Plusieurs entreprises ont été touchées, dont certaines ont décidé de traverser Rubicon en payant une rançon. Dans le même temps, les cybercriminels se structurent et se professionnalisent.
Il est difficile de trouver une semaine sans voir une ou plusieurs entreprises victimes de ce fléau. En juillet, Netwalker était soupçonné d’avoir gravement perturbé l’activité MMA de la compagnie d’assurance, tout comme le groupe de construction Rabot Dutilleul. Une succursale d’Orange Business Services a été attaquée par Nefilim et a volé 350 Mo de données. Comment ne pas mentionner Garmin, dont la production a été arrêtée pendant deux jours, ainsi que ses sites Web, ses applications mobiles, ses appels téléphoniques, son chat en ligne et sa messagerie.
Et le mois d’août n’a pas été plus paisible, au contraire. Les vacances ont été gâchées pour Carlson Wangonlit Travel by Ragnar Locker ransomware. 30 000 PC auraient été bloqués et 2 To de données volées. Autre spécialiste du voyage dans les troubles, l’une des marques sur la compagnie de croisière Carnival a été visée par une attaque. La litanie se poursuit avec le groupe Maze, qui regroupe plusieurs sociétés Canon, LG et Xerox. Récemment, la société coréenne de semi-conducteurs SK Hynix a été touchée par ce gang. Le groupe derrière Sodinokibi, quant à lui, a poursuivi Brown-Forman, la société mère de Jack Daniel. Le fournisseur de services complets Spie a eu du mal à se débarrasser du ransomware Nefilim. 4 sites de production ont été fermés par MOM, propriétaire des compotes Materne et des crèmes MontBlanc. LIEN
Selon la US Insurance Coalition, les attaques de ransomwares représentent 41% des réclamations depuis le début de l’année. Bitdefender rapporte une multiplication par 7 des rapports sur un an. LIEN
Une femme est décédée jeudi en Allemagne après une attaque de ransomware qui visait à tort un hôpital. En raison de la paralysie du système informatique, le patient a dû être transféré dans un autre établissement mais n’a pas survécu.
Ce que les experts en cybersécurité craignaient depuis longtemps est enfin arrivé. Une femme est décédée suite à une attaque de malware. Arrivée aux urgences d’un hôpital de Düsseldorf, en Allemagne, elle n’a pas pu être prise en charge par des médecins car le système informatique était paralysé par un ransomware ou un ransomware.
Au total, 30 serveurs d’hôpitaux de Düsseldorf ont été infectés par un ransomware, qui a crypté les disques durs et laissé des instructions adressées à l’Université Heinrich Heine, à laquelle l’établissement est affilié. L’hôpital n’était pas la cible des pirates et a été accidentellement pris dans l’attaque. Le patient a dû être transféré dans un hôpital de la ville voisine de Wuppertal, à 32 kilomètres. Les médecins n’ont pas pu commencer le traitement pendant une heure et elle n’a pas survécu.
Les auteurs risquent d’être tués
La police a contacté les auteurs de l’attaque pour les informer de la situation. Ils ont alors immédiatement fourni la clé de cryptage pour bloquer les serveurs concernés. L’hôpital rapporte qu’il n’a subi aucune perte de données et que les systèmes sont redémarrés. L’attaque aurait exploité un bogue dans un produit Citrix (CVE-2019-19781).
Ce n’est pas la première attaque de ransomware dans un hôpital, car d’autres ont déjà forcé les médecins à transférer des patients vers d’autres établissements. Cependant, il peut s’agir du premier décès lié aux logiciels malveillants, directement ou indirectement. Une enquête est en cours pour établir le lien de causalité. Dans ce cas, les auteurs pourraient être accusés de meurtre.
Les cybercriminels ont fait près de 700 victimes dans le monde depuis le début de l’année. Nous avons identifié plusieurs dizaines de cas en France. Mais la transparence semble encore très limitée.
Comment déterminer l’importance de la menace? Quelques exemples épars, plus ou moins frappants, suffisent-ils à éveiller la conscience? Rien n’est moins sûr. Mais il n’y a aucun doute: la menace des ransomwares augmente.LIEN
Non seulement les gens méritent d’être protégés en cette année spéciale 2020, mais votre informatique doit également avoir tout à portée pour rester en bonne état de marche. Et pour l’occasion, Informatique-hyeres.fr vous propose des services de dépannage, réseau, sécurité et entretien informatique sur Hyères et alentours.
Equinix, responsable mondial de centre de données, affirme avoir été ciblé par un ransomware. Heureusement, les données client ne sont pas compromises (normalement!)
Les centres de données sont désormais considérés comme des coffres-forts. Le fournisseur mondial de centres de données Equinix affirme avoir été ciblé par une cyberattaque de type ransomware.
La société n’a pas fourni de détails sur l’attaque et a simplement déclaré qu’une enquête avait été ouverte et que les autorités avaient été prévenues. Cependant, le site Web Bleeping Computer affirme avoir reçu une copie de la rançon reçue par Equinix.
Selon la source, la note contenait une capture d’écran de dossiers contenant des fichiers cryptés par des logiciels malveillants. Selon les noms de ces fichiers, ils contiennent des données très sensibles telles que des informations juridiques et financières.
Par cette note, les pirates menaceraient Equinix d’envoyer les fichiers sur Internet si la rançon n’est pas payée dans les trois jours. Cette attaque aurait eu lieu le week-end dernier.
Un lien ajouté à la note a conduit à un site de paiement de rançon. Le montant demandé était de 455 Bitcoins ou l’équivalent de 4,5 millions de dollars. Les criminels ont également menacé de doubler la somme si la rançon n’était pas payée rapidement. On ne sait pas encore si Equinix a choisi de payer ou non.
Quoi qu’il en soit, la société affirme que seules les données de ses propres systèmes ont été compromises. Bien que la plupart des clients exploitent leur propre équipement dans ses centres de données, leurs données et leur fonctionnement n’ont pas été affectés.
Les centres de données ont été pleinement opérationnels ainsi que les services gérés proposés par la société. En d’autres termes, Equinix a frôlé le désastre car une fuite de données de ses clients les aurait sans doute incités à changer de fournisseur.
Pour rappel, Equinix est le leader mondial du marché des data centers en termes de chiffre d’affaires. Basée à Redwood City, en Californie, la société exploite plus de 200 centres de données dans 55 pays à travers le monde. Ses clients comprennent Ford, Netflix et Spotify.
Si même ce colosse peut être paralysé par les ransomwares alors que ses serveurs sont sécurisés par les technologies les plus avancées, c’est la preuve que personne n’est plus à l’abri des cybercriminels. En fait, Equinix n’est pas le premier fournisseur de centres de données à être victime d’une cyberattaque.
Les attaques de ransomwares visent généralement des individus, mais les pirates ciblent désormais les grandes entreprises informatiques et leurs centres de données. Un autre fournisseur, CyrusOne, a également payé le prix. Il en va de même pour le producteur d’aluminium Norsk Hydro, l’Université de Californie à San Francisco et le système juridique du Texas.
Il existe plusieurs mesures préventives pour protéger vos systèmes contre les ransomwares en adoptant les meilleures pratiques de cybersécurité. Assurez-vous de sauvegarder vos données les plus sensibles et de les chiffrer afin qu’elles ne puissent pas être utilisées par des pirates. Même si vous êtes victime d’un ransomware, il existe des remèdes qui peuvent vous permettre de récupérer vos données sans payer la rançon. Consultez notre guide à ce sujet.
Le tribunal de Paris a été victime d’une cyberattaque en envoyant de faux courriels à plusieurs juges et avocats, dont certains sont associés à des affaires très sensibles. Une première enquête remise aux services de renseignement internes a été ouverte pour déterminer les causes de l’incident et ses auteurs.
Le tribunal de Paris a été victime d’une attaque informatique, révèle le Journal du Dimanche (JDD) le 6 septembre. Une première enquête sur les «attaques contre des systèmes automatisés de traitement de données contenant des données à caractère personnel mis en œuvre par l’État» a été ouverte pour déterminer les causes de l’incident et ses auteurs. Il a été remis à la direction générale de la sécurité intérieure (DGSI), chef du renseignement français, compte tenu de la sensibilité de l’affaire.
Cette institution judiciaire est composée de quatre unités: le siège, le parquet de Paris, le parquet national (PNF) et le parquet national contre le terrorisme. C’est la juridiction qui traite la plupart des affaires en France, dont certaines sont très sensibles comme l’affaire Sarkozy-Kadhafi.
ENVOYER DE FAUX EMAILS Cette cyberattaque consistait à envoyer de faux courriels à plusieurs juges et avocats. Pierre Cornut-Gentille et Jean-Marc Delas, avocats en droit pénal des affaires, ont reçu des messages sous forme d’échanges entre les deux collègues ou entre les cabinets des cabinets. Pierre Cornut-Gentille a été prévenu par « la fausse adresse ». Méfiant, l’avocat a décidé de « ne pas cliquer ». «Du coup je n’ai pas été joint, comme l’a confirmé mon informaticien», raconte-t-il. De son côté, Jean-Marc Delas a vu que son activité avait été fortement perturbée par l’attaque suite à l’ouverture d’un mail contaminé. «En fin de compte, je me suis retrouvé dans une situation où je n’avais plus accès à mon ordinateur», explique-t-il.
Aude Buresi, juge d’instruction à la place financière responsable du financement illégal de l’ancienne affaire ONU et Kerviel, a également été victime de l’attaque. Elle a dû revoir le calendrier de ses examens. Les invocations d’il y a plusieurs semaines ont été reportées. Selon des sources judiciaires, elle n’est pas la seule juge à avoir payé le prix de cet incident. Rémy Heitz, le procureur de la République, a également été visé. Il estime que le piratageinformatique doit être pris très au sérieux en ce qui concerne les personnes concernées et les données potentiellement volées par les cybercriminels.
LE SERVICE POUR L’INTÉRIEUR, AUSSI! Mais selon Le Figaro, cette cyberattaque ne se limite pas au tribunal de Paris. Dimanche après-midi, le ministère de l’Intérieur a déclaré qu’il était « actuellement victime d’une campagne d’attaques de courrier ». Il a bloqué la réception par email des fichiers au format .doc « pour éviter les risques de contamination ». Il est impossible de savoir pour le moment si les deux attaques sont liées.
Le Tribunal de Paris vient s’ajouter à la longue liste des organisations victimes d’une cyberattaque. Côté public on retrouve le conseil de quartier d’Eure-et-Loir, le CHU de Rouen, l’Agence nationale de l’éducation des adultes (Afpa), les services administratifs du Grand Est, le groupe AP-HP … Quant aux entreprises privées, Bouygues Construction victime d’un ransomware ainsi que de la filiale «Transport et logistique» du groupe Bolloré. Et cette tendance est partagée par la plupart des États du monde. Aux États-Unis, pas moins de 50 collectivités locales ont été touchées par un incident de sécurité depuis janvier 2020. LIEN
Dans le contexte d’une augmentation explosive du nombre de cybermenaces en France en cette rentrée 2020 (Léon Grosse, tribunal de Paris …) et après un été meurtrier, la tragique boule des ransomwares semble malheureusement se poursuivre. Zataz et Ransom Leaks ont en fait montré que les opérateurs malveillants derrière le ransomware Nefilim ont de nouveau frappé. Quelques semaines après l’attaque d’une filiale d’Orange ainsi que de Spie, ce groupe a probablement affronté un autre groupe français, à savoir le fabricant breton de médicaments injectables et d’antibiotiques Panpharma. LIEN
Le début d’année a été clairement lucratif pour les ransomwares en France. L’Anssi et la plateforme Cybermalveillance le soulignent. Surtout, ce n’est qu’un début!
L’Agence nationale de sécurité des systèmes d’information (Anssi) et la Direction des affaires criminelles et des grâces (DACG) du ministère de la Justice viennent de publier un guide visant à sensibiliser les entreprises et les collectivités à la menace des ransomwares.
Et il semble qu’il y ait plus qu’une simple urgence: depuis le début de l’année, Anssi dit avoir traité 104 attaques de ransomwares, contre 54 en 2019 dans son ensemble. Et l’agence souligne que « ces chiffres ne donnent pas un aperçu complet des ransomwares actuels affectant le territoire national ». Comme nous le signalait le CERT de Capgemini sur Twitter – «il faut compter toutes [les attaques] gérées par les équipes du CERT en dehors d’Anssi» – mais aussi une confirmation que les cas connus, même dans les médias, ne représentent pas qu’une fraction des cyberattaques avec un ransomware. Et pourtant, ne serait-ce que pour la France, la liste des incidents connus peut déjà paraître très longue.
Concernant la plateforme Cybermalveillance.gouv.fr, Jérôme Notin, PDG de GIP Acyma, rapporte 1.082 signalements de ransomwares à ce jour depuis le lancement de la plateforme le 4 février, auprès de 44% d’entreprises ou d’associations et 10% d’administrations ou de collectivités. Hélas, plusieurs éléments convergent pour suggérer que la vague est loin d’être terminée.
La publication de ce guide par Anssi et DACG constitue un premier indice: il n’y aurait guère de raison de l’être si l’agression des cybercriminels semble être en déclin. Il est évident qu’il s’agit d’une tentative des autorités pour empêcher que la chute ne s’aggrave qu’une source déjà perceptible par rapport à fin 2019.
Trop de systèmes vulnérables
Deuxième indice: certains messages semblent encore avoir du mal à passer, laissant des routes ouvertes aux attaquants. Cela commence par un patch, en particulier pour certains équipements sensibles. Le moteur de recherche spécialisé Onyphe a récemment identifié 15 systèmes Citrix Netscaler Gateway pour les entreprises du Fortune 500 touchées par la vulnérabilité CVE-2019-19871 exposées à Internet, mais aussi 659 Cisco ASA affectés par la CVE-2020- 3452, tous les mêmes 5 serveurs VPN Pulse Secure ou près de soixante systèmes SAP affectés par la vulnérabilité CVE-2020-6287.
Au cours de l’été, nous avons même observé un groupe affecté par une attaque de cyber-ransomware exposant un système affecté par l’une de ces vulnérabilités, malgré des messages et des rappels qui ont duré plusieurs semaines. Et cela sans prendre en compte les services RDP disponibles en ligne sans authentification de la couche réseau (NLA). Autant de points d’entrée sans même parler de phishing.
Les attaques de ransomwares actuelles et la cybercriminalité économique empruntent plus généralement aux APT, a souligné Ivan Kwiatkowski des équipes de recherche et d’analyse de Kaspersky dans nos colonnes début février. Concrètement, cela signifie que l’attaque s’étend très profondément dans le système d’information jusqu’à ce qu’elle obtienne des privilèges dignes d’un administrateur et fournisse un accès très large aux données de l’entreprise compromise.
Passer d’une cible à une autre
Cela donne lieu à un premier risque: le risque de propagation – immédiate ou ultérieure – de l’attaque à des tiers en dehors de la victime d’origine, des clients ou des partenaires. Il existe un soupçon de connexion entre la cyberattaque de Maze contre Xerox et HCL Technologies, sur laquelle aucune des parties ne souhaite commenter. Mais en 2019, la start-up Huntress Labs a détaillé trois incidents dans lesquels des ordinateurs de clients de fournisseurs de services gérés ont été compromis par un ransomware via des outils de gestion à distance. Et ça ne s’arrête pas là.
Les données volées par les cybercriminels avant que leur ransomware ne soit déclenché peuvent être une mine d’or pour les futures campagnes de phishing hautement ciblées … et faciliter l’utilisation d’informations authentiques récupérées lors de l’attaque précédente. Une seule liste de milliers d’adresses e-mail avec quelques éléments personnels supplémentaires peut être un formidable point de départ.
À la mi-juillet, Brett Callow d’Emsisoft a attiré notre attention sur un cas aussi suspect: Nefilim a revendiqué la responsabilité d’une attaque contre Stadler en mai; NetWalker en a revendiqué un sur Triniti Metro début juillet; l’une des captures d’écran de ce dernier était un dossier nommé … «lettres Stadler». Pour l’analyste, «ces composés semblent trop souvent être des coïncidences». Et ce, même si NetWalker fait confiance aux «partenaires», alors que Nefilim opérerait plutôt dans le vide. Car rien ne dit qu’un des partenaires NetWalker n’a pas regardé les données que Nefilim a précédemment publiées pour les utiliser dans le cadre de l’attaque sur Triniti Metro …
Un espoir: la limitation des ressources disponibles Récemment, de nouveaux groupes de cybercriminalité sont apparus qui combinent le cryptage et le vol de données avec la menace de divulgation pour soutenir leurs efforts d’extorsion. Mais la capacité des cybercriminels à exploiter toutes les pistes qu’ils obtiennent n’est pas illimitée. Des appels aux «partenaires» ont lieu régulièrement sur les forums qu’ils visitent. Et les profils recherchés ont un haut niveau de compétence: bien que les outils disponibles gratuitement ne manquent pas, la phase de reconnaissance manuelle avant la mise en œuvre et la détonation du ransomware nécessite une certaine expertise. Cependant, rien ne garantit que certains spécialistes des étapes intermédiaires des attaques n’interviendront pas pour différents groupes.
De toute évidence, toutes ces voies ne doivent pas être exploitées en même temps: la lenteur de nombreuses organisations à fermer les portes d’entrée qu’elles laissent ouvertes sur Internet n’aide que les cybercriminels. Attention donc: un répit peut donner l’impression de se retirer de la menace, du moment qu’il ne s’agit que d’une illusion. Et une chose semble certaine: il n’est pas temps de se détendre.
Le groupe de construction Leon Grosse a été impacté par le ransomware Maze, qui avait déjà été illustré pour avoir également fait rage sur Bouygues Construction. L’entreprise indique un retour progressif à la normale de ses équipements et services informatiques.
L’été meurtrier des ransomwares n’est pas terminé. Après Bouygues Construction et Rabot Dutilleul, c’est au tour d’un autre groupe de construction d’être touché par les ransomwares. Dans ce cas, c’est la société Léon Grosse qui est touchée par le labyrinthe, selon Ransom Leaks. Ce malware est illustré avec précision pour affecter Bouygues Construction, tandis que du côté de Rabot Dutilleul, c’est le ransomware Netwalker qui l’a envahi.
« Le groupe Léon Grosse a fait l’objet d’une cyberattaque le 26 août 2020. Les systèmes d’information ont donc été interrompus pour stopper la propagation de l’attaque », a expliqué la société. Les équipes, accompagnées d’experts externes, travaillent actuellement pour analyser et rétablir la situation dans les meilleurs délais. Les équipements et services informatiques sont ainsi progressivement restaurés. En coopération avec les autorités compétentes, tout est mis en œuvre pour limiter l’impact de cet incident sur nos clients et partenaires ». Contacté pour plus de détails, Léon Grosse n’a pas encore répondu à notre demande.
Les sites Web ne sont toujours pas disponibles Si Léon Grosse indique que son activité commerciale ainsi que ses sites Internet fonctionnent, ce n’est pas encore le cas de son informatique, en tout cas qu’il supporte ses sites Internet: «Pour des raisons techniques, les sites Internet du Groupe Léon Grosse et de ses filiales sont temporairement indisponibles . Nous travaillons au redémarrage de toutes nos pages, et nous nous en excusons », peut-on relire cet après-midi sur le site principal de l’entreprise. Léon Grosse a été fondée en 1954 et compte près de 2 300 employés et un chiffre d’affaires de près de 725 millions d’euros l’an dernier. LIEN