Après que la rançon NetWalker a verrouillé plusieurs serveurs de sa faculté de médecine, l’UCSF a payé la rançon pour décrypter les données et restaurer le fonctionnement des systèmes affectés.
29 juin 2020 – L’Université de Californie à San Francisco a récemment payé une demande de rançon de 1,14 million de dollars après que les acteurs de la menace NetWalker aient infecté plusieurs serveurs de sa School of Medicine avec une rançon, rapporté pour la première fois par Bloomberg.
Les acteurs de la menace NetWalker ont suivi la voie du tristement célèbre groupe de piratage de rançongiciels Maze. Les pirates prennent d’abord pied sur le réseau des victimes, se déplacent latéralement sur le réseau à travers des appareils vulnérables, puis volent des informations précieuses avant de lancer la charge utile du ransomware.
Les chercheurs ont récemment averti que NetWalker avait depuis étendu ses opérations à un modèle RaS (Ransomware-as-a-Service) pour s’associer à d’autres cybercriminels expérimentés et cibler le domaine des soins de santé dans le cadre de la pandémie de COVID-19. Le district de santé publique de Champaign-Urbana de l’Illinois a été victime du rançongiciel NetWalker en mars.LIEN
Les ransomwares restent la cyber-menace la plus courante pour les PME, selon une étude Datto auprès de plus de 1 400 décideurs politiques gérant des systèmes informatiques dans les PME.
Les PME, une cible majeure pour les pirates
Généralement, les grandes entreprises ont des systèmes de sécurité plus avancés, tandis que les petites entreprises n’ont pas les ressources et les ressources pour sécuriser sérieusement leur infrastructure informatique. Et les pirates l’ont compris.
Le nombre d’attaques de rançongiciels contre les PME est en augmentation. Quatre-vingt-cinq pour cent des MSP ont signalé des attaques contre les PME en 2019, contre 79% des MSP qui en ont fait état en 2018.
De plus, il y a une réelle rupture de l’importance des ransomwares en tant que menace. 89% des MSP déclarent que les PME devraient être très préoccupées par la menace des ransomwares. Cependant, seulement 28% des MSP disent que les PME sont très préoccupées par la menace
Comment vous en protégez-vous?
Il existe de nombreuses recommandations pour réduire le risque d’attaques, telles que la formation des employés à risque de cybersécurité, la mise à jour des systèmes, le renforcement des politiques de mot de passe, etc. Cependant, et surtout en matière de sécurité informatique, il n’y a pas de risque nul.
Il existe trois scénarios de défense pour ce type d’attaque:
Atténuation des risques: cela implique la mise en œuvre de solutions pour réduire le risque d’attaques. L’un des contrôles les plus efficaces pour se protéger contre les accès non autorisés est l’authentification multifactorielle. Préparation pour un processus de récupération: Il s’agit ici de préparer une attaque et de répondre après l’attaque. Surtout, ne payez pas la rançon car vous n’êtes pas sûr de récupérer vos données. Votre meilleure arme est de faire une sauvegarde régulière de vos données pour vous assurer de restaurer toutes vos données. Détection et approche proactive: cette procédure consiste à détecter et à stopper l’attaque avant que les dégâts ne se produisent. Si vous disposez d’un système de détection des attaques de ransomwares, vous pouvez l’arrêter avant que vos données ne soient cryptées.LIEN
Les primes proposées par la société japonaise concernent la PlayStation 4 et PlayStation Network. Comparés à Microsoft et Nintendo, ils sont assez généreux.
Comme vous le savez, Sony et sa PlayStation sont constamment la cible de pirates informatiques qui ont déjà réussi à pirater plusieurs fois leur compte de console ou de siphon sur le PlayStation Network. Pour réduire ce risque, la société a maintenant lancé un « bug bounty » sur la plateforme HackerOne, c’est-à-dire. un programme de récompense pour détecter les failles de sécurité. L’entreprise souligne que la sécurité est « un élément fondamental pour créer des expériences incroyables pour notre communauté ».
Ce programme couvre la PlayStation 4 et ses accessoires ainsi que les services en ligne fournis par PlayStation Network. Le montant des récompenses dépend du système analysé et des critiques. Cela commence à 100 $ pour une petite erreur dans les services en ligne. Pour une panne de console critique, vous pouvez obtenir plus de 50 000 $. Pour l’instant, les chercheurs participant à ce programme ont déjà trouvé 88 erreurs d’une valeur moyenne de 400 $.
En réalité, Sony est le dernier des grands joueurs de jeux vidéo à avoir créé un bug bounty, mais c’est le plus généreux. Microsoft en a lancé un pour la Xbox en janvier 2020, et Nintendo récompense les lacunes depuis quatre ans. Dans les deux cas, les récompenses peuvent aller jusqu’à 20 000 $ (sauf en cas de constat inhabituel).LIEN
Une campagne de rançongiciels, appelée Hakbit, cible les employés de niveau intermédiaire en Autriche, en Suisse et en Allemagne avec des pièces jointes Excel malveillantes fournies par le célèbre fournisseur de messagerie GMX.
La campagne de spear-phishing est de faible volume et a jusqu’à présent ciblé les secteurs pharmaceutique, juridique, financier, des services aux entreprises, du commerce de détail et des soins de santé. Les campagnes à faible volume, parfois appelées attaques de spam en raquettes, utilisent plusieurs domaines pour envoyer des rafales relativement petites de faux e-mails pour contourner la réputation ou le filtrage du spam en fonction du volume.
« La plus grande quantité de messages que nous avons observés a été envoyée aux secteurs de la technologie de l’information, de la fabrication, de l’assurance et de la technologie », ont écrit les chercheurs de Proofpoint dans une analyse lundi. Ils ont noté que << la majorité des rôles ciblés dans les campagnes Hakbit concernent les clients, les coordonnées des individus étant divulguées publiquement sur les sites Web et / ou les publicités du cabinet. Ces rôles comprennent les avocats, les conseillers à la clientèle, les directeurs, les conseillers en assurance, les PDG. et chefs de projet. «
Les e-mails de spear phishing originaux utilisent un leurre financier avec des lignes d’objet telles que « Fwd: Steuerrückzahlung » (Traduit: Tax Payment) et « Ihre Rechnung (Translated: Your Bill) ». Les e-mails sont fournis par un fournisseur de services de messagerie gratuit (GMX) qui dessert principalement une clientèle européenne.
«C’était une campagne à faible volume. GMX est largement utilisé et bien connu en Europe germanophone, il a donc confiance dans la reconnaissance des noms », a déclaré à Threatpost Sherrod DeGrippo, directeur principal de la recherche sur les menaces chez Proofpoint. « Il s’agit d’un service de messagerie gratuit, il est donc difficile de suivre et de menacer les joueurs susceptibles de générer plusieurs comptes. »
Les pièces jointes aux e-mails sont supposées être de fausses factures et remboursements de taxes. Une adresse e-mail prédit 1 & 1, une entreprise allemande de télécommunications et d’hébergement Web, indiquant à la victime que la pièce jointe à un e-mail, par exemple, est une facture.
Lorsque les pièces jointes Microsoft Excel sont ouvertes, elles demandent ensuite aux victimes d’activer les macros. Il télécharge et exécute à nouveau GuLoader. GuLoader est un compte-gouttes largement utilisé qui compromet les cibles et fournit des logiciels malveillants de deuxième étape. Il est constamment mis à jour tout au long de 2020 avec de nouvelles techniques d’évitement de sandbox sportif binaire, des fonctionnalités de randomisation de code, un cryptage URL de commande et de contrôle (C2) et un cryptage supplémentaire de la charge utile.
sous les projecteurs plus tôt en juin, après que les enquêteurs ont affirmé qu’une entreprise italienne avait vendu ce qu’elle décrit comme un outil de cryptage légitime – mais qu’il a en fait été utilisé comme package de malware pour GuLoader.
Dans cette campagne, lorsque GuLoader est en cours d’exécution, il télécharge puis exécute Hakbit, un utilitaire bien connu qui chiffre les fichiers à l’aide du chiffrement AES-256. Hakbit existe depuis au moins 2019 et a fait plusieurs victimes confirmées, y compris des utilisateurs à domicile et des entreprises aux États-Unis et en Europe, selon Emsisoft. On pense que Hakbit est lié au ransomware Thanos – Dans une analyse récente du ransomware Thanos, les chercheurs de Record Future ont évalué « en toute confiance » que les exemples de ransomware suivis pendant que Hakbit étaient construits à l’aide du constructeur de ransomware Thanos développé par Nosophoros (basé sur la codabilité, la réutilisation rigoureuse, l’extension du rançongiciel et le format des notes de rançon).
Lorsque Hakbit crypte les fichiers des victimes, il publie une note exigeant un paiement de 250 euros en bitcoin pour déverrouiller les fichiers cryptés et donne des instructions sur la façon de payer la rançon.
Ransomware HackBit. Au 16 juin 2020, les chercheurs ont déclaré n’avoir trouvé aucune transaction montrant le paiement d’une rançon pour le portefeuille Bitcoin. Threatpost a atteint Proofpoint sur le nombre d’entreprises ciblées par Hakbit – et sur le nombre de ces cibles qui ont été compromises.
Quoi qu’il en soit, les chercheurs affirment que la campagne provient uniquement de plusieurs campagnes de « ransomware » à faible volume et souvent « boutique » qui ont frappé les victimes depuis janvier 2020.
« Les chercheurs de Proofpoint ont récemment identifié un changement dans le paysage des menaces avec une campagne de rançongiciels Avaddon à grande échelle qui était conforme aux récents rapports des fournisseurs open source », ont-ils déclaré. « Hakbit illustre une campagne de ransomware centrée sur les personnes, adaptée à un public, un rôle, une organisation et une langue maternelle spécifiques à l’utilisateur. » LIEN
Beazley a observé une explosion de cyber-attaques de ransomwares l’année dernière. Hiscox estime que le nombre d’entreprises touchées par un incident de cybersécurité a diminué. Mais que les pertes induites ont considérablement augmenté.
Publié au début d’avril de l’année dernière, Beazley Breach Briefing 2020 a signalé une augmentation de 131% des attaques signalées contre les clients des assureurs l’année dernière. Le rapport s’appuie sur les données de 775 incidents de cybersécurité liés aux ransomwares. Et pour Beazley, c’est une véritable explosion: en 2018 et 2017, il n’avait enregistré qu’une augmentation de 20% et 9% respectivement pour ce type de cyberattaque. Et pour aggraver les choses, « les montants exigés par les cybercriminels ont également augmenté de façon exponentielle avec des demandes à sept ou huit chiffres, ce qui n’est pas inhabituel ».
Mais cette tendance à la hausse de la rançon n’est pas spécifique à l’année écoulée. Pour Katherine Keefe, chef des Services d’intervention en cas de violation de Beazley (BBR), «les opérations de ces délinquants sont couronnées de succès et elles ont été détournées». Et pour souligner qu’ils « sont également intéressés par des choses comme la taille de l’organisation et la façon dont ils se présentent sur leur propre site Web. En général, plus l’organisation est grande, plus la demande est grande ». rançon partagée: de l’ordre de dizaines de milliers de dollars pour les petites structures, jusqu’à plus de dix millions de dollars pour les grandes organisations.
Le rapport de Beazley ne dit pas combien de clients ont choisi de faire du chantage car l’éditeur ne divulgue pas ces informations. Mais lorsqu’un client choisit de payer, Beazley travaille avec Coveware. Début mai, ce dernier a déclaré un montant moyen par Incident de 111605 $ au premier trimestre 2020, 33% de plus qu’au dernier trimestre 2019.
Dans un article de blog, le consultant a attribué cette augmentation au fait que « les distributeurs de ransomware ont de plus en plus ciblé les grandes entreprises et ont réussi à les forcer à payer une rançon pour récupérer leurs données ». Si le constat apporte peu d’indicateurs rassurants sur les garanties de ces grandes entreprises, Coveware a assuré que « les gros versements de rançons constituent une minorité en volume ». Mais ils ont donc remonté la moyenne.
Sur la base du nombre d’échantillons soumis sur le service d’identification des rançongiciels ID Ransomware, Emsisoft a estimé début février que ce malware avait coûté un peu plus de 485 millions de dollars en France en 2019 – pour la rançon uniquement. Depuis Hexagon l’an dernier, plus de 8 700 échantillons ont été déposés à des fins d’identification. Compte tenu de l’interruption d’activité, Emsisoft a estimé le coût de ces attaques pour les organisations françaises à environ 3,3 milliards de dollars.
Hiscox, dans son récent rapport annuel sur la gestion des cyberrisques, montre que 18% des entreprises françaises qui ont été agressées tant paient une rançon. Ainsi, sur l’ensemble de l’échantillon, outre la France uniquement, « les pertes ont été presque trois fois plus importantes pour les entreprises victimes d’une attaque par rançongiciel que pour celles qui ont subi un [simple] malware » soit 821 000 € contre 436 000 € … et que la rançon ait été payée ou non. Mais en France, 19% des victimes de ransomwares affirment avoir pu récupérer leurs données « sans avoir à payer la rançon ». Cependant, cela suggère la possibilité que les autres se soient repliés devant leurs assaillants.
En fait, lorsque Hiscox parle de logiciels malveillants, il couvre également ceux qui peuvent être utilisés pour insérer des ransomwares. Pour l’assureur, « les chiffres montrent l’importance de la détection avant qu’un malware ne devienne un ransomware ». Et souligner que les attaques se déroulent souvent en plusieurs étapes, ce qui laisse du temps pour la détection. SentinelOne a ainsi observé une attaque impliquant TrickBot avant d’installer le rançongiciel Ryuk: entre les deux, deux semaines se sont écoulées. Pour Hiscox, c’est très simple: « Les entreprises disposant de bonnes capacités de détection peuvent arrêter une attaque pendant ce temps et ainsi subir des désagréments moins durables, avec un coût global moindre et moins d’impact sur les affaires ».LIEN
Le ransomware est un malware qui crypte les données sur les machines qu’il infecte. Les personnes ou entités à l’origine de l’attaque demandent alors le paiement d’une rançon en échange de la clé de déchiffrement des systèmes concernés. La conférence organisée par le Cyber Club par EGE le mardi 20 mai 2020 avait pour objectif de jeter les bases d’une gestion de crise pour une entreprise victime d’un tel processus. Béatrice Ghorra, ingénieure avant-vente spécialisée dans les produits de sécurité des centres de données et de l’environnement cloud au CISCO et enseignante à la School of Economic Warfare, était la modératrice de cette conférence.
ransomware
En juin 2017, Wannacry a fait la une des ransomwares pour tous les médias. Ce fut l’attaque informatique la plus massive de l’histoire du domaine. La publicité sur l’incident est un tournant pour le monde de la cybersécurité et les problèmes qui en découlent car ils sont mis en avant. Le discours des professionnels de la discipline est alors légitimé là où ils avaient déjà eu du mal à entendre. Le ransomware, pour le désigner avec le terme français, représente toujours une menace de premier ordre. Selon le CERT France, il s’agit même du risque le plus grave pour les entreprises. La crise actuelle associée à COVID-19 et le succès des campagnes malveillantes liées à l’essor du télétravail en témoignent: particuliers, professionnels, PME ainsi que multinationales, personne n’est à l’abri.
Il est nécessaire de bien comprendre comment ces attaques fonctionnent et les mentors des attaquants pour mieux gérer le risque et la crise si nécessaire. Depuis l’avènement de ce mode de fonctionnement dans les années 80, les attaquants ont affiné leurs techniques et méthodes d’accès aux systèmes d’information. On voit que l’attaquant cherche toujours des portes dérobées. Ils ne veulent pas attaquer le système de front, mais contourner autant que possible les couches de sécurité. En particulier, parmi les vecteurs qui permettent l’infection figurent:
Campagnes de phishing, désormais précédées d’opérations d’ingénierie sociale pour personnaliser les e-mails et optimiser la pénétration.
L’annonce erronée ou « téléchargement en voiture » qui vous permet de démarrer des téléchargements instantanés via des fenêtres contextuelles qui redirigent vers d’autres pages.
Ils ont oublié ou dépassé des machines dans un système d’information. Il existe de nombreuses plates-formes que vous pouvez acheter des informations d’identification pour vous connecter à l’équipement d’une multitude d’entreprises à des prix élevés.
Les fameux périphériques USB, mais non moins efficaces, ont été perdus.
À titre d’exemple, voici le mode de fonctionnement de Loki, une solution qui est apparue pour la première fois en 2013:
Un fichier PDF est capturé et envoyé en pièce jointe à un e-mail soigneusement conçu afin que le destinataire ne se méfie pas d’eux et n’ouvre pas le fichier. Cette action exécute un extrait de code trouvé dans la pièce jointe qui ouvre un canal de communication vers un serveur de commande et de contrôle (C2) sous le contrôle de l’attaquant. Ce serveur télécharge instantanément un ransomware et une clé de cryptage. Le logiciel analyse ensuite méthodiquement le disque dur de l’utilisateur et crypte tous ses fichiers. Ensuite, l’ordinateur est crypté. Un message et un compte à rebours apparaissent sur l’écran montrant les instructions de paiement, souvent associées à la crypto-monnaie, ce qui rend le suivi difficile, permettant aux données de la machine cryptée d’être restaurées.
Certains ransomwares tentent également de se propager latéralement, c’est-à-dire vers toutes les stations voisines pour paralyser complètement un maximum d’équipements. Il a fallu environ sept minutes à NotPetya pour chiffrer l’intégralité du système d’information de Maersk, la plus grande société de transport de conteneurs au monde.
Cependant, les entreprises sont de moins en moins susceptibles de payer la rançon, ce qui équivaut à des montants vertigineux, nous parlons de dizaines de millions de dollars pour les plus importantes. Sophos estime qu’il est toujours plus rentable pour l’entreprise de ne pas payer car les dommages sont déjà présents et qu’il n’y a aucune garantie que l’attaquant tiendra sa parole et fournira la clé de déchiffrement. Ces derniers se sont donc adaptés et procèdent désormais à l’extraction des données par l’entreprise pour obtenir un effet de levier supplémentaire en menaçant leurs victimes de la diffusion des informations ainsi collectées en public.
Les attaquants à l’origine de la campagne de rançongiciels Maze, qui a vu le jour en novembre 2019, maintiennent ainsi un site Web sur lequel ils publient des informations d’entreprises qui refusent de payer la rançon. Maze a également la particularité d’être au cœur d’une attaque dite à long cycle. Une fois qu’une machine a été infectée, une semaine est consacrée à la reconnaissance et à la collecte d’informations utiles sur l’architecture réseau de l’entreprise, les employés et leurs informations d’identification, les comptes d’utilisateurs, etc. La semaine suivante est consacrée aux mouvements latéraux et au filtrage des données à installer dans autant de machines que possible et à maximiser les chances de paiement. Enfin, au cours de la troisième semaine de la campagne, les attaquants tentent de transiger avec Active Directory (serveur central et critique qui donne à la personne en contrôle ce qu’elle veut au sein du système d’information) et implémentent le labyrinthe sur toutes les machines infectées.
Il est important de réaliser que chaque ransomware observé est spécialisé dans ses modes d’attaque. Les canaux d’entrée et de sortie sont très différents. Certains profitent d’erreurs logicielles non corrigées, d’autres préfèrent les vulnérabilités liées aux navigateurs Web ou à certains protocoles de communication. Cette gamme d’opportunités est très bien représentée dans le marché des ransomwares en tant que service (RaaS) qui s’est développé à un rythme rapide ces dernières années. Les développeurs de ce logiciel ont en fait eu la brillante idée de vendre leur logiciel en échange d’une partie du correctif qui a été soulevé. Par conséquent, l’expertise en développement n’est plus nécessaire pour la création d’une campagne de ransomware ciblée! Il s’agit d’un changement très important car il élargit la portée des attaquants potentiels.
gestion de crise
L’impact d’une attaque de ransomware réussie est énorme pour une entreprise. Cela n’endommage pas seulement le système d’information d’une entreprise. Tout son écosystème est affecté. La confiance que nous lui accordons s’évapore, ses parts de marché chutent, ses partenaires, parties prenantes et fournisseurs en souffrent également, l’impact économique qui en résulte étant parfois fatal à la victime qui pourrait tomber sous le coup du RGPD dont les données personnelles sont filtrées. C’est pourquoi il est important de bien gérer une telle crise si elle survient pour permettre à l’entreprise de se remettre sur pied, de contrôler et d’atténuer les dommages causés.
Avant la crise, l’entreprise doit anticiper au maximum les difficultés. Définir une feuille de route ainsi qu’un Business Continuity Plan (BCP), l’adapter au contexte et au développement des attaquants, ce qui implique de surveiller la menace. Déterminer qui fait partie de la cellule de crise, quelle est la responsabilité de chaque membre ou même définir où cette cellule doit être créée? Autant de questions auxquelles il est possible et souhaitable de répondre avant la crise.
De plus, l’utilisation de certaines meilleures pratiques peut limiter l’exposition ou l’impact de l’attaque si nécessaire. Parmi ces bonnes pratiques, citons l’utilisation et les tests réguliers des sauvegardes pour éviter de perdre toutes les données chiffrées. Cela a sauvé Maersk lors de l’attaque de NotPetya, une combinaison de circonstances qui leur a permis de garder une sauvegarde intacte. Cette sauvegarde a complètement empêché la perte de tout le contenu de leur système d’information. D’un autre côté, une analyse régulière des risques vous donne une bonne idée des produits importants que l’entreprise souhaite protéger à tout prix. Il s’agit du point de départ d’actions qui rendront l’accès des tiers à ces ressources beaucoup plus difficile. La surveillance des canaux d’information tels que le courrier électronique et Internet, en particulier via le filtrage DNS et l’utilisation de solutions comme SIEM, vous permet de contrôler les flux qui transitent par l’entreprise. Désactivez les services obsolètes ou inutiles, mettez à jour les systèmes régulièrement, effectuez des tests de pénétration, toutes ces pratiques contribuent à assurer la résilience des entreprises résilientes en cas d’attaque réelle. Le plus élémentaire de tous, cependant, continue de placer les utilisateurs au cœur du processus de sécurité car ils sont le premier matériel de défense de l’entreprise. Les bons réflexes des employés font souvent la différence entre une crise maîtrisée qui cause des dommages tangibles et une catastrophe qui menace la vie d’une entreprise.
Cependant, si cette attaque se produit, la priorité est de déclencher l’alarme et de contenir l’attaque pour empêcher sa propagation en isolant la partie infectée du reste du système d’information. Un bon réflexe à avoir est de documenter l’ensemble du processus pour faciliter les étapes suivantes. Prenez des photos d’écrans, de messages reçus, d’adresses spécifiées, tout ce qui peut constituer un chemin vers l’attaquant doit être enregistré et notifié. Notez qu’il n’est pas recommandé de désactiver les ordinateurs infectés pour les mêmes raisons pour une enquête plus approfondie. Préférez simplement les déconnecter du réseau et assurez-vous qu’ils ne communiquent pas avec le reste du système d’information.
À ce stade, et si l’entreprise n’a pas les compétences, il est impératif qu’elle obtienne l’aide et l’assistance d’entreprises spécialisées dans l’atténuation de l’attaque. Une fois de plus, l’expérience de Maersk sert d’exemple dans ce domaine. Leur communication de crise a permis à leurs partenaires et autorités compétentes de les aider à se remettre le plus rapidement possible. Les experts contactés par l’entreprise pourront appliquer les corrections nécessaires aux systèmes qui en ont besoin, s’assurer que le reste de l’infrastructure ne risque pas d’être réinfecté et pourra assurer la transition vers l’analyse médico-légale.
Cette dernière partie de la gestion de crise vise à déterminer l’origine de l’attaque, à documenter son mode de fonctionnement et tous les aspects techniques s’y rapportant pour établir un post-mortem de la situation et un retour d’expérience. Cette documentation est d’autant plus précieuse qu’elle peut servir de guide à d’autres entreprises et éventuellement les aider à se remettre de la crise qui pourrait les affecter. De plus, cette analyse ainsi que l’expérience de l’entreprise doivent être utilisées. Il est impératif d’apprendre de ce qui s’est passé et de mettre en œuvre les mesures qui serviront à vous protéger à l’avenir.
En conclusion, il existe de nombreuses façons de le gérer, bien qu’il soit impossible d’être insensible aux risques associés aux ransomwares. La préparation joue un rôle important comme nous l’avons vu. Il est donc conseillé de se donner les moyens techniques, organisationnels et humains pour rester au courant et pouvoir réagir rapidement et efficacement si nécessaire. Une bonne préparation vous permet de vous concentrer sur l’essentiel au cœur de la crise. Cependant, communiquer correctement sur le test est important car il vous permet de rechercher une aide extérieure pour obtenir des ressources et des compétences que l’entreprise peut ne pas avoir en interne. Enfin, une victime de ransomware devrait être en mesure de tirer des leçons de ce qui lui est arrivé pour prévenir plus efficacement ce risque à l’avenir.LIEN
Rançongiciel en français, est un logiciel malveillant qui prend en otage des données. Le ransomware crypte et bloque les fichiers sur votre ordinateur et demande une rançon en échange d’une clé qui leur permet de les décrypter. Le ransomware, qui est apparu pour la première fois en Russie, s’est répandu dans le monde entier, principalement aux États-Unis, en Australie et en Allemagne. Souvent, le ransomware s’infiltre sous la forme d’un ver informatique, via un fichier téléchargé ou reçu par e-mail, et crypte les données et les fichiers de la victime. Le but est d’extorquer une somme d’argent qui est le plus souvent payée en monnaie virtuelle pour éviter les traces.LIEN
Plusieurs utilisateurs de MacBook Air ou MacBook Pro 13 pouces lancés cette année signalent une erreur liée à la gestion ou plutôt à la gestion incorrecte des périphériques USB 2.0 connectés à leur machine via un concentrateur USB-C. L’accessoire cesse de fonctionner de manière aléatoire et ne peut pas être reproduit. Par exemple, lorsqu’il s’agit d’une souris USB-A, d’une interface audio USB-A et d’un moniteur HDMI externe connecté au Mac avec un concentrateur USB-C, les deux premières cabines, tandis que HDMI l’alimentation continue d’être distribuée entre l’ordinateur et le moniteur secondaire.
Certains utilisateurs ont essayé de réinitialiser SMC, de redémarrer en mode sans échec, de réparer le volume avec l’utilitaire de disque, de réinstaller macOS Catalina, certains ont même fait remplacer leur MacBook dans l’Apple Store… Mais rien n’y fait. Y compris les tests de plusieurs hubs différents. Seul le modèle CalDigit Thunderbolt 3, très complet mais non fourni, semble offrir un peu de répit.
Apple, qui est remis en question par de nombreux propriétaires de ces Mac, en est certainement conscient. Il faut espérer qu’une solution est en cours d’élaboration et qu’elle sera proposée rapidement.LIEN
Le ransomware de « Big game hunt » diffère de ses prédécesseurs qui ont combattu sans distinction. L’activité la plus courante dans les ransomwares reste l’arnaque non sophistiquée qui cible une très grande échelle. Mais de plus en plus de cybercriminels ont les ressources pour développer des campagnes beaucoup plus sophistiquées et du temps pour pénétrer profondément dans les systèmes d’information, planifier et identifier les ressources les plus précieuses, puis tout détruire uniquement après avoir rentabilisé leur investissement.
Ces attaques de rançongiciels de «gros gibier» peuvent représenter un danger moins fréquent mais beaucoup plus grave pour la victime. Pour cette raison, la détection préventive est devenue extrêmement importante pour les entreprises. Cet article explique pourquoi:
Les vagues précédentes étaient différentes
Les anciennes campagnes de rançongiciels comme Locky étaient critiques et n’avaient pas la sophistication des attaques modernes. Leurs auteurs ont ciblé le plus grand nombre, souvent dans le cadre de vastes campagnes de phishing. Les destinataires non acceptants ont cliqué sur un lien malveillant. Les ransomwares pourraient alors gagner de l’espace jusqu’à ce que les fichiers chiffrés soient stockés sur leur machine ou dans le cas des entreprises de leur centre de données. C’était généralement suffisant pour collecter des sommes importantes en très peu d’efforts.
L’attaque bien documentée de WannaCry a marqué le début d’une nouvelle vague de ransomwares. Cependant, la propagation sans discrimination s’est avérée plus dangereuse car elle exploitait les vulnérabilités de manière plus sophistiquée. WannaCry et NotPetya se sont propagés de pair à pair et hors des frontières de l’entreprise, infiltrant des systèmes non corrigés et prenant à la fois des données et des otages de données. Bien que les cybercriminels n’aient pas nécessairement obtenu des fortunes en échange de leurs efforts, ces attaques ont été dévastatrices et ont offert un avenir troublant.
Que pouvez-vous attendre d’un ransomware de gros gibier?
Les ransomwares manquent toujours de subtilité. Loin de saper de petites quantités régulières ou d’espionnage discret des communications d’entreprise, ils s’apparentent davantage à des vols à main armée. Le but est d’être vu, effrayé et payé. Les ransomwares ne sont pas non plus très furtifs, surtout lorsqu’ils ont commencé à chiffrer des fichiers ou à désactiver des systèmes.
Inversement, le ransomware «chasse au gros gibier» infecte discrètement de nombreux systèmes sur le réseau de la victime avant de faire du bruit et de rester silencieux jusqu’au stade de la destruction.
L’énorme télétravail introduit pendant la crise du COVID-19 a permis à de nombreux attaquants d’infiltrer plus facilement les réseaux et de prendre le temps de se préparer à des attaques plus sophistiquées … comme nous le verrons peut-être dans les mois à venir.
Active Directory, l’épine dorsale des nouvelles attaques de ransomwares
Nous avons récemment étudié un nouveau type de ransomware appelé Save the Queen, qui se propage à partir des serveurs Active Directory de la victime (contrôleurs de domaine).
Les contrôleurs de domaine ont les clés du monde numérique. Presque tout autre système s’y connecte, ce qui le rend très important et en fait une cible principale pour la distribution de ransomwares. En raison de leur importance, la manipulation des serveurs Active Directory nécessite des droits d’accès étendus, exactement ce dont les cybercriminels bénéficient dans ce cas. L’ANSSI s’intéresse – et est au courant – depuis longtemps sur ce sujet et vient de publier une collection sur AD Security: https://www.cert.ssi.gouv.fr/uploads/guide -ad.html
L’accès est l’une des raisons pour lesquelles les ransomwares de gros gibier sont si troublants. Pour les cybercriminels, infiltrer un réseau est un jeu d’enfant. Ils peuvent facilement accéder à des applications de niveau supérieur ou à des comptes administratifs. Ils peuvent également utiliser leur propre infrastructure contre leur victime. Les auteurs de Save the Queen l’ont fait.
Avec tous ces accès, l’attaquant peut accéder à des données extrêmement sensibles: informations financières, propriété intellectuelle, monétiser ces informations confidentielles, copier des fichiers importants avant de les chiffrer pour menacer de les publier. Il faudrait être naïf pour penser qu’ils n’ont pas réussi à s’en éloigner et le phénomène est suffisamment grave pour mériter d’être inversé. Certains cybercriminels peuvent ne pas vouloir s’embêter à chercher quand ils peuvent se contenter d’une entrée et d’une introduction rapide, efficace et facile. Mais plus ces groupes sont organisés et efficaces pour gagner de l’argent sur la propriété de quelqu’un d’autre, plus ils sont susceptibles de ne laisser aucune miette à leurs victimes.
Quatre étapes pour protéger votre entreprise * Sachez où les données de propriété intellectuelle, les informations financières, les données personnelles et les e-mails sensibles sont stockés avant que les cybercriminels ne tentent de les voler, de les transmettre ou de les chiffrer. Limitez l’accès à ceux qui en ont absolument besoin pour réduire la surface de l’attaque. * Identifiez la période pendant laquelle l’indisponibilité d’un système ou de données aura les pires conséquences, par exemple, les jours précédant la semaine la plus occupée de l’année. Les cybercriminels sont intéressés par ce type d’informations sur leurs victimes. Mieux vaut avoir élaboré un plan d’affaires pour la continuité / reprise plutôt que d’avoir à improviser sous pression. * Une grande partie de la prévention des ransomwares repose sur les sauvegardes. Bien qu’évidemment important, le défi consiste à décider lesquels restaurer, en particulier en ce qui concerne les fichiers. Sans suivi de l’activité du système de fichiers, de nombreuses entreprises doivent saisir une rançon pour savoir ce qui a été chiffré et quand. Si le registre d’activité de fichier n’existe pas, il doit être créé. Cela fournit ensuite des informations sur les activités des utilisateurs infectés. * Profitez de l’automatisation. Des journaux d’activité et d’analyse adéquats permettent de détecter et d’arrêter les attaques potentielles avant qu’elles ne se propagent. Hiérarchisez et analysez les activités des ensembles de données et les systèmes critiques tels que les grands entrepôts de données, Active Directory et d’autres données télémétriques qui peuvent alerter lorsqu’un cybercriminel est entré sur le réseau.
Actuellement, les fournisseurs de télécommunications offrent un moyen simple d’accéder aux ressources, notamment en raison des capacités de recherche et de filtrage offertes par les outils de collaboration utilisés. Dans le même temps, la plupart des entreprises ne sont pas prêtes à détecter une activité inhabituelle générée par ces utilisateurs externes. Le but principal de toute entreprise est de détecter les cybercriminels qui tentent d’en profiter pour neutraliser leurs activités le plus rapidement possible.LIEN
Paralyser les systèmes informatiques les plus importants des grandes industries: tel est l’objectif d’Ekans, une rançon. Très sophistiqué, ce serait l’œuvre de pirates indépendants, pas d’un État.
Ekans /Abo Il peut se déboîter la mâchoire pour avaler tout rond des proies plus grosses que lui. Il se replie ensuite sur lui-même pour digérer.
Les cyberattaques contre les systèmes industriels sont assez rares et sont attribuées à presque tous les États, compte tenu de leur niveau sophistiqué. C’est notamment ce qui s’est passé en Ukraine avec la division de la distribution électrique lors du piratage de la centrale d’Ivano Frankivsk fin 2015 ou même avec la destruction de centrifugeuses d’enrichissement nucléaire en Iran en 2010.
Cette fois, les chercheurs des sociétés de cybersécurité Sentinel One et Dragos ont découvert le ciblage de code pour les installations industrielles. Il peut être attribué à des pirates indépendants selon eux. Le code appelé Ekans, ou Snake, est spécifiquement destiné aux raffineries, aux réseaux de distribution d’électricité et aux lignes de production des usines. Au lieu d’essayer de détruire ou de prendre le contrôle des installations, c’est la technique simple du ransomware. Tout d’abord, le code arrête 64 processus liés aux logiciels spécifiques aux commandes industrielles. C’est à partir de ceux-ci que les pirates peuvent accéder et chiffrer les données qui interagissent avec des systèmes importants. Les auteurs demandent le paiement d’une rançon pour les libérer.
Ne payez pas pour perdre gros
Comme toujours, l’attribution de l’attaque est compliquée et, au cours de ses enquêtes, Dragos a retiré une attribution potentielle à une équipe d’État iranienne. Le mode de fonctionnement semble beaucoup plus proche de celui utilisé par les criminels venant dans les hôpitaux de rançon. Ils savent que ces institutions feront tout leur possible pour payer une rançon afin d’assurer la continuité de leur mission. Et pour les industriels, c’est une véritable bénédiction car la plus petite paralysie peut coûter très cher.
Ce n’est pas la première fois qu’un ransomware conçu par des pirates indépendants attaque les processus des systèmes de contrôle industriels. Selon Dragos, une autre souche de code connue sous le nom de Megacortex a été identifiée au printemps 2019. Elle comprenait les mêmes fonctionnalités et pourrait bien avoir été développée par la même équipe.
