Un employé de Tesla a refusé 1 million de dollars à un espion russe pour pirater l’usine Tesla au Nevada.
Tout commence comme un mauvais roman d’espionnage. Un citoyen russe, Egor Igorevich Kriuchkov, a été arrêté le 22 août à Los Angeles alors qu’il tentait de quitter le pays. Suite à une enquête du FBI, il a été accusé de complot. Il est arrivé aux États-Unis sous le couvert d’un visa de touriste et a affirmé avoir attaqué un pot-de-vin d’un employé d’une entreprise du Nevada. Il lui aurait offert un million de dollars pour infecter le réseau de produits en vrac de l’entreprise.
Ladite société n’est autre que Tesla, comme l’a tweeté son fondateur Elon Musk. « C’était une attaque sérieuse », a déclaré le chef. Moi M. Le plan de Kriuchkov était que l’implantation de ransomwares soit en fait couverte par une attaque DDoS contre l’usine Gigafactory. Et ainsi tromper les équipes informatiques de Tesla.
Combinez sécurité informatique et sécurité
Pour s’adresser à l’employé de Tesla, Kriuchkov l’aurait contacté à l’avance via WhatsApp avant de le rencontrer physiquement à plusieurs reprises du 1er au 3 août, notamment lors d’un voyage au lac Tahos avec d’autres employés de l’entreprise. Après avoir révélé son plan, le Russe aurait donné à l’employé un appel téléphonique unique et lui aurait demandé de le laisser en mode avion jusqu’à ce que les fonds soient transférés. En contrepartie de cette compensation, l’employé devait soit introduire un ransomware via une clé USB ou en cliquant sur une pièce jointe dans un e-mail, mais aussi fournir des informations en amont sur le réseau de Tesla pour améliorer la charge.
L’acte d’accusation a enregistré une discussion entre Egor Igorevich Kriuchkov et le collaborateur de Tesla, dans laquelle le citoyen russe se vantait d’avoir été impliqué dans deux projets similaires. Les entreprises ont généralement négocié une rançon et donnent l’exemple d’une entreprise qui a finalement payé 4 millions de dollars au lieu de 6. Il peut évoquer le cas de Carlson Wagonlit Travel, soupçonné d’avoir payé 4,5 millions de dollars. dollars. L’homme peut être lié au gang derrière le ransomware Ragnar Locker. Dans tous les cas, pour avoir tenté de soudoyer un employé de Tesla, il encourt jusqu’à 5 ans de prison et une amende de 250000 $.
Cette affaire montre que les opérateurs de ransomwares tentent par tous les moyens de pénétrer les réseaux des grandes entreprises. Dans ce contexte, la sécurité informatique ne suffit pas et il est important que les services travaillent également avec la sécurité physique.
L’absence de protocole rend les entreprises vulnérables aux cyberrisques
Les experts en sécurité informatique de Proofpoint ont publié les résultats de l’analyse DMARC (Domain-Based Message Verification Reporting and Compliance) montrant dans quelle mesure les compagnies aériennes sont exposées aux cyberattaques.
Réalisée sur 296 compagnies aériennes membres de l’Association du transport aérien international (IATA), qui représente 82% du trafic mondial, l’étude montre que 61% des compagnies aériennes n’ont pas de registre DMARC publié, ce qui les rend plus vulnérables aux cybercriminels, il s’agit de voler leur identité et ainsi d’augmenter le risque de fraude par e-mail. LIEN
L’Agence du revenu du Canada (ARC) a dû suspendre ses services en ligne dimanche après avoir été la cible de deux cyberattaques au cours desquelles des pirates ont utilisé des milliers d’identités et de mots de passe frauduleux pour obtenir des avantages et accéder aux renseignements personnels des Canadiens.
Environ 5 500 comptes de l’ARC ont également été la cible d’une cyberattaque «bloquant la légitimité». Ce type de cyberattaque utilise des noms d’utilisateur et des mots de passe collectés lors de piratages de comptes précédents et tire parti du fait que de nombreux internautes utilisent les mêmes mots de passe pour plusieurs de leurs comptes.
L’accès à tous les comptes concernés a été suspendu afin de protéger les informations des contribuables canadiens. Le service en ligne «Mon dossier» de l’Agence du revenu du Canada n’était pas disponible dimanche matin.
Cette décision intervient à un moment où de nombreuses entreprises et citoyens canadiens utilisent le site Web de l’agence pour s’inscrire à divers programmes financiers mis en place pour les aider pendant la pandémie du COVID-19.
Selon un haut fonctionnaire fédéral, le gouvernement espère rétablir le service en ligne aux entreprises d’ici lundi. C’est à partir de cette date qu’ils ont pu souscrire aux derniers services d’assistance qui leur étaient destinés. On ne sait pas si la suspension des services aura un autre impact sur les programmes fédéraux tels que l’Allocation canadienne pour enfants et l’Allocation canadienne d’urgence.
L’ARC reste vague sur ce que les victimes de ces cyberattaques doivent faire pour restaurer leurs comptes. Elle dit simplement qu’une lettre leur sera envoyée.
Au moins une victime dit qu’elle attend toujours les nouvelles du gouvernement après que quelqu’un a déjà piraté son compte de l’ARC pour s’inscrire avec succès à la prestation d’urgence mensuelle du Canada de 2 000 $.
Leah Baverstock de Kitchener, en Ontario, dit qu’elle a découvert que son compte avait été piraté lorsqu’elle a reçu plusieurs courriels de l’ARC le 7 août annonçant que sa demande de PKU avait été acceptée. Cependant, elle n’a pas perdu son emploi pendant la pandémie et n’a jamais fait une telle demande. Elle a également appelé l’agence.
«La dame à qui je parlais a pensé que c’était bizarre», dit-elle. Elle m’a alors dit qu’un de ses supérieurs devait m’appeler dans les 24 heures car mon compte n’était pas disponible. Et je n’en ai pas entendu plus. «
Mme Baverstock a exprimé sa frustration face à ce manque de suivi. Elle dit toujours qu’elle ne sait pas comment les pirates ont pu accéder à son compte. Elle a contacté sa banque et d’autres institutions financières pour leur demander d’empêcher les pirates d’utiliser ses informations personnelles pour commettre d’autres fraudes. «Je suis très inquiet. Tout le monde peut utiliser mon nom. Qui sait ? «
Les services en ligne du gouvernement fédéral qui utilisent GCKey pour y accéder ont été la cible de cyberattaques affectant 14 541 comptes, a déclaré samedi le Secrétariat du Conseil du Trésor du Canada dans un communiqué.
Utilisé par près de 30 ministères fédéraux, GCKey donne aux Canadiens accès à des services comme mon compte ou leurs comptes d’immigration, de réfugiés et de citoyenneté au Canada. Les mots de passe et noms d’utilisateur de 9 041 Canadiens ont été acquis frauduleusement et utilisés pour tenter d’accéder aux services publics.
«Tous les comptes GCKey concernés ont été annulés dès que la menace a été détectée», selon le gouvernement fédéral, qui garantit que les ministères concernés communiqueront avec les Canadiens touchés par cette cyberattaque.
La Gendarmerie royale du Canada (GRC) et le Commissariat du Canada à la protection de la vie privée ont été informés de ces cyberattaques visant les renseignements personnels des Canadiens. LIEN
Le gendarme européen de la cybersécurité a été alerté en début d’année sur la sécurité informatique dans les hôpitaux. Liste des recommandations à suivre pour assurer la sécurité de leur réseau informatique.
L’UE fournit dix conseils pour protéger les hôpitaux contre les cyberattaques
Les hôpitaux deviennent une cible de plus en plus tentante pour les cybercriminels. D’autant moins depuis la crise sanitaire, qui place le réseau hospitalier et le marché de la santé au premier plan des risques croissants de cyberattaques.
La taille des réseaux hospitaliers, l’importance vitale du parc de PC dans les réseaux qui restent opérationnels, car la manière dont une grande partie des systèmes informatiques liés à la santé fonctionnent sur des systèmes d’exploitation non pris en charge signifie que la protection des hôpitaux contre les cyberattaques devient de plus en plus compliquée tâche aujourd’hui.
Les pirates informatiques en profitent, soit pour distribuer des ransomwares, soit pour tenter de voler des informations personnelles sensibles aux patients. Pour lutter contre ces menaces croissantes, l’ENISA, l’agence européenne de cybersécurité, a publié en début d’année une liste de recommandations destinées aux responsables informatiques des hôpitaux. Bien que cette liste s’adresse principalement au secteur de la santé, la plupart des recommandations émises par Bruxelles ont une portée plus large.
« Protéger les patients et assurer la résilience de nos hôpitaux est une partie essentielle du travail de l’Agence pour rendre le secteur européen de la santé cyber-sûr », a déclaré Juhan Lepassaa, PDG de l’ENISA, entre autres. Le document intitulé «Directives pour la passation de marchés pour la cybersécurité dans les hôpitaux» recommande dix bonnes pratiques pour rendre le secteur de la santé plus résilient aux cyberattaques.
Impliquer le service informatique dans les achats
Cela semble évident, mais impliquer l’informatique dans l’approvisionnement dès le départ garantit que la cybersécurité est prise en compte dans toutes les phases du processus d’approvisionnement technologique. Ce faisant, des recommandations peuvent être faites sur la manière dont les nouvelles technologies s’intègrent dans le réseau existant et quelles mesures de sécurité supplémentaires peuvent être nécessaires.
Mettre en place un processus d’identification et de gestion des vulnérabilités
Nous vivons dans un monde imparfait, et il existe des produits qui contiennent des vulnérabilités, connues ou non encore découvertes. Avoir une stratégie en place pour faire face aux vulnérabilités tout au long du cycle de vie d’un appareil peut aider l’équipe de sécurité à se tenir au courant des problèmes de sécurité potentiels.
Développer une politique de mise à jour matérielle et logicielle
Les chercheurs en sécurité découvrent souvent de nouvelles vulnérabilités dans les appareils et les systèmes d’exploitation. Cependant, le réseau informatique de l’hôpital a toujours été incapable de garantir l’utilisation des correctifs – et c’est l’une des raisons pour lesquelles le ransomware WannaCry a eu un tel impact sur le NHS, le service public de la santé à travers le canal.
Le document, publié par Bruxelles, recommande donc aux services informatiques de déterminer le moment le plus approprié pour appliquer les correctifs dans chaque segment du réseau, ainsi que de déterminer des solutions pour les machines qui ne peuvent pas être réparées, par ex. Segmentation.
Renforcez les contrôles de sécurité pour la communication sans fil
L’accès aux réseaux hospitaliers doit être limité par des contrôles stricts, ce qui signifie que le nombre d’appareils connectés doit être surveillé et connu afin que tout appareil inattendu ou indésirable essayant d’y accéder soit identifié. Le document publié par les autorités européennes recommande que le personnel non autorisé n’ait pas accès au Wi-Fi et que les mots de passe réseau soient conçus pour être forts et difficiles à déchiffrer.
Création de politiques de test plus strictes
Les hôpitaux qui acquièrent de nouveaux produits informatiques devraient établir un ensemble minimum de tests de sécurité à effectuer sur les nouveaux appareils ajoutés aux réseaux – y compris des tests de pénétration, une fois ajoutés au réseau, pour prendre en compte les tentatives des pirates. abuser.
Créez des plans d’affaires pour la continuité
Des plans de continuité des activités doivent être élaborés chaque fois qu’une défaillance du système menace de perturber les services hospitaliers de base – qui dans ce cas sont les soins aux patients – et le rôle du prestataire dans ces cas. doit être bien défini.
Prendre en compte les problèmes d’interopérabilité
La capacité des machines à transmettre des informations et des données est essentielle au bon fonctionnement des hôpitaux, mais elle peut être compromise en cas de cyberattaque ou de temps d’arrêt. L’hôpital doit avoir des plans de sauvegarde au cas où cette opération serait compromise.
Autoriser le test de tous les composants
Les systèmes doivent être testés régulièrement pour s’assurer qu’ils offrent une bonne sécurité en combinant convivialité et sécurité – par exemple, le service informatique doit s’assurer que les utilisateurs n’ont pas changé des mots de passe complexes pour des mots de passe plus simples. Tout cela doit être pris en compte lors des tests, explique le document fourni par l’ENISA.
Autoriser l’audit des réseaux informatiques La conservation des journaux des tests et de l’activité du réseau permet de suivre plus facilement ce qui s’est passé et comment les attaquants ont accédé au système en cas de compromission, ainsi que d’évaluer quelles informations ont été compromises. «La sécurisation des journaux est l’une des tâches de sécurité les plus importantes», explique le document.
Avec un ransomware, le group Nefilim ont attaqué le groupe SPIE en juillet. Si le groupe a réussi à récupérer ses systèmes, des données volées sont diffusées depuis hier par des attaquants.
Le groupe SPIE ciblé par les ransomwares en juillet
Le groupe SPIE n’a pas échappé à la vague de ransomwares qui a touché les entreprises françaises en juillet. Comme le rapporte leMagIT, le groupe SPIE, spécialisé dans les réseaux d’énergie et de télécommunications, a été pris pour cible par les opérateurs de rançongiciels Nefilim début juillet. Le ransomware a été activé dans la nuit du 13 au 14. Juillet et a bloqué plusieurs serveurs Windows du groupe, provoquant un «temps d’arrêt des applications métier», selon un porte-parole de Spie. L’entreprise précise néanmoins que l’impact opérationnel est resté très limité et que les équipes se sont immédiatement activées pour remettre en service les systèmes concernés.
Comme c’est maintenant le cas avec les attaques de ransomwares, cela a également entraîné le vol de données. Hier, les opérateurs de ransomware nefiliim ont commencé à placer sur leur blog des archives sur des fichiers qu’ils prétendent volés sur les serveurs du groupe. Une archive 10go est proposée et le blog montre que cette archive n’est que la première partie des données publiées. Le groupe SPIE, pour sa part, confirme que « des données internes et des données d’un nombre très limité de clients peuvent avoir été volés » et assure avoir pris contact avec les clients concernés.
La distribution en ligne de données volées n’est pas une bonne nouvelle pour SPIE, mais cela indique que l’entreprise a choisi de ne pas payer la rançon exigée par les cybercriminels et a réussi à remettre ses systèmes en marche sans récupérer la clé de décryptage utilisée par les ransomwares.
Le groupe Nefilim avait déjà été à l’origine de l’attaque d’Orange Business Services début juillet.
Coveware collecte des données mondiales sur les ransomwares et la cyber-extraction pour minimiser les coûts et les temps d’arrêt associés.
Une réponse professionnelle et transparente aux incidents de ransomware. Lorsque le ransomware arrive et que les sauvegardes échouent.
Coveware vous aide à vous concentrer sur votre récupération en interne, tandis que les équipes de professionnels de Coveware gèrent le processus de négociation de cyber-chantage et de récupération de données cryptées par le ransomware. Laissez les experts ransomware guider votre entreprise pour une récupération sûre, compatible et rapide des ransomwares.
Il y a quelques jours, Garmin a été victime d’une cyberattaque de type ransomware. En raison de ce dernier, les utilisateurs de nombreux services Garmin ne pouvaient pas accéder aux services des appareils. Il semble que l’entreprise ait payé une partie de la rançon demandée par les pirates en échange des données volées.
Canon a été victime d’une attaque de pirates. Grâce aux ransomwares, les pirates auraient détourné 10 To de données sur les serveurs de l’entreprise. Le lot concerne à la fois les données internes et les données clients.
Un mémo interne envoyé par Canon à ses employés révèle qu’une attaque de ransomware Maze a ciblé plusieurs sites Web et services Internet du groupe.
Sécurité: les attaques de ransomwares ciblant Garmin et CarlsonWagonLit ont apparemment porté leurs fruits pour les cybercriminels. Dans les deux cas, les preuves suggèrent que les entreprises ont effectivement payé les rançons requis.
Officiellement personne ne paie de rançon
La société Garmin a été prise pour cible le 23 juillet par des attaquants utilisant le ransomware WastedLocker, un correctif apparu en mai 2020 et apparemment lié au groupe Evil Corp. L’attaque a complètement incarné les systèmes de l’entreprise, qui offrent des services GPS utilisés à la fois dans plusieurs appareils connectés et dans des applications utilisées dans l’aviation. La semaine dernière, Garmin a annoncé un « retour progressif aux opérations » après une longue semaine de silence radio.
Comme le rapporte Bleeping Computer, cela n’est pas dû au retour à la normale, notamment à la compétence et à la prévoyance des équipes informatiques de l’entreprise: le magazine britannique explique qu’il a pu accéder au logiciel de décryptage utilisé par les équipes Garmin pour récupérer ‘accès aux business units.
«Une fois que ce package de récupération a été déballé, il contient divers installateurs de logiciels de sécurité, une clé de déchiffrement, un déchiffreur WastedLocker et un script pour les exécuter», explique Bleeping Computer, notant que la clé de déchiffrement et le déchiffreur ont probablement été obtenus grâce au paiement d’une rançon.
Bleeping Computer rapporte également que le package comprend des références à Emsisoft et Coveware, deux sociétés américaines de cybersécurité spécialisées dans les ransomwares. Coveware fait une offre de soutien aux victimes de ransomwares, et une étude de Propublica l’année dernière a révélé que l’entreprise se positionnait souvent comme un médiateur dans les négociations entre victimes et attaquants. Emsisoft propose de développer un logiciel de décryptage pour les victimes qui ont réussi à récupérer la clé de cryptage de l’attaquant mais qui préfèrent éviter d’utiliser le logiciel de décryptage fourni par l’attaquant. Les deux sociétés ont donc probablement aidé Garmin à récupérer la clé de cryptage et à récupérer les machines affectées par les ransomwares.
Le montant exact de la rançon versée par Garmin n’est pas connu, mais selon des sources internes de l’entreprise citées par la presse américaine, les attaquants ont initialement demandé 10 millions de dollars.
Garmin a mis la main dans le pot de confiture, mais ils peuvent se réconforter en pensant qu’ils ne sont pas les seuls cette semaine. En fait, la société Carlson Wagonlit Travel (CWT) a également été ciblée sur les ransomwares: cette fois, il s’agit d’un groupe utilisant le ransomware RagnarLocker. Vendredi dernier, le groupe CWT s’est contenté d’évoquer « une attaque informatique » et a refusé de commenter le sujet tel que rapporté par LeMagIT.
Mais les chercheurs en sécurité ont découvert, jeudi 30 juillet, sur le service VirusTotal, un échantillon de produits de rançon RagnarLocker contenant une rançon spécifiquement adressée à CWT. Cela a été téléchargé sur le service de découverte le 27 juillet. Le chercheur de MalwareHunterTeam, JamesWT, qui a découvert l’échantillon, retrace également les transactions qui ont eu lieu à l’adresse bitcoin fournie par l’attaquant en rançon. Et cela indique avoir reçu un paiement de 414 bitcoins, soit 4,5 millions de dollars par. 28 juillet: sur la blockchain Bitcoin, toutes les transactions sont enregistrées et sont accessibles au public.
Alors que le distributeur du ransomware GrandCrab vient d’être arrêté en Biélorussie, les auteurs de ce ransomware sont toujours en cours d’exécution.
Un distributeur de ransomware GandCrab arrêté en Biélorussie
Les autorités biélorusses viennent d’annoncer l’arrestation d’un homme de 31 ans accusé de distribution de ransomware depuis GandCrab. L’homme, dont l’identité n’a pas été révélée, a été arrêté à Gomel, une petite ville du sud-est de la Biélorussie, à la frontière avec la Russie et l’Ukraine. Les autorités ont déclaré que l’homme n’avait pas été condamné avant son arrestation, mais s’était inscrit à un forum de piratage pour devenir un affilié au ransomware GandCrab.
Ce dernier aurait loué l’accès à un panel web avec des paramètres modifiés pour obtenir une version personnalisée de GandCrab, qu’il enverrait ensuite sous forme de fichiers capturés à d’autres internautes via des techniques de spam. Les victimes qui ont ouvert les fichiers ont été infectées et ont vu leurs fichiers chiffrés, les forçant à payer une rançon pour obtenir une application de déchiffrement et récupérer leurs fichiers.
Les autorités biélorusses ont déclaré que le suspect avait infecté plus de 1 000 ordinateurs alors qu’il était affilié à GandCrab. Pour chaque victime, le suspect a exigé environ 1200 dollars payés en bitcoins, sans préciser combien. Le directeur adjoint de la division criminelle de haute technologie du ministère biélorusse de l’Intérieur, Vladimir Zaitsev, a déclaré que le suspect avait infecté des victimes dans plus de 100 pays, dont la plupart sont situés en Inde, aux États-Unis, en Ukraine, en Angleterre, en Allemagne, en France, en Italie et en Russie.LIEN
La société CWT, spécialisée dans les voyages d’affaires, a été victime du ransomware Ragnar Locker et aurait payé 4,5 millions de dollars pour reprendre ses activités normales.
Carlson Wagonlit Travel a choisi la voie des négociations depuis Ragnar Locker.
Constatons-nous un pic de l’activité des ransomwares cet été? C’est la question que l’on peut se poser à la lumière des différents cas. Le dernier après Garmin, Carlson Wagonlit Travel (CWT), spécialiste des voyages d’affaires, a également été attaqué par un ransomware. Selon Reuters, la société a payé 4,5 millions de dollars pour redémarrer les 30 000 PC recroquevillés par l’attaque. De plus, les hackers auraient téléchargé 2 To de données, dont certaines sont considérées comme sensibles (informations de facturation, souscriptions d’assurance, comptes, etc.).
Si CWT a confirmé avoir subi un «cyber incident», la société nie le vol de données. Un moyen de rassurer les clients qui comprend de nombreuses grandes entreprises comme Axa Equitable, Abbot Laboratories, AIG, Amazon, Facebook ou Estée Lauder. Le groupe a ouvert une enquête sur les attaques et les évasions, mais la reprise aurait été particulièrement rapide.
Ragnar Locker et une négociation de rançon publique
Selon JameWT de l’équipe Malware Hunter, le ransowmare impliqué est Ragnar Locker. Ce dernier n’est pas étranger et utilise les vulnérabilités RDP dans Microsoft Windows. Dernièrement, il a même réussi à se camoufler comme une machine virtuelle. Le poids lourd de l’énergie portugais EDP (Energias de Portugal) en avait fait les frais: des cyber-hackers parvenaient à accéder à 10 To de données sensibles, et une rançon de près de 11 millions de dollars (1580 bitcoins) avait alors été demandée.
Dans le cas de CWT, les pirates ont initialement exigé le paiement de 10 millions de dollars en bitcoin. Nos collègues de Reuters ont pu observer l’échange entre les pirates et le responsable de la société (dans ce cas le CFO) dans un groupe de discussion public en ligne. DAF a expliqué que la société avait été durement touchée par la pandémie de Covid-19 et avait donc accepté de payer 4,5 millions de dollars soit 414 bitcoins. Le paiement a été réglé le 28 juillet. Avec humour, les hackers ont même donné à CWT quelques conseils de sécurité « fermer RDP et autres services, mettre en place une liste blanche IP (rdp / ftp), installer un EDR, avoir au moins 3 administrateurs fonctionnant 24h / 24… ». Après Garmin, l’affaire CWT montre que de plus en plus d’entreprises n’hésitent pas à payer une rançon pour reprendre rapidement leurs activités. Les effets de la pandémie de Covid-19 ont affaibli les entreprises et elles ne peuvent pas se permettre une longue procédure.
Sécurisé par un ransomware dans la nuit du 16 au 17. En juillet, la compagnie d’assurance met volontairement en service ses infrastructures. Les employés sont encouragés à rapporter leur équipement sur le site. Quelques points d’entrée possibles ont émergé.
MMA: la mise en veille par les ransomwares se poursuit!
Après une dizaine de jours de fermeture, le site MMA est de nouveau en ligne. La compagnie d’assurance a fermé ses systèmes d’information après l’explosion d’un ransomware dans la nuit du 16 au 17 juillet. La rumeur veut que NetWalker ait récemment frappé Rabot Dutilleul après avoir notamment attaqué Bolloré Transport & Logistics. Mais diverses sources, c’est plus du côté de Revil / Sodinokibi qu’il vaut la peine de se pencher, précisément celle qui a attaqué Faro Technologies en mai.
Selon les informations du collectif CGT Covéa, les équipes informatiques sont fortement mobilisées, notamment pour restaurer au plus vite les applications métiers afin que les clients de la compagnie d’assurance puissent bénéficier de ses services. Et cela ne doit pas être une tâche facile.
Les éléments d’infrastructure exposés sur Internet suggèrent qu’il existe quelques ressources entre les entités du groupe Covéa – MMA, Maaf, GMF ou encore Fidélia Assistance. Mais pas tout, loin de là. De plus, Maaf et GMF n’ont été que beaucoup moins touchés – « les outils fonctionnent malgré une grande lenteur », a déclaré CGT le 23 juillet – et Fidélia « n’a subi que quelques retards et a donc pu assurer la continuité de service pour les appels MMA ».
Cependant, la réintroduction du site MMA ne signale pas la fin des opérations de récupération. La CGT précise ainsi que « ce week-end, tous les salariés (hors jours fériés) doivent apporter tout leur matériel pour analyse. A partir du lundi [3 août] nous serons à nouveau sur place et travaillerons conformément aux applications disponibles ». Sur Facebook du syndicat page certains commentaires indiquent également la nécessité de réinitialiser leur mot de passe: assez pour trahir le travail pour sécuriser l’annuaire.
La CGT précise également que « le télétravail n’est plus possible jusqu’à nouvel ordre, sauf pour les personnes vulnérables disposant d’un certificat d’isolement médical ». Et nos confrères d’Actu.fr s’interrogent: « est-ce à travers [le télétravail] qu’un bug a été exploité par des hackers »? Une question qui résonne en écho aux propos du président du conseil départemental d’E-et-Loir, Claude Térouinard, qui a récemment rappelé dans les colonnes de L’Echo Républicain que des malwares qui affectaient le département auraient pu « pénétrer dans le système informatique via le réseau de télétravail ». En particulier, nos recherches nous ont conduit à identifier un serveur VPN Pulse Secure qui aurait été le moins touché par la vulnérabilité CVE-2019-11510 jusqu’à fin novembre dernier.Une solution était disponible depuis plusieurs mois et les autorités. avait demandé son application urgente à l’été 2019.
En ce qui concerne le MMA et le télétravail, il y a une explication très simple pour le moment: les serveurs VPN SSL Cisco ASA de la compagnie d’assurance ne sont toujours pas disponibles au moment de la rédaction de cet article, – ceux de Maaf et GMF sont à l’inverse bons en ligne (dans l’espoir qu’ils soient à jour avec corrections). Ces serveurs VPN ne sont peut-être pas étrangers à l’attaque.
Mais les attaquants auraient également pu explorer une passerelle Citrix Netscaler affectée par la tristement célèbre vulnérabilité CVE-2019-19781. Deux de ces systèmes étaient récemment présents sur l’infrastructure MMA. Pour les deux, il apparaît que les corrections nécessaires ont été appliquées fin janvier, selon les données de Shodan.
Quatre ans après son lancement, l’initiative No More Ransom a permis à plus de 4 millions de victimes d’attaques de ransomwares de récupérer leurs fichiers gratuitement.
650 millions d’euros économisés grâce à l’initiative No More Ransom
Au cours des quatre premières années de l’initiative No More Ransom d’Europol, plus de 4 millions de victimes d’attaques de ransomwares ont évité de payer plus de 650 millions d’euros en réponse aux demandes d’extorsion de groupes de cybercriminels.
Lancé pour la première fois en 2016 avec quatre membres de base, No More Ransom fournit des outils de décryptage gratuits pour les ransomwares et n’a cessé de croître depuis. Aujourd’hui, il compte 163 partenaires dans les domaines de la cybersécurité, de la police, des services financiers et autres. Ensemble, ils ont mis des outils de décryptage gratuits à la disposition de plus de 140 familles de ransomwares, téléchargés plus de 4,2 millions de fois.
Les principaux contributeurs au projet incluent Emisoft, fournisseur de 54 outils de décryptage pour 45 familles de ransomwares; membre fondateur de Kaspersky, qui a fourni 5 outils à 32 familles de ransomwares; et Trend Micro, qui a fourni 2 outils de décryptage à 27 familles de ransongware. Parmi les autres sociétés de cybersécurité qui ont participé à No More Ransom, figurent également Avast, Bitdefender, Check Point, ESET et le membre fondateur McAfee.
Un outil populaire
No More Ransom est désormais disponible en 36 langues et accueille des invités de 188 pays à travers le monde. Les visiteurs sont principalement situés en Corée du Sud, aux États-Unis, au Brésil, en Russie et en Inde.
«No More Ransom est l’association entre tous les partenaires clés et les forces de l’ordre du monde entier, et tout le monde évolue dans la même direction. Comme tout le monde contribue à cette menace, nous trouvons des mesures concrètes pour lutter contre les ransomwares en tant que mesure préventive », explique Edvardas Šileris, directeur du Centre européen de cybercriminalité d’Europol, dans un entretien avec ZDNet.
«En fin de compte, ce n’est pas combien d’argent ils économisent qui compte, mais plutôt combien de personnes récupèrent leurs fichiers gratuitement. Il est tout aussi important pour un parent de restaurer les photos de ses proches que pour une entreprise de restaurer son réseau », ajoute-t-il.
La menace grandit
Bien que No More Ransom se soit avéré utile aux victimes de ransomwares, Europol lui-même ajoute que la prévention reste le meilleur moyen de se protéger contre les attaques. D’autant plus aujourd’hui que la nature en constante évolution des ransomwares signifie qu’il existe de nombreuses formes de logiciels malveillants qui ne disposent pas d’outils de décryptage gratuits … et peut-être pas. jamais.
Europol recommande plusieurs mesures de précaution, telles que la sauvegarde hors ligne de fichiers importants. Ainsi, en cas d’attaque, ils peuvent être récupérés immédiatement, qu’un outil de décryptage soit disponible ou non. L’organisation recommande également aux utilisateurs de ne pas télécharger de programmes à partir de sources suspectes ou d’ouvrir des pièces jointes provenant d’expéditeurs inconnus pour éviter d’être victimes d’une attaque de phishing.
Malgré les efforts de No More Ransom et d’autres initiatives de cybersécurité, les ransomwares restent très efficaces pour les cybercriminels, qui parviennent souvent à gagner des centaines de milliers, voire des millions, de dollars en une seule attaque. Cependant, l’application de mises à jour et de correctifs de sécurité aux PC et aux réseaux peut contribuer grandement à arrêter ces types d’attaques. LIEN
De nombreuses entreprises sont ciblées. Après Orange, MMA, CPM, c’est au tour de Misterfly dans l’industrie du tourisme d’être victime d’une cyberattaque dite «ransomware» le 13 juillet. L’entreprise a envoyé un mail à tous ses partenaires pour expliquer la situation.
Misterfly victime d’une cyberattaque par ransomware
dans une lettre adressée à ses agences de voyages partenaires, Misterfly déclare avoir été victime d’une cyberattaque dite «ransomware».
« La conséquence de cette cyberattaque a été de rendre inaccessible une partie du réseau informatique de MisterFly », ajoute le communiqué.
Personne de contact pour nous Frédéric Pilloud, directeur du e-commerce, précise: «Nous savons que les pirates ont réussi à copier un certain nombre de fichiers, et tout notre travail d’analyse est de savoir de quels fichiers il s’agit. Une chose est sûre, que ce ne soit pas ce ne sont pas des informations bancaires car elles ne passent pas par nous « .
Le site de réservation de billets utilise la norme PCI DSS (imposée par Iata), qui garantit le non-stockage des informations de paiement. Ces données sont diffusées directement aux organismes de paiement.
« Le risque maximum serait que les données sur les réservations de nos clients et leurs coordonnées soient disponibles en ligne, mais nous ne sommes pas sûrs. Et avec ces données, il ne serait pas possible de modifier ou d’annuler une réservation, mais je répète pour le moment que nous ne le faisons pas. savoir exactement quels fichiers sont ciblés », explique le directeur e-commerce.
Plusieurs entreprises ont été la cible du même type d’attaque. Les dernières concernent notamment la compagnie d’assurance MMA, Orange et la société multiservices CPM International France, selon le site spécialisé Zataz.com.
Les ransomwares sont des logiciels malveillants qui prennent en otage des données personnelles. «Le contexte général de la mise en œuvre du télétravail et des connexions entre salariés via les VPN favorise ce type d’attaque», souligne Frédéric Pilloud, «Dans notre cas, quelqu’un a ouvert un dossier qu’il ne devait pas ouvrir».
Misterfly s’excuse donc pour l’impact «que cela peut avoir sur la durée du traitement». Et ajoute: « Dans tous les cas, nous vous recommandons de rester vigilant, surtout si vous recevez des communications non sollicitées. Nous vous rappelons d’être particulièrement prudent avec les communications qui prétendent provenir de MisterFly et qui doivent être faites régulièrement, nous vous recommandons change votre mot de passe sur notre site MFPro. «
Une équipe dédiée dans l’entreprise est sur le pont et travaille pour mesurer l’étendue de l’attaque.
Des clubs de football de Premier League ont été la cible de cyberattaques par ransomwares.
Les clubs de football anglais sous les projecteurs des cybercriminels
Les cybercriminels et les pirates informatiques échangent activement des équipes sportives, des organisations et des ligues par le biais de phishing, d’attaques de ransomwares et d’autres moyens dans le but de collecter des sommes énormes. Le gendarme britannique de la cybersécurité a détaillé les cybermenaces auxquelles sont confrontés les clubs de football professionnels, révélant que plus de 70% de ces institutions sportives britanniques ont été victimes d’une tentative de piratage au cours des 12 derniers mois.
Près d’un tiers des clubs de la « Premier League », l’élite du football anglais, ont enregistré au moins cinq attaques, principalement menées pour des raisons économiques. Le rapport avertit que ces attaques ne sont pas menées par des États, mais par des groupes malveillants.
Les principales cyberattaques contre lesquelles les organisations sportives sont mises en garde sont les campagnes de phishing, de courrier électronique, de fraude et de ransomware utilisées pour verrouiller les systèmes et les stades lors d’événements critiques. Un quart des attaques de logiciels malveillants ciblant des organisations sportives auraient impliqué des ransomwares.
Le transfert se transforme en drame
L’un des incidents les plus critiques signalés par le gendarme britannique de la cybersécurité concernait le piratage du compte de messagerie d’un directeur général d’un club de football. Elle avait eu lieu avant qu’un transfert ne soit négocié et avait presque conduit au vol de la somme de 1 million de livres sterling. Par les cybercriminels via des messages commerciaux compromis.
Le responsable du club, dont l’identité n’a pas été révélée, a fourni par inadvertance ses informations d’identification sur une page de connexion Office 365 falsifiée. Il a ainsi donné aux attaquants ses coordonnées et la possibilité de surveiller ses courriels – dont un concernant le transfert imminent d’un joueur. Les attaquants ont utilisé les informations volées pour entamer un dialogue entre les deux clubs, et l’accord a même été approuvé – mais le paiement n’a pas été effectué car la banque a identifié le compte des cybercriminels comme frauduleux.
Un stade piraté
Un autre exemple des autorités britanniques a été une attaque de rançon contre un club de football anglais qui a brisé les systèmes de sécurité et d’entreprise et a empêché les tourniquets de fonctionner et les supporters d’entrer ou de sortir du stade. L’attaque a failli entraîner l’annulation du match de championnat, ce qui aurait coûté au club des centaines de milliers de livres, soit l’équivalent des revenus qui auraient été perdus.
Des pirates auraient pénétré sur le réseau via un e-mail de phishing ou un accès à distance au système de vidéosurveillance connecté. Une fois que les pirates sont arrivés, ils ont pu se propager sur le réseau car il n’était pas segmenté. Les attaquants ont exigé 400 bitcoins pour ne pas avoir exécuté leurs menaces. Mais le club n’a pas payé et a fini par restaurer le réseau lui-même.
Renforcer la sécurité
L’avertissement aux clubs sportifs et aux organisations de ligue de rester vigilants contre les cyberattaques intervient à un moment où beaucoup d’entre eux ont déjà des difficultés financières en raison de l’impact de la pandémie de coronavirus sur les événements sportifs, dont beaucoup ont été annulés ou contraints de se dérouler à huis clos. La perspective de perdre plus d’argent à une cyberattaque peut donc être très dommageable.
Pour aider à se protéger contre les cyberattaques, les autorités britanniques recommandent aux organisations sportives d’introduire des contrôles de sécurité des e-mails, une mesure qui, selon le rapport, n’est « pas appliquée de manière cohérente » partout. secteur. Les organisations doivent également veiller à ce que leur personnel reçoive une formation en cybersécurité et à ce que la gestion des risques informatiques soit prise au sérieux à tous les niveaux.
Et pour se protéger contre les ransomwares et autres cyberattaques d’infrastructure, les entreprises doivent s’assurer que tous les systèmes sont à jour avec les dernières mises à jour de sécurité pour empêcher les criminels de les exploiter. vulnérabilités connues. L’accès à distance doit également être restreint là où il n’est pas nécessaire.