Un virus informatique, Emotet, a été actif dans un grand nombre de grandes entreprises et institutions françaises entre août et fin septembre. La Métropole d’Orléans, mais aussi la ville et au moins 14 des 18 académies de l’éducation nationale ont été ciblées.
Mag IT, un site spécialisé dans la cybersécurité, a révélé le 7 octobre que la Métropole d’Orléans ainsi que plusieurs grandes entreprises avaient été touchées en septembre par l’activité d’un virus cheval de Troie appelé Emotet. Comme Mag IT et France 3 l’ont découvert par la suite, l’attaque a également touché la commune d’Orléans et plusieurs académies, dont Orléans-Tours, mais aussi Nantes, Rennes, Amiens, Nancy-Metz, Strasbourg, Lyon, Grenoble, Montpellier, Toulouse, Aix-Marseille, Versailles. , Paris et Créteil. Inscrit à France 3, Metropolis a pu confirmer qu’un message d’alerte avait été envoyé fin septembre et que l’incident «avait été maîtrisé en 24 heures par la direction informatique». LIEN
Le Trésor américain traite les victimes de ransomwares comme des collaborateurs
Dans une directive émise par le département du Trésor américain, le gouvernement déclare que des sanctions peuvent être envisagées pour les entreprises qui paient une rançon après une attaque de ransomware. L’idée de sanctionner les paiements de rançon gagne du terrain outre-Atlantique.
Tout le monde déconseille fortement de payer la rançon, mais beaucoup le font. Aux États-Unis, un rappel du département du Trésor américain pourrait encore refroidir les entreprises ciblées contre les ransomwares: l’OFAC (Office of Foreign Access Control) a publié une directive sur le paiement d’une rançon, déclarant que les entreprises qui acceptent de céder à l’extorsion de groupes de cybercriminalité, dans certains les cas pourraient également être sanctionnés par les autorités américaines.
Cette nouvelle mesure ne s’applique pas à tous les paiements de rançon: la directive publiée par l’OFAC explique que seuls les paiements aux groupes concernés par des sanctions prononcées par l’OFAC sont concernés par cette mesure. Le document répertorie plusieurs acteurs bien connus du monde du ransomware qui ont été visés par les sanctions de l’OFAC: le créateur du ransomware Cryptolocker Eugene Bogachev, les deux développeurs iraniens du ransomware Samsam, les groupes nord-coréens Lazarus, Bluenoroff et Andariel et enfin Evil Corp groupe, connu pour avoir développé le malware Dridex et plusieurs ransomwares toujours actifs.
Pour l’OFAC, le paiement d’une rançon à ces groupes ou à leurs affiliés peut soumettre les victimes à une enquête pour contourner les sanctions gouvernementales. Les entreprises publiques, mais aussi les partenaires qui ont participé au processus de réaction à l’incident ou qui ont réalisé l’opération, pourraient donc être concernés. L’OFAC demande aux entreprises concernées par ce scénario de contacter ces équipes avant de payer une rançon. «Les paiements de rançon profitent aux acteurs malveillants et peuvent saper les objectifs de sécurité nationale et de politique étrangère des États-Unis. Pour cette raison, les demandes de licence impliquant des rançons requises du fait d’activités malveillantes rendues possibles par le numérique seront examinées par l’OFAC au cas par cas avec présomption de refus », précise l’OFAC dans sa communication.
L’affaire de piratage Garmin, qui aurait accepté le paiement d’une rançon de 10 millions de dollars en crypto-monnaie à des personnes affiliées au groupe Evil Corp, a peut-être demandé à l’OFAC d’émettre le rappel. Comme le rapporte ZDNet.com, plusieurs journalistes ont posé la question au département du Trésor américain au moment de l’annonce du paiement de Garmin.
En fin de compte, la STM a expliqué qu’elle était la cible d’un piratage sous forme de ransomware qui paralysait une partie de son système informatique, « malgré les différentes défenses mises en place pour contrer ce type d’attaque ». ».
Ce type de malware est utilisé pour bloquer l’accès à un système informatique. Les pirates informatiques exigent généralement une rançon pour rendre le contrôle du système à son propriétaire.
La STM a précisé que l’attaque informatique n’a eu aucun impact sur le réseau de bus et de métro. Elle affecte plutôt le site Web et les lignes téléphoniques de la STM, à l’exception de celle dédiée au transport adapté.
«Le réseau de bus et de métro fonctionne normalement. Cependant, le service de transport adapté n’honorera les déplacements que pour des raisons médicales et n’effectuera aucune réservation ou modification de déplacements », a indiqué le transporteur public dans un communiqué mardi matin.
Au lieu de cela, le voyage reprendra pour des raisons médicales et professionnelles à partir du 21 octobre.
Selon les premières analyses du transporteur, les données des clients et des employés n’ont pas été exposées.
La STM encourage les utilisateurs à utiliser des applications mobiles dans une telle situation. «Les équipes de la STM ainsi que les experts du terrain travaillent d’arrache-pied pour rétablir la situation au plus vite», a promis la société.
La STM a également mis en ligne un site Internet spécial pour informer ses clients de l’évolution de la situation: lastm.info
Malgré les circonstances, le service à la clientèle de la STM ne semble pas recevoir un plus grand nombre d’appels que d’habitude. Cela a été clarifié par un employé qui a été contacté via 24 heures à la fin de la journée mardi.
La STM a déclaré avoir mis en garde les «autorités compétentes» après ce piratage, mais souhaite néanmoins fournir des précisions sur la nature de ces autorités. « Nous ne fournirons pas plus de détails à ce sujet pour le moment compte tenu des circonstances », a simplement déclaré l’organisation.
Une rançon pharaonique de 23 millions de dollars a été envoyée par le groupe de cyber-hackers.
L’éditeur de logiciels allemand Software AG a été victime du ransomware Clop.
Aucune entreprise n’est à l’abri des ransomwares. Fini les acteurs du secteur informatique malgré toute la vigilance naturelle dont ils peuvent faire preuve. Éditeur de longue date de middleware et de solutions d’intégration de données, Software AG – qui a également développé son activité vers la gestion et l’analyse des API – vient d’en payer le prix. La société a été ciblée le 3 octobre 2020 par le ransomware Clop, qui s’est répandu dans ses systèmes et réseaux. Une rançon de 23 millions de dollars (2083 0069 BTC selon Bleeping Computer) a été demandée par des cybercriminels qui ont commencé à envoyer des captures d’écran d’informations sensibles sur le dark web. Ceux-ci comprennent: la numérisation des passeports et des cartes d’identité des employés de Software AG, des e-mails, des documents financiers ou même des annuaires téléphoniques dans le réseau interne de l’entreprise.
Cette rançon est l’une des plus importantes jamais demandées au monde.
À titre de comparaison, le FBI estime l’étendue de l’extorsion de la part des cybercriminels à 140 millions de dollars en 6 ans. Selon les équipes de MalwareHunterTeam, cette version de Clop peut contenir un outil pour désinstaller le programme antivirus McAfee, mais à l’heure actuelle, on ne sait pas s’il a été créé et utilisé dans le cadre de cette attaque contre Software AG ou s’il l’a été présent avant. Rien d’étonnant à ce que Software AG soit le deuxième plus grand fournisseur informatique allemand, derrière SAP, avec plus de 10 000 clients professionnels dans 70 pays.
Le cyber gang Russe TA505 privilégié
Software AG a signalé l’incident le lundi 5 octobre 2020, après avoir déclaré avoir subi des perturbations de son réseau informatique interne en raison d’une attaque de malware. « Bien que les services à ses clients, y compris ses services basés sur le cloud, restent inchangés, Software AG a donc fermé les systèmes internes de manière contrôlée conformément aux règles de sécurité interne de l’entreprise », a averti l’éditeur. «L’entreprise est en train de restaurer ses systèmes et ses données pour reprendre des opérations ordonnées. Cependant, les services d’assistance et la communication interne de Software AG sont toujours affectés. «
Clop est un ransomware bien connu utilisé principalement par les cybercriminels russes TA505, ciblant principalement la finance, la distribution, les institutions publiques, les secteurs de l’aérospatiale et de la santé. Récemment, ce ransomware aurait été utilisé dans des cyberattaques visant Go Sport et Courir ainsi qu’au CHU de Rouen.
Mr Bricolage s’ajoute à la longue liste d’entreprises victimes de ransomwares. Depuis une semaine, les sièges sociaux de la grande chaîne de distribution sont paralysés par des malwares. L’entreprise a déposé une plainte et s’assure néanmoins qu’aucune donnée n’a été volée.
Mr Bricolage est affecté par les ransomwares
La chaîne de supermarchés M. Bricolage est victime d’une attaque de ransomware, rapporte L’Express. Ses 850 points de vente n’ont pas été touchés. C’est le siège du groupe situé à Chapelle-Saint-Mesmin, dans le Loiret, qui est paralysé. Les lignes téléphoniques, le système de messagerie électronique et les logiciels de bureau ont tous été bloqués et ont empêché les travailleurs de travailler.
« Les réseaux internes qui hébergeaient le siège ont en fait été exposés à une cyberattaque la semaine dernière », a confirmé un porte-parole de la société française aux médias. « Les équipes se mobilisent pour rétablir au plus vite la situation et redonner à tous les salariés l’accès au réseau sans aucun problème », a promis le groupe de 439 salariés. En outre, il affirme qu’aucune donnée n’a été volée à des cyber-attaquants qui réclament désormais le paiement d’une rançon, dont le montant n’est pas précisé.
La rentrée scolaire a été marquée par un nombre sans précédent de cyberattaques connues impliquant des ransomwares. Le fruit de la connexion entre plusieurs facteurs. Et ceux-ci ne suggèrent aucun règlement réel.
En septembre, nous avons enregistré près de 270 attaques de ransomwares dans le monde, une explosion par rapport aux mois précédents, alors que juin et août ont déjà été marqués par une activité intense des cybercriminels. Mais attention aux trompe-l’œil.
En France, nous avons dénombré 10 cas confirmés, auxquels s’ajoute un cas suspect, mais non confirmé à ce moment, vers le 8 août et à peu près le même en juillet. Les attaques confirmées sont répertoriées sur la chronologie que nous mettons à jour régulièrement. Sur Intrinsec, Cyrille Barthélemy rapporte 13 cas «en crise» en septembre contre 10 en août.
Et de préciser que sa capacité d’intervention n’était évidemment pas la même en plein été qu’en début d’année scolaire. Chez I-Tracing, Laurent Besset a noté 9 interventions sur le mois dernier contre 4 en dessous de la précédente. Chez Advens, Benjamin Leroux fait 3 interventions majeures et moins de 5 interventions plus petites. Mais toujours 150 détections de menaces qui pourraient conduire à une détonation de ransomware, principalement Emotet.
Début septembre, l’Agence nationale de sécurité des systèmes d’information (Anssi) a rapporté avoir traité 104 attaques de ransomwares depuis le début de l’année contre 54 sur l’ensemble de 2019. Et bien sûr, cela ne prend pas en compte les cas hors de son champ d’application.
Concernant la plateforme Cybermalveillance.gouv.fr, le directeur général de GIP Acyma, Jérôme Notin, a encore signalé 1.082 signalements de ransomwares début septembre depuis le lancement de la plateforme le 4 février, avec 44% d’entreprises ou d’associations et 10 % d’administrations ou de communautés. En septembre, Jérôme Notin a enregistré 131 demandes d’assistance, contre 104 en août et 122 en juillet.
En France, à ce stade, il semble difficile de parler d’une explosion. Mais si la tendance à la hausse semble moins prononcée que pour le reste du monde, la menace semble sans doute rester à un niveau élevé.
Il y a au moins deux explications possibles de la situation, qui suggèrent que la menace ne diminuera probablement pas dans un proche avenir. Nous les développons ci-dessous le long de la chronologie.
Selon un rapport récent de Checkpoint, les attaques de ransomwares au troisième trimestre 2020 ont été en moyenne de 50% par an. Aujourd’hui dans le monde et plus que doublé aux États-Unis. Parmi les ransomwares dérangeants, Ryuk arrive.
Dans l’actualité de la sécuritéinformatique, les voyants sont rouges lorsqu’il s’agit de ransomware. Ainsi, presque chaque jour apporte son lot d’entreprises qui ont été victimes de ce type d’attaque, et ce n’est pas le dernier rapport de Checkpoint sur le sujet qui montre le contraire. À l’échelle mondiale, l’éditeur de sécurité a en fait observé une augmentation moyenne par Journée de 50% des attaques de ransomwares au T3 2020 par rapport à l’année dernière. Selon Checkpoint, les États-Unis ont connu une très forte augmentation des attaques de ransomwares (98,1%), surtout plus que la Russie (57,9%).
« Au cours du mois dernier, des attaques de ransomwares ont été signalées contre un géant du transport maritime, une société de courtage basée aux États-Unis et l’un des plus grands horlogers du monde », a déclaré Check Point. Cela signifie respectivement CMA CGM, Gallagher et Swatch. « Obtenir une nouvelle victime toutes les 10 secondes, la rançon s’est avérée être une méthode lucrative pour attaquer les cybercriminels », a déclaré le responsable de la sécurité.
Les établissements de santé sont durement touchés
Parmi les ransomwares à surveiller, Checkpoint pointe du doigt Ryuk, qui, contrairement à d’autres types plus traditionnels de ransomwares, est distribué dans le cadre d’attaques massives de campagnes de spam et les kits d’exploitation sont davantage utilisés lors d’attaques ciblées. « Il y a eu une augmentation significative des activités de Ryuk depuis juillet 2020, et il attaque environ 20 organisations par semaine », souligne Checkpoint. «Il y a eu une augmentation constante du nombre d’organisations de soins de santé ciblant Ryuk et presque doublé le nombre d’établissements de santé touchés par les ransomwares dans le monde, passant de 2,3% au T2 à 4% au T3. ».
Alors que le géant américain UHS a récemment été touché par Ryuk, d’autres ransomwares ont fait rage ailleurs dans le monde en France, notamment dans le secteur de la santé au CHU de Rouen, chez Panpharma, mais aussi en Allemagne dans un hôpital où un patient est malheureusement décédé.
La technologie eResearch basée à Philadelphie a été victime d’une attaque de ransomware. Rédactrice d’une plateforme d’administration d’essais cliniques, elle est fortement impliquée dans la recherche d’un traitement pour Covid-19. Ses clients sont ralentis alors que la course au vaccin s’accélère.
les essais cliniques ralentis par un ransomware
La société américaine eResearch Technology, éditeur de logiciels utilisés dans les essais cliniques, a été frappée par un ransomware, révèle le New York Times. L’incident de sécurité n’a pas affecté les patients impliqués dans les essais cliniques, mais a empêché le bon déroulement des tests.
LE LOGICIEL FAIT LE TEST VACCIN ASTRAZENECA
Le logiciel de la société de biotechnologie est utilisé par de nombreuses entreprises impliquées dans la recherche sur Covid-19. Parmi eux figurent IQVIA, l’organisme de recherche à la tête de l’étude sur le vaccin AstraZeneca, et Bristol Myers Squibb, le fabricant de médicaments, qui dirige un consortium d’entreprises pour développer un test rapide pour le virus.
IQVIA a déclaré dans un communiqué que l’attaque « n’avait eu qu’un impact limité sur la conduite de nos essais cliniques ». La société américaine a ajouté qu’elle n’avait pas « connaissance de données ou d’informations confidentielles sur des patients liées à nos activités d’essais cliniques qui ont été supprimées, compromises ou volées ». Sans donner de nom, elle ajoute que certaines entreprises sont devenues beaucoup plus touchées par ce ransomware.
L’attaque contre la technologie eResearch a commencé il y a deux semaines lorsque les employés ont découvert que les données étaient bloquées par une note de rançon dont la taille n’était pas spécifiée. Pour éviter la propagation de logiciels malveillants, l’entreprise a mis ses systèmes hors ligne et s’est entourée d’experts en cybersécurité. Le FBI a également été informé.
L’attaque a été contenue
«Personne n’est satisfait de ces expériences, mais elles ont été contenues», a déclaré Drew Bustos, vice-président du marketing chez eResearch Technology. Il a déclaré que la société commençait à remettre ses systèmes en ligne et prévoyait de remettre les systèmes restants en ligne dans les prochains jours.
EResearch Technology n’a pas précisé le nombre d’essais cliniques concernés, mais le logiciel est utilisé dans des essais de médicaments en Europe, en Asie et en Amérique du Nord. Il a été utilisé dans les trois quarts des essais qui ont conduit à l’approbation du médicament par la Food and Drug Administration (FDA) en 2019, selon son site Web.
LA RECHERCHE MÉDICALE, UNE MINE D’OR POUR LES HACKERS
Ce n’est pas un hasard si les cybercriminels attaquent les entreprises de biotechnologie. Les données scientifiques liées à la recherche sur les vaccins et les médicaments sont d’une grande valeur, en particulier en période de crise sanitaire.
En juillet dernier, la biotech américaine Moderna – qui a créé le premier vaccin expérimental contre Covid-19 – a été ciblée par des pirates chinois. L’Espagne a également accusé la Chine d’être à l’origine d’une campagne de cyber-attaque visant des laboratoires de recherche. LIEN
La rentrée scolaire a été marquée par un nombre sans précédent de cyberattaques connues impliquant des ransomwares. Le fruit de la connexion entre plusieurs facteurs. Et ceux-ci ne suggèrent aucun règlement réel.
L’été meurtrier 2 (toujours pas le film), un ransomware.
En septembre, nous avons enregistré près de 270 attaques de ransomwares dans le monde, une explosion par rapport aux mois précédents, alors que juin et août étaient déjà marqués par une activité intense des cybercriminels. Mais attention aux trompe-l’œil.
En France, nous avons dénombré 10 cas confirmés, auxquels s’ajoute un cas suspect, mais non confirmé à ce moment, vers le 8 août et à peu près le même en juillet. Les attaques confirmées sont répertoriées sur la chronologie que nous mettons à jour régulièrement. Sur Intrinsec, Cyrille Barthélemy rapporte 13 cas «en crise» en septembre contre 10 en août.
Et de préciser que sa capacité d’intervention n’était évidemment pas la même en plein été qu’en début d’année scolaire. Chez I-Tracing, Laurent Besset a noté 9 interventions sur le mois dernier contre 4 en dessous de la précédente. Chez Advens, Benjamin Leroux fait 3 interventions majeures et moins de 5 interventions plus petites. Mais toujours 150 détections de menaces qui pourraient conduire à une détonation de ransomware, principalement Emotet.
Début septembre, l’Agence nationale de sécurité des systèmes d’information (Anssi) a rapporté avoir traité 104 attaques de ransomwares depuis le début de l’année contre 54 sur l’ensemble de 2019. Et bien sûr, cela ne prend pas en compte les cas hors de son champ d’application.
Concernant la plateforme Cybermalveillance.gouv.fr, Jérôme Notin, PDG de GIP Acyma, a encore signalé début septembre 1.082 signalements de ransomwares à ce jour depuis le lancement de la plateforme le 4 février, avec 44% d’entreprises ou d’associations et 10 % d’administrations ou de communautés. En septembre, Jérôme Notin a enregistré 131 demandes d’assistance, contre 104 en août et 122 en juillet.
En France, à ce stade, il semble difficile de parler d’une explosion. Mais si la tendance à la hausse semble moins prononcée que pour le reste du monde, la menace semble sans doute rester à un niveau élevé.
Il y a au moins deux explications possibles de la situation, qui suggèrent que la menace ne diminuera probablement pas dans un proche avenir. Nous les développons ci-dessous le long de la chronologie.
les groupes de hackers modifient leurs objectifs et les prix
Les groupes de hackers de ransomware améliorent de plus en plus leur stratégie. Ainsi que le profil de leurs victimes potentielles, comme le souligne IBM.
Les attaques de ransomwares continuent de croître, ce qui, selon IBM, suggère que les gangs exigeant une rançon augmentent leurs demandes de rançon et deviennent plus sophistiqués sur la façon dont ils calculent la rançon qu’ils tentent de faire chanter. Le nombre d’attaques de ransomwares auxquelles l’équipe dédiée d’IBM est confrontée a triplé au deuxième trimestre 2020. Il représente désormais un tiers de tous les incidents de sécurité auxquels IBM est confronté entre avril et juin 2020.
Rien qu’en juin, un tiers de toutes les attaques de ransomware traitées par l’équipe IBM jusqu’à présent cette année se sont produites. Le rapport indique que les demandes de rançon augmentent rapidement, certaines atteignant 40 millions de dollars, révélant en outre que les attaques de Sodinokibi représentent un tiers des demandes de rançon auxquelles IBM Security X-Force a répondu au cours de l’année. Pour IBM, l’industrie a radicalement changé au cours des derniers mois.
La rançon frappe le plus durement l’industrie manufacturière, représentant près d’un quart de tous les incidents recensés par IBM aujourd’hui, suivi du secteur des services puis du secteur public. « Les attaques contre ces trois secteurs suggèrent que les acteurs de la menace recherchent des victimes avec une faible tolérance aux temps d’arrêt », a déclaré le personnel du groupe américain. « Les organisations qui nécessitent une disponibilité élevée peuvent perdre des millions de dollars chaque jour en raison de la fermeture de l’entreprise. En conséquence, elles peuvent être plus susceptibles de payer une rançon pour retrouver l’accès aux données et reprendre leurs activités. Des activités », note également. la direction d’IBM. LIEN
