Catégories
informatique prix Ransomware

UN CERCLE SAUVAGE: L’ÉCONOMIE DU RANSOMWARE

La ville de Lake City en Floride a payé une rançon d’env. 413000 €

Depuis le milieu des années 2000, les ransomwares sont l’un des piliers du paysage des cybermenaces. Ils sont utilisés pour tout cibler, des particuliers aux multinationales en passant par les PME. Ces dernières années, la popularité des ransomwares a semblé décliner alors que le monde commençait à prendre la cybersécurité plus au sérieux. En conséquence, les criminels se sont tournés vers des formes d’attaque nouvelles et plus sophistiquées, telles que le crypto-couplage. Mais alors que l’apogée des ransomwares semblait terminée, une récente résurgence les a fait grimper en haut de la liste des cybercrimes.
Réapparition du ransomware
En 2019, environ 184 millions de personnes ont été victimes d’attaques de rançongiciels, parmi les plus médiatisées ciblées par les gouvernements américains, tels que Lake City en Floride, Baltimore et Maryland. Alors qu’une grande partie de cette résurgence peut être attribuée à l’arrivée de nouvelles mutations de ransomware (Dharma, GandCrab et Ryuk étaient parmi les types de ransomware les plus actifs au cours du semestre de cette année), un autre facteur joue également un rôle clé: la croissance de cyber-assurance.

À première vue, il peut sembler étrange de suggérer qu’une police d’assurance cyber meilleure et plus complète puisse en fait conduire à une augmentation des attaques de ransomwares, mais un examen plus approfondi des faits semble suggérer. Pourquoi? Parce que dans de nombreux cas, il est beaucoup moins cher de payer la rançon que d’essayer de récupérer d’autres données perdues, ce qui coûte souvent des millions de dollars. Plus les victimes de ransomware utilisent les compagnies d’assurance pour payer une rançon, plus les criminels sont encouragés à lancer des attaques de ransomware.

La cyberassurance est une activité à grande échelle
Le marché mondial de la cyberassurance devrait passer d’env. 5,3 milliards de dollars Euro en primes payées aujourd’hui à 13 milliards de dollars Euro en 2022, selon RBC Capital Markets. La cyberassurance s’avère également beaucoup plus rentable pour les compagnies d’assurance que de nombreux autres domaines d’assurance. Selon un rapport de la firme de services professionnels basée à Londres, Aon, le taux de perte pour la cyber police américaine était d’environ. 35% en 2018, ce qui signifie que les assureurs ont payé environ 35 cents en compensation pour chaque dollar collecté. Cela peut être comparé à env. 62% de l’assurance non-vie, ce qui en fait un domaine de croissance que de nombreuses compagnies d’assurance recherchent activement.

Bien sûr, la résurgence de la menace des ransomwares a également renforcé d’autres domaines de l’industrie de la sécurité, tels que la récupération de données et la sauvegarde sécurisée dans le cloud. Même dans les ransomwares, les victimes ont de telles garanties dans de nombreux cas, cependant, elles choisissent toujours de payer l’attaquant par le biais d’une assurance. En fait, le temps nécessaire pour récupérer une sauvegarde cloud complète (qui peut prendre un mois ou plus) est toujours plus cher en cas de perte de revenu que de simplement payer la rançon. De même, pour les assureurs, il est moins cher de payer la rançon que de payer la facture pour récupérer soi-même les données.

Pour recontextualiser tout cela, l’administration de la ville de Lake City, en Floride, a payé une rançon d’environ 413 000 € plus tôt cette année via sa police d’assurance cyber. Le gouvernement lui-même n’a dû payer la franchise que 8 900 €. La compagnie d’assurance Beazley a payé le solde de la rançon. Il s’est avéré que cette décision a été prise suite à la recommandation de Beazley, car la récupération à long terme de la sauvegarde des données aurait presque certainement coûté des millions de dollars. Bien que l’attaque et sa décision finale aient fait la une des journaux nationaux aux États-Unis, elle a permis à l’administration municipale et à sa compagnie d’assurance de réaliser des économies importantes et a également permis aux municipalités de reprendre le travail beaucoup plus rapidement.

À l’inverse, l’administration de la ville de Baltimore, également affectée par une attaque de ransomware, n’avait pas de cyberassurance à l’époque. Au lieu de payer la rançon de 67000 €, l’administration a choisi d’essayer de récupérer les données elles-mêmes, qui ont jusqu’à présent coûté plus de 4,7 millions d’euros …

Un cercle diabolique
Lorsque les chiffres sont exposés de cette manière, il est facile de comprendre pourquoi tant de victimes de ransomwares et de compagnies d’assurance choisissent de partir. Lien

Catégories
COVID-19 hyères informatique Ransomware

TRÊVE – Certains des groupes de pirates informatiques les plus actifs, ont annoncé qu’ils n’attaqueront pas les établissements de santé pendant la pandémie de coronavirus.

Armistice pour une bonne cause. C’est en quelque sorte le message commun envoyé par des groupes de hackers connus tels que Maze, DoppelPaymer, Ryuk, Sodinokibi / REvil, PwndLocker et Ako.

Ces groupes ont été contactés par le site Web Bleeping Computer et ont déclaré qu’ils ne cibleraient plus les établissements de santé et médicaux pendant l’épidémie de coronavirus. Cependant, ils se sont rendus compte en attaquant ces entreprises avec des ransomware, rançon qui consistait à bloquer des ordinateurs sur un réseau ou même à saisir des données et à accéder à ses propriétaires uniquement après avoir payé une rançon.

Hôpitaux non, sociétés pharmaceutiques oui
« Si nous le faisons par erreur, nous le débloquons gratuitement », disent les pirates, expliquant qu’il suffit de les contacter par e-mail et de fournir la preuve de leur déverrouillage. Mais cela ne signifie pas épargner l’industrie pharmaceutique, qui « gagne beaucoup d’argent en paniquant. Nous n’avons aucune envie de les soutenir. Pendant que les médecins agissent, ces gars s’enrichissent ».

Mardi, plusieurs sociétés comme Emsisoft et Coveware ont offert une assistance médicale gratuite pour se protéger des attaques informatiques pendant l’épidémie de Covid-19. L’hôpital de Brno en République tchèque a été la cible de ransomwares. Le département d’État américain a ainsi été victime d’une attaque DDoS dimanche dernier (grand nombre de connexions simultanées) et n’était pas disponible, empêchant les internautes de connaître des informations sur le coronavirus. LIEN

Catégories
COVID-19 hyères informatique Ransomware

Coronavirus: une application Android qui suit l’épidémie qui cache un ransomware

Cette application Android qui suit la propagation de l’épidémie de coronavirus dans le monde cache un ransomware dangereux. Nommée CovidLock, l’application verrouillera votre smartphone avant d’exiger une rançon en bitcoin.

CovidLock, une application pour le suivi de la pandémie de coronavirus Android, cache en fait un ransomware, rapporte Tarik Saleh, chercheur en sécurité informatique chez DomainTools. Heureusement, l’application n’est pas disponible sur le Google Play Store. CovidLock ne peut être téléchargé qu’à partir du site d’application du coronavirus. Depuis le début de la pandémie, les pirates utilisent des cartes de suivi en ligne pour propager des logiciels malveillants.

Ce malware déverrouille votre smartphone Android
Une fois le ransomware installé sur les smartphones des utilisateurs, l’appareil se verrouille rapidement. Notez que les logiciels malveillants ne peuvent être utilisés que sur les téléphones sans mot de passe. En fait, CovidLock vous définira un mot de passe pour vous empêcher d’accéder à votre terminal. Si vous avez enregistré un mot de passe sur votre smartphone, comme la plupart des utilisateurs, vous courez le risque. Pour des raisons de sécurité, nous vous invitons à sélectionner rapidement un mot de passe.

Une fois votre smartphone verrouillé, les pirates vous donnent 24 heures pour déposer 100 $ en bitcoin à une adresse BTC. En échange d’une rançon, ils s’engagent à ne pas supprimer vos données (photos, vidéos, …) et à ne pas publier de contenu privé sur les réseaux sociaux. Une fois la rançon reçue, les pirates s’engagent à fournir un code pour déverrouiller votre appareil. «Votre position GPS est surveillée et votre position est connue. Si vous essayez quelque chose de stupide, votre smartphone est automatiquement supprimé », menace le message d’avertissement affiché par les pirates.

Lire aussi: les pirates informatiques profitent de l’épidémie de coronavirus pour propager des logiciels malveillants dangereux

« Les cybercriminels aiment exploiter les utilisateurs d’Internet lorsqu’ils sont les plus vulnérables. Ils utilisent des événements dramatiques qui font peur aux gens pour faire des profits. Chaque fois qu’il y a de grands cycles de nouvelles sur un sujet qui provoque une forte réaction, les cybercriminels essaient de tirer « Nous vous invitons donc à faire preuve de prudence sur les sites non officiels liés à la pandémie. Nous vous recommandons également de ne jamais télécharger l’APK de sources inconnues. smartphone.

Lien

Catégories
hyères informatique Ransomware

Ransomware: les dernières tendances nécessitent une nouvelle approche


En 2019, les ransomwares ont connu une activité, tandis que les opérateurs mobiles ont fait tout leur possible pour accélérer la transformation des réseaux en 5G, et le RGPD était en place depuis un an. Des amendes record ont été infligées aux entreprises qui ont subi des violations de Big Data. Compte tenu de la plus grande demande de ransomware en tant que service sur les forums secrets et de l’anonymat sur le dark web, la vague de ces cybermenaces n’est pas une surprise.

Croissance accrue des ransomwares
Les attaques de ransomwares sont de plus en plus courantes car elles peuvent affecter des entreprises de toutes tailles. En fait, une petite quantité de données suffit pour relâcher une organisation entière, une ville ou même un pays. Les attaques contre les villes et les communautés se poursuivront dans le monde entier.

Les attaques de rançongiciels et d’autres logiciels malveillants modulaires ou à plusieurs niveaux deviennent la norme à mesure que cette technique d’évitement devient plus courante. Les attaques modulaires utilisent des chevaux de Troie et des virus pour lancer l’attaque avant de télécharger et de lancer une vraie rançon ou un logiciel malveillant. 70% des actions malveillantes reposent sur le chiffrement pour contourner les mesures de sécurité (attaques de logiciels malveillants chiffrés).

Dans ce contexte, il devient de plus en plus difficile de rassembler en interne les compétences essentielles en matière de sécurité. Par conséquent, les équipes de sécurité ne sont plus en mesure de garantir la sécurité de leurs politiques et d’utiliser pleinement leurs investissements en matière de sécurité.

Retard dans l’adoption de nouvelles normes de chiffrement
Alors que les réglementations TLS 1.3 ont été ratifiées par Internet Engineering Taskforce en août 2018, leur utilisation reste au mieux car moins de 10% des sites ont adopté TLS 1.3. TLS 1.2 reste à jour et se démarque donc comme la version TLS de référence dans la mesure où elle n’est pas encore compromise. Il prend en charge PFS, mais l’adoption de nouvelles normes est notoirement lente. À l’inverse, le cryptage ECC (Elliptical-curve cryptology) a un taux d’adoption de 80%, tandis que le cryptage plus ancien, en particulier RSA, disparaît.

Cryptage: choix de la raison
Le décryptage TLS sera répandu car le nombre d’attaques utilisant le cryptage pour les infections et les violations de données continue d’augmenter. Comme le déchiffrement mobilise beaucoup de ressources informatiques, la dégradation des performances du pare-feu dépassera 50% et la plupart des entreprises continueront de payer plus cher pour le déchiffrement SSL en raison du manque de compétences internes des équipes de sécurité. Pour compenser la perte de performances du pare-feu et le manque de personnel qualifié, il est impératif que les entreprises adoptent des solutions de déchiffrement dédiées, tandis que les pare-feu de nouvelle génération (NGFW) plus efficaces continuent d’affiner leurs capacités de déchiffrement matériel.

Les cyberattaques sont devenues la norme. Cela signifie que les entreprises, les gouvernements et les consommateurs doivent être constamment sur leurs gardes. En effet, la transition vers les réseaux mobiles 5G et la généralisation de l’IoT, tant pour les consommateurs que pour les entreprises, seront des facteurs cruciaux. Le risque de cyberattaques massives et généralisées a augmenté de façon exponentielle. Espérons que les organisations ainsi que les fournisseurs de services de sécurité se concentreront sur l’analyse des besoins de sécurité et sur l’investissement dans des solutions et des politiques qui leur donneront de meilleures chances de se défendre dans le contexte de cybermenaces constantes. évolution.

Catégories
hyères informatique Ransomware

Snake, l’attaque des usines !

Les chercheurs en sécurité ont découvert des ransomwares capables de neutraliser un grand nombre de logiciels spécifiques aux systèmes d’information industriels. Du jamais vu sur la cybersphère.

2020 sera-t-elle l’année des ransomwares industriels? Jusqu’à présent, le ransomware, qui crypte les données de la victime et nécessite une rançon pour les décrypter, a principalement attaqué la couche informatique (technologies de l’information, système d’information d’entreprise). Leur nombre a plus que doublé en 2019 par rapport à 2018, amenant la cyber-communauté à parler des « années des ransomwares ».

Mais de nouveaux ransomwares font leur apparition, qui font désormais irruption dans l’atelier en attaquant les OT (technologies opérationnelles, le réseau industriel). Le serpent est l’un d’entre eux, particulièrement dérangeant. Le communiqué a été publié le 7 janvier sur Twitter par Vitali Kremez, membre de l’équipe Malware Hunter, chercheur en sécurité et employé du développeur américain de logiciels de cybersécurité SentinelOne, et Snake peut avoir un impact direct sur les opérations critiques dans les sites industriels. Une première!. Lien

Catégories
hyères informatique Ransomware

Ransomware: lorsque les attaquants atteignent leur cible en un instant


Si les cybercriminels peuvent rester longtemps dans le système d’information de la victime, ils sont également susceptibles d’agir très rapidement.


Le scénario semble bon. L’Agence nationale pour la sécurité des systèmes d’information (Anssi) a expliqué l’an dernier à propos de LockerGoga: l’exécution de ransomwares « s’effectue sur plusieurs semaines (voire mois) après le compromis effectif de la cible. Une étude approfondie de la cible et de son infrastructure est donc très Probablement. »En bref, lorsque le ransomware a été déclenché, les attaquants ont eu amplement le temps de compromettre largement le système d’information. Lien

Catégories
hyères informatique Ransomware

Ransomware: Mespinoza frappe les autorités locales françaises

Logiciel de rançon Mespinoza
Le CERT-FR attire l’attention sur le rançongiciel Mespinoza, une variante utilisée contre les autorités locales françaises.

La grande région orientale et méridionale, victime de Mespinoza?

Le CERT-FR ne le dit pas, mais émet un avertissement à propos de cette rançon, impliquée dans des attaques « ciblant les autorités locales françaises » *.

Utilisé depuis au moins octobre 2018, Mespinoza produisait à l’origine des fichiers avec l’extension .locked.

Depuis décembre 2019, une nouvelle version a été documentée en open source. La production de fichiers .pysa semble être la base de ces attaques.

Les logiciels malveillants se présentent sous deux formes:

un exécutable (svchost.exe) accompagné de scripts batch;
une archive Python qui contient, entre autres, une variable qui vous permet de sélectionner l’extension des fichiers cryptés. Ensuite, des fichiers .newversion ont été découverts sur l’un des SI compromis.
Cryptage fort?
Jusqu’à présent, le vecteur d’infection n’est pas connu. Cependant, selon le CERT-FR, plusieurs événements auraient pu permettre un accès initial ou une latéralisation:

Tentatives de connexion Brute Force sur une console d’administration et des comptes Active Directory
Filtrage de la base de données de mots de passe
Connexions RDP illégales entre les contrôleurs de domaine
L’un des scripts .bat exécute un script PowerShell sur les ordinateurs du réseau. Parmi ses caractéristiques:

Arrêtez les services, en particulier l’antivirus (il peut même désinstaller Windows Defender)
Suppression de points de restauration et d’instantanés sur le cliché instantané
Le cryptage est basé sur les bibliothèques pyas et rsa. Aucune erreur n’y a encore été détectée, précise le CERT-FR. Et les algorithmes utilisés sont « avancés ». En d’autres termes, il est encore difficile de récupérer des données pour le moment.

  • Des attaques de ransomwares ont eu lieu ces dernières semaines au Grand Est (notamment à Charleville-Mézières) puis dans la Région Sud (Aix-Marseille). Lien
Catégories
hyères informatique Ransomware

Le groupe Essilor affecté par un ransomware


Le groupe Essilor, spécialisé dans l’optique, a été victime d’une attaque informatique qui a paralysé plusieurs de ses serveurs le samedi 21 mars. L’entreprise affirme que leurs équipes sont en train de redémarrer le système informatique.

Essilor rejoint le club des entreprises françaises victimes d’attaques de ransomwares. La société a été victime d’une attaque informatique samedi 21 mars, qui « a temporairement interrompu l’accès à certains serveurs et ordinateurs personnels », selon un porte-parole du groupe. « Les équipes informatiques d’Essilor ont immédiatement réagi – avec le soutien d’experts antivirus externes – pour empêcher la propagation de logiciels malveillants et protéger nos données et nos systèmes », indique le communiqué, citant une attaque qui exploitait « un nouveau type de virus ». Au travail.

Le groupe Essilor déclare que « les serveurs affectés ont été immédiatement isolés et que de nouveaux correctifs et pare-feu ont été installés » et qu’un redémarrage des systèmes est en cours, orchestré par les équipes informatiques d’Essilor, avec le soutien de sociétés antivirus externes.

L’information a été révélée pour la première fois par L’Express, qui a déclaré que l’attaquant avait utilisé un rançongiciel pour crypter les données de l’entreprise et perturber les systèmes. Les systèmes les plus importants concernés sont, selon L’Express, le système informatique interne et les logiciels de commande. Le magazine mentionne également une rançon que l’annonce du groupe refuse de commenter. Lien