

Site de dépannage informatique

Non seulement les gens méritent d’être protégés en cette année spéciale 2020, mais votre informatique doit également avoir tout à portée pour rester en bonne état de marche. Et pour l’occasion, Informatique-hyeres.fr vous propose des services de dépannage, réseau, sécurité et entretien informatique sur Hyères et alentours.

Merci à Informatique-hyeres.fr pour l’échange de lien.

Equinix affecté par le Ransomware NetWalker

Equinix, responsable mondial de centre de données, affirme avoir été ciblé par un ransomware. Heureusement, les données client ne sont pas compromises (normalement!)

Les centres de données sont désormais considérés comme des coffres-forts. Le fournisseur mondial de centres de données Equinix affirme avoir été ciblé par une cyberattaque de type ransomware.

La société n’a pas fourni de détails sur l’attaque et a simplement déclaré qu’une enquête avait été ouverte et que les autorités avaient été prévenues. Cependant, le site Web Bleeping Computer affirme avoir reçu une copie de la rançon reçue par Equinix.

Selon la source, la note contenait une capture d’écran de dossiers contenant des fichiers cryptés par des logiciels malveillants. Selon les noms de ces fichiers, ils contiennent des données très sensibles telles que des informations juridiques et financières.

Par cette note, les pirates menaceraient Equinix d’envoyer les fichiers sur Internet si la rançon n’est pas payée dans les trois jours. Cette attaque aurait eu lieu le week-end dernier.

Un lien ajouté à la note a conduit à un site de paiement de rançon. Le montant demandé était de 455 Bitcoins ou l’équivalent de 4,5 millions de dollars. Les criminels ont également menacé de doubler la somme si la rançon n’était pas payée rapidement. On ne sait pas encore si Equinix a choisi de payer ou non.

Quoi qu’il en soit, la société affirme que seules les données de ses propres systèmes ont été compromises. Bien que la plupart des clients exploitent leur propre équipement dans ses centres de données, leurs données et leur fonctionnement n’ont pas été affectés.
Les centres de données ont été pleinement opérationnels ainsi que les services gérés proposés par la société. En d’autres termes, Equinix a frôlé le désastre car une fuite de données de ses clients les aurait sans doute incités à changer de fournisseur.

Pour rappel, Equinix est le leader mondial du marché des data centers en termes de chiffre d’affaires. Basée à Redwood City, en Californie, la société exploite plus de 200 centres de données dans 55 pays à travers le monde. Ses clients comprennent Ford, Netflix et Spotify.
Si même ce colosse peut être paralysé par les ransomwares alors que ses serveurs sont sécurisés par les technologies les plus avancées, c’est la preuve que personne n’est plus à l’abri des cybercriminels. En fait, Equinix n’est pas le premier fournisseur de centres de données à être victime d’une cyberattaque.

Les attaques de ransomwares visent généralement des individus, mais les pirates ciblent désormais les grandes entreprises informatiques et leurs centres de données. Un autre fournisseur, CyrusOne, a également payé le prix. Il en va de même pour le producteur d’aluminium Norsk Hydro, l’Université de Californie à San Francisco et le système juridique du Texas.

Il existe plusieurs mesures préventives pour protéger vos systèmes contre les ransomwares en adoptant les meilleures pratiques de cybersécurité. Assurez-vous de sauvegarder vos données les plus sensibles et de les chiffrer afin qu’elles ne puissent pas être utilisées par des pirates. Même si vous êtes victime d’un ransomware, il existe des remèdes qui peuvent vous permettre de récupérer vos données sans payer la rançon. Consultez notre guide à ce sujet.

SOURCES:

4,5 millions d’euros Rançon pour Equinix affectée par le ransomware
LeMondeInformatique


Le géant du data center Equinix victime d’un ransomware
LeBigData


Ransomware: Equinix détruit par NetWalker
Silicom


Equinix enquête sur « un incident de sécurité »
Next INpact


Victime de ransomware, leader mondial des data centers Equinix
Numerama

Tribunal de Paris victime d’une cyberattaque, « une enquête a été ouverte » (voilà, voilà…)

Le tribunal de Paris a été victime d’une cyberattaque en envoyant de faux courriels à plusieurs juges et avocats, dont certains sont associés à des affaires très sensibles. Une première enquête remise aux services de renseignement internes a été ouverte pour déterminer les causes de l’incident et ses auteurs.

LA JUSTICE SE MODERNISE ?

Le tribunal de Paris a été victime d’une attaque informatique, révèle le Journal du Dimanche (JDD) le 6 septembre. Une première enquête sur les «attaques contre des systèmes automatisés de traitement de données contenant des données à caractère personnel mis en œuvre par l’État» a été ouverte pour déterminer les causes de l’incident et ses auteurs. Il a été remis à la direction générale de la sécurité intérieure (DGSI), chef du renseignement français, compte tenu de la sensibilité de l’affaire.

Cette institution judiciaire est composée de quatre unités: le siège, le parquet de Paris, le parquet national (PNF) et le parquet national contre le terrorisme. C’est la juridiction qui traite la plupart des affaires en France, dont certaines sont très sensibles comme l’affaire Sarkozy-Kadhafi.

ENVOYER DE FAUX EMAILS
Cette cyberattaque consistait à envoyer de faux courriels à plusieurs juges et avocats. Pierre Cornut-Gentille et Jean-Marc Delas, avocats en droit pénal des affaires, ont reçu des messages sous forme d’échanges entre les deux collègues ou entre les cabinets des cabinets. Pierre Cornut-Gentille a été prévenu par « la fausse adresse ». Méfiant, l’avocat a décidé de « ne pas cliquer ». «Du coup je n’ai pas été joint, comme l’a confirmé mon informaticien», raconte-t-il. De son côté, Jean-Marc Delas a vu que son activité avait été fortement perturbée par l’attaque suite à l’ouverture d’un mail contaminé. «En fin de compte, je me suis retrouvé dans une situation où je n’avais plus accès à mon ordinateur», explique-t-il.

Aude Buresi, juge d’instruction à la place financière responsable du financement illégal de l’ancienne affaire ONU et Kerviel, a également été victime de l’attaque. Elle a dû revoir le calendrier de ses examens. Les invocations d’il y a plusieurs semaines ont été reportées. Selon des sources judiciaires, elle n’est pas la seule juge à avoir payé le prix de cet incident. Rémy Heitz, le procureur de la République, a également été visé. Il estime que le piratage informatique doit être pris très au sérieux en ce qui concerne les personnes concernées et les données potentiellement volées par les cybercriminels.

LE SERVICE POUR L’INTÉRIEUR, AUSSI!
Mais selon Le Figaro, cette cyberattaque ne se limite pas au tribunal de Paris. Dimanche après-midi, le ministère de l’Intérieur a déclaré qu’il était « actuellement victime d’une campagne d’attaques de courrier ». Il a bloqué la réception par email des fichiers au format .doc « pour éviter les risques de contamination ». Il est impossible de savoir pour le moment si les deux attaques sont liées.

Le Tribunal de Paris vient s’ajouter à la longue liste des organisations victimes d’une cyberattaque. Côté public on retrouve le conseil de quartier d’Eure-et-Loir, le CHU de Rouen, l’Agence nationale de l’éducation des adultes (Afpa), les services administratifs du Grand Est, le groupe AP-HP … Quant aux entreprises privées, Bouygues Construction victime d’un ransomware ainsi que de la filiale «Transport et logistique» du groupe Bolloré. Et cette tendance est partagée par la plupart des États du monde. Aux États-Unis, pas moins de 50 collectivités locales ont été touchées par un incident de sécurité depuis janvier 2020. LIEN

Panpharma touché par des ransomwares

Les opérateurs du ransomware Nefilim ont révélé avoir ciblé le spécialiste breton des antibiotiques injectables Panpharma. Des fichiers et des fichiers d’audit pour des dizaines de pays auraient été volés.

Dans le contexte d’une augmentation explosive du nombre de cybermenaces en France en cette rentrée 2020 (Léon Grosse, tribunal de Paris …) et après un été meurtrier, la tragique boule des ransomwares semble malheureusement se poursuivre. Zataz et Ransom Leaks ont en fait montré que les opérateurs malveillants derrière le ransomware Nefilim ont de nouveau frappé. Quelques semaines après l’attaque d’une filiale d’Orange ainsi que de Spie, ce groupe a probablement affronté un autre groupe français, à savoir le fabricant breton de médicaments injectables et d’antibiotiques Panpharma. LIEN

Pourquoi la menace des Ransomwares peut s’aggraver

Le début d’année a été clairement lucratif pour les ransomwares en France. L’Anssi et la plateforme Cybermalveillance le soulignent. Surtout, ce n’est qu’un début!

L’Agence nationale de sécurité des systèmes d’information (Anssi) et la Direction des affaires criminelles et des grâces (DACG) du ministère de la Justice viennent de publier un guide visant à sensibiliser les entreprises et les collectivités à la menace des ransomwares.

Et il semble qu’il y ait plus qu’une simple urgence: depuis le début de l’année, Anssi dit avoir traité 104 attaques de ransomwares, contre 54 en 2019 dans son ensemble. Et l’agence souligne que « ces chiffres ne donnent pas un aperçu complet des ransomwares actuels affectant le territoire national ». Comme nous le signalait le CERT de Capgemini sur Twitter – «il faut compter toutes [les attaques] gérées par les équipes du CERT en dehors d’Anssi» – mais aussi une confirmation que les cas connus, même dans les médias, ne représentent pas qu’une fraction des cyberattaques avec un ransomware. Et pourtant, ne serait-ce que pour la France, la liste des incidents connus peut déjà paraître très longue.

Concernant la plateforme Cybermalveillance.gouv.fr, Jérôme Notin, PDG de GIP Acyma, rapporte 1.082 signalements de ransomwares à ce jour depuis le lancement de la plateforme le 4 février, auprès de 44% d’entreprises ou d’associations et 10% d’administrations ou de collectivités. Hélas, plusieurs éléments convergent pour suggérer que la vague est loin d’être terminée.

La publication de ce guide par Anssi et DACG constitue un premier indice: il n’y aurait guère de raison de l’être si l’agression des cybercriminels semble être en déclin. Il est évident qu’il s’agit d’une tentative des autorités pour empêcher que la chute ne s’aggrave qu’une source déjà perceptible par rapport à fin 2019.

Trop de systèmes vulnérables
Deuxième indice: certains messages semblent encore avoir du mal à passer, laissant des routes ouvertes aux attaquants. Cela commence par un patch, en particulier pour certains équipements sensibles. Le moteur de recherche spécialisé Onyphe a récemment identifié 15 systèmes Citrix Netscaler Gateway pour les entreprises du Fortune 500 touchées par la vulnérabilité CVE-2019-19871 exposées à Internet, mais aussi 659 Cisco ASA affectés par la CVE-2020- 3452, tous les mêmes 5 serveurs VPN Pulse Secure ou près de soixante systèmes SAP affectés par la vulnérabilité CVE-2020-6287.

Au cours de l’été, nous avons même observé un groupe affecté par une attaque de cyber-ransomware exposant un système affecté par l’une de ces vulnérabilités, malgré des messages et des rappels qui ont duré plusieurs semaines. Et cela sans prendre en compte les services RDP disponibles en ligne sans authentification de la couche réseau (NLA). Autant de points d’entrée sans même parler de phishing.

Les attaques de ransomwares actuelles et la cybercriminalité économique empruntent plus généralement aux APT, a souligné Ivan Kwiatkowski des équipes de recherche et d’analyse de Kaspersky dans nos colonnes début février. Concrètement, cela signifie que l’attaque s’étend très profondément dans le système d’information jusqu’à ce qu’elle obtienne des privilèges dignes d’un administrateur et fournisse un accès très large aux données de l’entreprise compromise.

Passer d’une cible à une autre
Cela donne lieu à un premier risque: le risque de propagation – immédiate ou ultérieure – de l’attaque à des tiers en dehors de la victime d’origine, des clients ou des partenaires. Il existe un soupçon de connexion entre la cyberattaque de Maze contre Xerox et HCL Technologies, sur laquelle aucune des parties ne souhaite commenter. Mais en 2019, la start-up Huntress Labs a détaillé trois incidents dans lesquels des ordinateurs de clients de fournisseurs de services gérés ont été compromis par un ransomware via des outils de gestion à distance. Et ça ne s’arrête pas là.

Les données volées par les cybercriminels avant que leur ransomware ne soit déclenché peuvent être une mine d’or pour les futures campagnes de phishing hautement ciblées … et faciliter l’utilisation d’informations authentiques récupérées lors de l’attaque précédente. Une seule liste de milliers d’adresses e-mail avec quelques éléments personnels supplémentaires peut être un formidable point de départ.

À la mi-juillet, Brett Callow d’Emsisoft a attiré notre attention sur un cas aussi suspect: Nefilim a revendiqué la responsabilité d’une attaque contre Stadler en mai; NetWalker en a revendiqué un sur Triniti Metro début juillet; l’une des captures d’écran de ce dernier était un dossier nommé … «lettres Stadler». Pour l’analyste, «ces composés semblent trop souvent être des coïncidences». Et ce, même si NetWalker fait confiance aux «partenaires», alors que Nefilim opérerait plutôt dans le vide. Car rien ne dit qu’un des partenaires NetWalker n’a pas regardé les données que Nefilim a précédemment publiées pour les utiliser dans le cadre de l’attaque sur Triniti Metro …

Un espoir: la limitation des ressources disponibles
Récemment, de nouveaux groupes de cybercriminalité sont apparus qui combinent le cryptage et le vol de données avec la menace de divulgation pour soutenir leurs efforts d’extorsion. Mais la capacité des cybercriminels à exploiter toutes les pistes qu’ils obtiennent n’est pas illimitée. Des appels aux «partenaires» ont lieu régulièrement sur les forums qu’ils visitent. Et les profils recherchés ont un haut niveau de compétence: bien que les outils disponibles gratuitement ne manquent pas, la phase de reconnaissance manuelle avant la mise en œuvre et la détonation du ransomware nécessite une certaine expertise. Cependant, rien ne garantit que certains spécialistes des étapes intermédiaires des attaques n’interviendront pas pour différents groupes.

De toute évidence, toutes ces voies ne doivent pas être exploitées en même temps: la lenteur de nombreuses organisations à fermer les portes d’entrée qu’elles laissent ouvertes sur Internet n’aide que les cybercriminels. Attention donc: un répit peut donner l’impression de se retirer de la menace, du moment qu’il ne s’agit que d’une illusion. Et une chose semble certaine: il n’est pas temps de se détendre.

Le groupe de construction et le ransomware (histoire)

Le groupe de construction Leon Grosse a été impacté par le ransomware Maze, qui avait déjà été illustré pour avoir également fait rage sur Bouygues Construction. L’entreprise indique un retour progressif à la normale de ses équipements et services informatiques.

L’été meurtrier des ransomwares n’est pas terminé. Après Bouygues Construction et Rabot Dutilleul, c’est au tour d’un autre groupe de construction d’être touché par les ransomwares. Dans ce cas, c’est la société Léon Grosse qui est touchée par le labyrinthe, selon Ransom Leaks. Ce malware est illustré avec précision pour affecter Bouygues Construction, tandis que du côté de Rabot Dutilleul, c’est le ransomware Netwalker qui l’a envahi.

« Le groupe Léon Grosse a fait l’objet d’une cyberattaque le 26 août 2020. Les systèmes d’information ont donc été interrompus pour stopper la propagation de l’attaque », a expliqué la société. Les équipes, accompagnées d’experts externes, travaillent actuellement pour analyser et rétablir la situation dans les meilleurs délais. Les équipements et services informatiques sont ainsi progressivement restaurés. En coopération avec les autorités compétentes, tout est mis en œuvre pour limiter l’impact de cet incident sur nos clients et partenaires ». Contacté pour plus de détails, Léon Grosse n’a pas encore répondu à notre demande.

Les sites Web ne sont toujours pas disponibles
Si Léon Grosse indique que son activité commerciale ainsi que ses sites Internet fonctionnent, ce n’est pas encore le cas de son informatique, en tout cas qu’il supporte ses sites Internet: «Pour des raisons techniques, les sites Internet du Groupe Léon Grosse et de ses filiales sont temporairement indisponibles . Nous travaillons au redémarrage de toutes nos pages, et nous nous en excusons », peut-on relire cet après-midi sur le site principal de l’entreprise. Léon Grosse a été fondée en 1954 et compte près de 2 300 employés et un chiffre d’affaires de près de 725 millions d’euros l’an dernier. LIEN

Des ransomwares pour Tesla!

Un employé de Tesla a refusé 1 million de dollars à un espion russe pour pirater l’usine Tesla au Nevada.

Tout commence comme un mauvais roman d’espionnage. Un citoyen russe, Egor Igorevich Kriuchkov, a été arrêté le 22 août à Los Angeles alors qu’il tentait de quitter le pays. Suite à une enquête du FBI, il a été accusé de complot. Il est arrivé aux États-Unis sous le couvert d’un visa de touriste et a affirmé avoir attaqué un pot-de-vin d’un employé d’une entreprise du Nevada. Il lui aurait offert un million de dollars pour infecter le réseau de produits en vrac de l’entreprise.

Ladite société n’est autre que Tesla, comme l’a tweeté son fondateur Elon Musk. « C’était une attaque sérieuse », a déclaré le chef. Moi M. Le plan de Kriuchkov était que l’implantation de ransomwares soit en fait couverte par une attaque DDoS contre l’usine Gigafactory. Et ainsi tromper les équipes informatiques de Tesla.

Combinez sécurité informatique et sécurité
Pour s’adresser à l’employé de Tesla, Kriuchkov l’aurait contacté à l’avance via WhatsApp avant de le rencontrer physiquement à plusieurs reprises du 1er au 3 août, notamment lors d’un voyage au lac Tahos avec d’autres employés de l’entreprise. Après avoir révélé son plan, le Russe aurait donné à l’employé un appel téléphonique unique et lui aurait demandé de le laisser en mode avion jusqu’à ce que les fonds soient transférés. En contrepartie de cette compensation, l’employé devait soit introduire un ransomware via une clé USB ou en cliquant sur une pièce jointe dans un e-mail, mais aussi fournir des informations en amont sur le réseau de Tesla pour améliorer la charge.

L’acte d’accusation a enregistré une discussion entre Egor Igorevich Kriuchkov et le collaborateur de Tesla, dans laquelle le citoyen russe se vantait d’avoir été impliqué dans deux projets similaires. Les entreprises ont généralement négocié une rançon et donnent l’exemple d’une entreprise qui a finalement payé 4 millions de dollars au lieu de 6. Il peut évoquer le cas de Carlson Wagonlit Travel, soupçonné d’avoir payé 4,5 millions de dollars. dollars. L’homme peut être lié au gang derrière le ransomware Ragnar Locker. Dans tous les cas, pour avoir tenté de soudoyer un employé de Tesla, il encourt jusqu’à 5 ans de prison et une amende de 250000 $.

Cette affaire montre que les opérateurs de ransomwares tentent par tous les moyens de pénétrer les réseaux des grandes entreprises. Dans ce contexte, la sécurité informatique ne suffit pas et il est important que les services travaillent également avec la sécurité physique.

Le secteur de l’aviation et du tourisme, cible des cybercriminels

L’absence de protocole rend les entreprises vulnérables aux cyberrisques
Les experts en sécurité informatique de Proofpoint ont publié les résultats de l’analyse DMARC (Domain-Based Message Verification Reporting and Compliance) montrant dans quelle mesure les compagnies aériennes sont exposées aux cyberattaques.

Réalisée sur 296 compagnies aériennes membres de l’Association du transport aérien international (IATA), qui représente 82% du trafic mondial, l’étude montre que 61% des compagnies aériennes n’ont pas de registre DMARC publié, ce qui les rend plus vulnérables aux cybercriminels, il s’agit de voler leur identité et ainsi d’augmenter le risque de fraude par e-mail. LIEN