Catégories
Attaque hyères informatique Ransomware Sécurité

Les centres de santé des plus ciblés par les ransomware en 2019

L’agence de santé numérique a publié la semaine dernière son rapport 2019 sur l’évolution des incidents de sécurité informatique affectant les centres de santé. Le rapport note que les ransomwares, comme le secteur privé, ne sont pas sortis dans les établissements de santé en 2019.

Les centres de santé des plus ciblés par les ransomware en 2019

Source:

Zdnet

Catégories
Attaque Non classé Ransomware

Les hackers exigent huit millions d’euros du groupe de construction Rabot Dutilleul après la cyberattaque

Une attaque virale de type rançongiciel a été détectée par notre réseau informatique le 22 juillet 2020

La victime d’une attaque de ransomware NetWalker dans la nuit du mardi 21 juillet au mercredi 22 juillet a contraint le groupe Rabot Dutilleul à verser la somme de huit millions d’euros à des hackers, faute de quoi des informations sensibles pourraient être révélées.

Huit millions d’euros. C’est le montant que les hackers réclament au groupe de construction Rabot Dutilleul, dont le siège est à Lille, rapporte La Voix du Nord. La compagnie du nord a été victime dans la soirée du mardi 21 juillet au mercredi 22 juillet d’une cyberattaque à grande échelle. Les centres de données informatiques de Tourcoing et Anzin ont été affectés par le ransomware NetWalker.

Des hackers ont également attaqué les serveurs de l’agence à travers la France, selon les informations recueillies par le quotidien régional. Ils réclament une rançon de 973 bitcoins soit près de huit millions d’euros. Si l’équipe de construction ne répond pas à ses exigences, les pirates menacent de publier des informations sensibles sur l’entreprise.

LE GROUPE RABOT DUTILLEUL VICTIME D’UNE CYBERATTAQUE

L’incident n’est pas encore sous contrôle
« Le département informatique a immédiatement pris des mesures de protection pour arrêter la propagation des ransomwares », a déclaré Rabot Dutilleul dans un communiqué publié jeudi 23 juillet. Cependant, l’incident n’est pas encore sous contrôle. « Les équipes techniques sont pleinement mobilisées pour revenir à la normale le plus rapidement possible avec le soutien d’experts externes en cybercriminalité », a ajouté le groupe.

Cette attaque n’est pas anodine en termes de fonctionnement de la société. Cette dernière activité est actuellement « plus lente ». Une plainte a été déposée. Compte tenu de l’ampleur de cette affaire, la Direction centrale de la police judiciaire et la SDLC, la sous-direction de la lutte contre la cybercriminalité mènent conjointement une enquête, a déclaré La Voix du Nord.

Sources:

GROUPE RABOT DUTILLEUL
Une attaque virale de type rançongiciel a été détectée par notre réseau informatique le 22 juillet 2020

L’Usine Digitale
L’entreprise de construction Rabot Dutilleul annonce avoir été victime d’ un ransomware

LeMondeInformatique
Rabot Dutilleul frappé par un ransomware


France Bleu
Le groupe nordique Rabot Dutilleul, victime d’une cyberattaque

Catégories
Attaque informatique Non classé Ransomware Sécurité

Garmin souffre d’une attaque massive de ransomware, plusieurs services en panne!

Garmin a dû fermer plusieurs de ses services, entravé par une attaque massive de ransomware. L’entreprise annonce plusieurs jours de disruption, le temps de reprendre les choses en main. Le service Garmin Connect en particulier est en panne. En conséquence, de nombreux utilisateurs des montres connectées de la marque ont du mal à synchroniser leurs données de suivi.

Garmin a subi une attaque de ransomware dévastatrice le 22 juillet. Si vous possédez une montre intelligente de marque et que vous rencontrez des difficultés pour synchroniser vos données avec Garmin Connect, vous n’êtes pas seul. Le service fait partie de ceux affectés par la cyberattaque. Sur les réseaux sociaux, de nombreux utilisateurs se disent accueillis par un message d’erreur indiquant que le service est temporairement en panne, ce que la marque confirme dans un communiqué. À partir de ce moment, le problème n’est toujours pas résolu. Les conséquences pour l’entreprise et ses clients devraient durer plusieurs jours.

Toutes les smartwatches Garmin sont concernées
«Nos serveurs sont actuellement hors service pour maintenance, ce qui affecte Garmin Connect Mobile, notre site Web et Garmin Express. Nous faisons de notre mieux pour résoudre le problème le plus rapidement possible ». L’attaque concernant les serveurs de la marque, toutes les montres connectées à Garmin sont potentiellement affectées. L’arrêt affecte également les centres d’appels de la marque, qui ne peuvent pas recevoir d’appels, d’e-mails ou de messages via leur chat en ligne.

Garmin se tait sur les causes de cette énorme panne de courant, cachée sous couvert de maintenance. Mais selon les indiscrétions des salariés de la marque, il est actuellement en cours de fonctionnement de produits en vrac appelés WastedLocker, information confirmée par Phil Stokes, un chercheur en sécurité au sein de la société SentinelOne.

On pense que le ransomware WastedLocker était à l’origine de l’incident
Ce n’est pas la première fois qu’un ransomware détruit une entreprise ou une institution. En août 2019, de tels malwares ont attaqué plus d’une centaine d’hôpitaux français. En décembre de cette année-là, une cyberattaque s’est écrasée en raison du réseau de ransomware New Orleans. Mais récemment, c’est WastedLocker qui est l’essentiel de la conversation. Ce correctif relativement nouveau a été créé par Evil Corp, un formidable groupe de cybercriminels russes. Ce malware est répandu depuis mai 2020 et a déjà affecté des entreprises de plusieurs secteurs, y compris de grandes entreprises du Fortune 500 aux États-Unis. Garmin également connu pour son GPS et ses Dashcams ont été ajoutés à la liste. Nous ne connaissons pas encore l’ampleur des dégâts que cette cyberattaque a causés à l’entreprise.

Selon le site Web ZDnet, la «maintenance» annoncée par la marque devrait se poursuivre jusqu’à ce week-end, selon une note interne de Garmin qui aurait été divulguée après avoir été partagée avec ses partenaires à Taiwan.

Centre d’assistance Garmin

GARMIN FRANCE SAS
Immeuble Le Capitole
55, avenue des Champs Pierreux
92012 Nanterre Cedex
France

Telephone 01 55 17 81 81

YAMAHA AUDEMAR HYERES MOTOS
22 AVENUE EDITH CAVELL
HYERES, 83400

SPORTBAZAR SARL
26 RUE NICEPHORE NIEPCE
HYERES, 83400

FOULEES HYERES
1 AVENUE DU 9 MAI
HYERES, 83400

FOULEES HYERES
53 AVENUE GAMBETTA
HYERES, 83400

OLDIS Espace Culturel
265 AVENUE MARIO BENARD
HYERES, 83400

HYERDIS
265 AVENUE MARIO BENARD
HYERES, 83400

YAMAHA MOTOR FRANCE
ZONE DE CARENAGE
HYERES, 83400

OCEANIS 510/SERENITE LOCATION
AVENUE DE L’AEROPORT
HYERES, 83400

MECA MAN
1860 CHEMIN DU ROUBAUD
HYERES, 83400

TOP FUN SARL
ZA DU PALYVESTRE
HYERES, 83400

MIRABEAU MARINE
1892 AVENUE DE L’AEROPORT
HYERES, 83400

JOSE MARINE SARL
1892 AVENUE DE L AEROPORT
HYERES, 83400

MAS MARINE
2235 AVENUE DE L’AEROPORT
HYERES, 83400

EURO VOILES
2315 AVENUE DE L’AEROPORT
HYERES, 83400

POCHON HYERES
14 AVE DU DOCTEUR ROBIN
HYERES, 83400

SOMAT – XP VOILES
63 RUE DU DR ROBIN
HYERES PORT, 83400

VOILES RUSSO SOMAT SA
63 AVENUE DU DR ROBIN
HYERES, 83400

QUINCAILLERIE MARITIME MATEO
36 AVENUE DU DOCTEUR BOBIN
HYERES, 83400

GAPORT
745 ROUTE DES VIEUX SALINS
LES SALINS D HYERES, 83400

PORTLAND5 km
747 RUE DES VIEUX SALINS
HYERES, 83400

Sources:

Garmin souffre d’une attaque massive de ransomwares
Phonandroid

Suspicion de ransomware chez Garmin
LeMondeInformatique

Garmin rencontre un arrêt majeur
Le journal du geek

Garmin cible les attaques de ransomwares
KultureGeek

Garmin Connect indisponible pendant plusieurs jours
Citron Presse

Les services de Garmin s’effondrent après une attaque
ZDNet France

Catégories
Attaque prix Ransomware Sécurité Technologie

MMA, CPM et les ransomwares

Depuis des semaines, je mets en garde contre le danger des ransomwares. Parce que les voyous opposés sont organisés, très organisés. Le nombre de cas «confirmés» a été multiplié par sept entre le 18 juin 2020 et le 18 juillet 2020. Parmi les blessés récents figurent la compagnie d’assurance MMA et la société multiservices CPM International France.

Un autre correctif! le slogan devient fatigant car les cas se multiplient trop. Selon mes conclusions, les cyberattaques (connues) ont été multipliées par sept entre le 18 juin 2020 et le 18 juillet 2020. Parmi les victimes francophones les plus récentes figurait une filiale de l’opérateur Orange et de la compagnie d’assurance MMA.

Des centaines de clients touchés!
Le deuxième objectif est CPM International. Selon les informations que j’ai pu recueillir, c’est le groupe NetWalker qui s’est infiltré dans la filiale France Omniservices / Omnicom. Cette société agit comme un centre de services partagés pour les fonctions de support (ressources humaines, finance et informatique). Netwalker a donné à l’entreprise neuf jours pour payer le double de la rançon: déchiffrer et / ou ne pas diffuser les documents volés lors de l’infiltration de l’entreprise.

Et le problème est énorme. Netwalker cache les fichiers volés, même avant le paiement de la rançon. Comme leur système est automatisé, le mot de passe pour accéder aux fichiers s’affiche à la fin du compte à rebours. Cela signifie que les informations sont déjà disponibles en ligne pour ceux qui ont le lien et le mot de passe pour accéder aux fichiers!

Dans ce dernier cas, le siège social du Mans ainsi que des agences ont été touchés.LIEN

Catégories
Attaque Nefilim Orange Ransomware Sécurité

Orange Business Services victime d’un ransomware

20 sociétés sont concernées, dont l’avionneur français ATR.

Malgré sa réputation d’entreprise de cybersécurité solide, Orange a subi une cyberattaque majeure dans la division Orange Business Services. Selon les allégations de pirates appartenant au groupe Nefilim, plusieurs clients commerciaux auraient été touchés lors d’une attaque subie le week-end du 4 juillet.

Orange Business Services victime d’un ransomware

350 Mo de données volées à Orange Business Services
Après le fameux WannaCry et la récente attaque contre l’Université de Rouen, c’est au tour d’Orange Business Services d’être victime d’une rançon. Plus de 350 Mo de données ont été volés lors de cette cyberattaque qui a eu lieu au début du mois. Il s’agit du département dédié aux entreprises directement ciblées par les hackers. Le groupe de hackers connu sous le nom de Nefilim a dévoilé son butin sur son site Web pour revendiquer l’attaque et prouver qu’Orange n’est pas invincible. La division Orange Business Services a reconnu les faits. Un ransomware de type cryptovirus a effectivement eu lieu.

Selon la société française, l’impact de cette cyberattaque serait encore limité. Les pirates ont pu voler « uniquement » les données hébergées sur une plate-forme appelée Neocles, qui est en cours de fermeture. Tous les clients concernés par ce vol de données ont apparemment été prévenus par Orange dans le processus. Les pirates ont réussi à voler des e-mails et des cartes de vol. Une vingtaine d’entreprises ont été touchées par l’attaque. L’avionneur français ATR, filiale d’Airbus, aurait été touché. Les cartes de vol volées proviennent de son domicile.

Une cyberattaque difficile à contrer
En mars dernier, une étude a montré que la majorité des ransomwares ont lieu en dehors des heures de travail, les soirs ou les week-ends. Cette cyberattaque confirme pleinement l’enquête FireEye. Pour être précis, 76% du ciblage des ransomwares se fait en dehors des heures d’ouverture. Quand ils sont les plus vulnérables. L’attaque dont Orange Business Services a été victime a eu lieu un samedi soir … Pendant ces fenêtres horaires, personne ne peut réagir immédiatement et fermer le réseau. Le processus de rançongiciel sera donc plus susceptible de réussir.

Nefilim est un collectif de jeunes hackers. Le groupe est apparu il y a seulement quelques mois et a déclaré qu’il n’attaquerait pas les hôpitaux, les écoles ou les gouvernements. Le Centre d’attaque et de réponse informatique de Nouvelle-Zélande a déjà révélé les méthodes que ce groupe a utilisées pour atteindre ses objectifs.

SOURCE:

Ransomware: Orange Business Services victime de son audace?
Mi-juillet, l’opérateur français a été victime du ransomware Nefilim, qui a attaqué son offre «pack informatique». Une offre de poste de travail en mode service (DaaS), initialement lancée en 2008 puis mise à jour en 2011.

Catégories
Attaque informatique Ransomware

Un ransomware s’est attaquer au département d’Eure-et-Loir!

Il semble que toute l’infrastructure du département qui bénéficie des services de connectivité d’Adista a été coupée après la cyberattaque du premier week-end de juillet. Il comprenait des serveurs de messagerie et un VPN Pulse Secure.

Un ransomware s’est attaquer au département d’Eure-et-Loir!

Le département d’Eure-et-Loir s’est déclaré victime d’une cyberattaque de ransomwares qui a eu lieu au cours du week-end du 4 juillet. Sur son site Internet et son compte Twitter, il déclare depuis le 7 juillet que « tous les systèmes d’information du conseil de section sont en panne ». Et pour garantir qu ‘«aucun vol de données n’a été signalé jusqu’à présent».

Le département déclare avoir déposé une plainte pour dommages aux systèmes automatisés de traitement des données et fait appel à un tiers spécialisé dans les « problèmes de cybercriminalité » tout en travaillant « en étroite collaboration avec l’Agence nationale pour la sécurité des systèmes d’information (Anssi) ».

La Communauté s’assure également qu’elle dispose de «sauvegardes hors réseau régulières» qui peuvent être «réinjectées après vérification de leur état» et une fois prouvées «identifiées et traitées». En pratique, cela peut prendre un certain temps.LIEN

Catégories
informatique Ransomware Sécurité

Des clients professionnels Orange victime d’un ransomware

Orange regrette le potentiel d’accès indésirable aux données d’une vingtaine de clients professionnels. Il s’agit du ransomware Nefilim.
Orange a donc décidé de se déclarer victime de ransomware.

Selon toute vraisemblance, ce correctif est Nefilim. Ses premières traces remontent à fin février. C’est un dérivé de JSWorm, lancé début 2019 et renommé depuis Nemty.

Le groupe télécom indique que l’attaque a affecté son département Orange Business Services dans la nuit du 4 au 5 juillet. Il aurait révélé les données d’une vingtaine de clients de l’offre « pack informatique ». Composé de « postes de travail virtualisés pour PME » basés sur les technologies Microsoft.

En chiffres absolus, la communication ne mentionne pas Nefilim – juste un « cryptovirus ». Mais il ne fait aucun doute que l’on considère la liste officielle des victimes (disponible sur un site du réseau Tor). Les opérateurs de ransomware ont ajouté Orange le 15 juillet. Et en parallèle avec une archive de 339 Mo, qui contient entre autres des fichiers du constructeur aéronautique ATR Aircraft.

Nefilim, vraisemblablement distribué sur des connexions RDP mal sécurisées, utilise le chiffrement d’enveloppe. Il crypte les fichiers avec une clé AES-128, même cryptée avec une clé RSA-2048 intégrée au code du ransomware.
Deux éléments principaux le distinguent de Nemty. D’une part, le paiement s’effectue par e-mail et non via un portail Tor. En revanche, il n’a jamais été commercialisé selon le modèle « as a service » (c’est-à-dire ouvert au public).LIEN

Catégories
Technologie

Une solution gratuit pour les victimes du rançongiciel Thief Quest

Les victimes du rançongiciel ThiefQuest (anciennement appelé EvilQuest) peuvent désormais récupérer gratuitement leurs fichiers cryptés sans avoir à payer la rançon.

Une solution gratuit pour les victimes du rançongiciel Thief Quest

La société de cybersécurité SentinelOne a publié aujourd’hui une application de décryptage gratuite qui peut aider les victimes du rançongiciel ThiefQuest à récupérer leurs fichiers verrouillés. Le rançongiciel ThiefQuest – initialement nommé EvilQuest – ne cible que les utilisateurs Mac.

La classification de ThiefQuest en tant que souche de ransomware n’est pas évidente. Il s’agit en fait d’un ensemble de code malveillant, y compris des modules de frappe, l’installation d’un shell inversé pour accéder aux hôtes infectés via une porte dérobée, le vol de données monétaires et enfin le cryptage des fichiers (la partie « ransomware » elle-même).

Les chercheurs en sécurité ont vu ce malware apparaître dans la nature pendant plus d’un mois. Ils sont généralement cachés dans des logiciels piratés partagés par des torrents ou sur des forums en ligne.LIEN

Catégories
Attaque Etude informatique Ransomware Sécurité

Ransomware: les entreprises européennes sont-elles prêtes?

Malgré l’augmentation du nombre d’attaques pendant l’enceinte de confinement, un sur cinq admet qu’il n’a pas pu accéder à une sauvegarde de ses données en cas de besoin

Ransomware: les entreprises européennes sont-elles prêtes?

Ontrack, leader mondial des services de récupération de données, dévoile les résultats d’une enquête européenne sur les ransomwares. Quatre entreprises sur dix (39%) n’ont pas de plan d’urgence contre les ransomwares ou ne savent pas s’il en existe un. Et cela malgré un nombre sans précédent de ransomwares enregistrés au cours des 12 derniers mois1.

Les cyberattaques et les violations de données peuvent avoir de graves conséquences pour les entreprises en termes de temps d’arrêt, de dommages financiers et de réputation de l’entreprise. Les attaques de ransomwares visant à chiffrer les données d’une victime et à réclamer des frais pour les récupérer continuent d’être fréquentes. Malheureusement, les blessures peuvent être graves et généralisées. La plus grande attaque à ce jour – WannaCry – aurait touché plus de 200 000 ordinateurs dans 150 pays différents. Les ransomwares sont courants aujourd’hui et ont été exacerbés par la tendance actuelle du travail à domicile.

Un sur cinq (21%) a déclaré avoir été victime d’une attaque de ransomware et plus d’un quart (26%) a reconnu ne pas avoir pu accéder à une sauvegarde de son ordinateur après l’attaque. . Même lorsque les entreprises pouvaient accéder à une sauvegarde fonctionnelle, 22% d’entre elles ne pouvaient récupérer qu’une partie ou la totalité des données.

Dans la plupart des pays, les employés ont travaillé pendant quelques mois avec des paramètres complètement différents, où les nouveaux risques de sécurité sont élevés et où les cybercriminels trouvent de nouvelles façons d’exploiter les faiblesses qu’ils peuvent trouver.

« Nous avons constaté une augmentation significative du nombre de cas de ransomwares depuis le début du confinement », a déclaré Philip Bridge, président d’Ontrack, LLC. «Malheureusement, nous sommes à un moment où l’augmentation des distractions à la maison a conduit à une plus grande complaisance du personnel. Par exemple, en cliquant sur des liens infectés par des ransomwares, ils ne cliqueraient pas s’ils étaient au bureau. « 

Bien que les avantages soient nombreux, le travail à distance observé pendant le confinement peut rendre le réseau et les systèmes informatiques d’une entreprise vulnérables. Il ajoute un grand nombre de points de terminaison aux entreprises où il n’y en avait pas auparavant. De plus, nombre d’entre eux sont considérés comme des « Shadow IT » (systèmes / solutions informatiques utilisés par un (des) employé (s), non autorisés ou pris en charge par l’organisation informatique de l’entreprise) et ne sont pas validés par l’employeur.

« La menace des ransomwares n’a jamais été aussi grande. Le fait que 39% des répondants à notre enquête disposent d’un plan d’urgence pour les attaques de ransomwares est inquiétant. Ils jouent avec leurs données et leurs clients. Il est impératif de s’assurer que les entreprises a mis en place des processus et des procédures pour atténuer l’impact de toute cyberattaque et protéger les données sensibles « , a ajouté M. Bridge.

Dans le cadre de cette étude, Ontrack a interrogé 484 entreprises en France, en Allemagne, en Italie, en Espagne, au Royaume-Uni et aux États-Unis.

Catégories
informatique Ransomware Sécurité

Windows 10, 7 et 8.1: méfiez-vous de ce ransomware qui se propage dans les raccourcis et les clés USB!

Une nouvelle solution appelée Try2Cry a été récemment découverte par un chercheur en sécurité informatique. Il distingue la propagation à d’autres PC en infectant les clés USB et en utilisant des raccourcis Windows (fichiers LNK).

Windows 10, 7 et 8.1: méfiez-vous de ce ransomware qui se propage dans les raccourcis et les clés USB!

Une nouvelle solution appelée Try2Cry a récemment été mise en lumière par le chercheur en sécurité informatique Karsten Hahn, analyste de l’éditeur d’antivirus G Data Software. Selon ses informations, ce ransomware tente de se frayer un chemin vers d’autres PC en infectant les clés USB connectées à l’appareil actuellement attaqué.

Après avoir infecté un périphérique, Try2Cry s’assure de crypter les fichiers .doc, .jpg, .xls, .pdf, .docx, .pptx, .xls et .xlsx, puis ajoute une extension .Try2cry à tous les fichiers concernés. Les données sont cryptées à l’aide de Rijndael, un algorithme de cryptage symétrique utilisé par la norme AES. Mais comme mentionné ci-dessus, la caractéristique la plus étonnante de ce ransomware est sa capacité à se propager via des clés USB.LIEN