Catégories
Attaque hyères informatique presse prix Ransomware Sécurité Service informatique

Un ransomware pourrait correspondre à la description des symptômes de la cyberattaques d’Adrexo

La société Adrexo, chargée de diffuser la propagande électorale, est à la croisée des chemins depuis la semaine dernière suite à des dysfonctionnements. La communication de l’entreprise évoque notamment l’impact d’une cyberattaque, tandis que les syndicats pointent plutôt un manque de moyens. Services informatique Hyères

Un ransomware pourrait correspondre à la description des symptômes de la cyberattaques d’Adrexo

Dans un communiqué, la direction d’Adrexo évoque la cyberattaque que l’entreprise a connue fin avril pour justifier les dysfonctionnements survenus : « la direction opérationnelle de cette mission a connu des perturbations en mai lors d’une cyberattaque dont l’entreprise a été victime. « Une cyberattaque résolue maintenant, mais qui selon Adrexo aurait perturbé l’organisation de la distribution : » Avec la solution à cet incident, Adrexo s’est organisé pour qu’il soit possible à ses équipes de distribuer dans les meilleures conditions malgré la force informatique et les contraintes opérationnelles. ”.

La diffusion de la propagande électorale dans le cadre du 1er tour de l’élection régionale ne s’est pas déroulée comme prévu : de nombreux citoyens se sont plaints de ne pas avoir reçu la profession de foi des différents partis avant le 1er tour de l’élection. Adrexo est désormais dans le coup : cette filiale du groupe Hopps a remporté le marché de la diffusion de la propagande électorale lors d’un appel d’offres en janvier 2021 avec le groupe.

Mais les dysfonctionnements ont poussé plusieurs partis politiques et autorités locales à exprimer leur mécontentement. Le ministère de l’Intérieur a convoqué lundi les dirigeants des deux sociétés chargées de la distribution à venir pour s’expliquer, laissant La Poste et Adrexo communiquer sur les dysfonctionnements rencontrés.

Un communiqué de presse ne donne pas plus de détails sur la nature ou l’étendue de la cyberattaque en question, mais la société a en fait été touchée par une attaque fin avril. Plusieurs notes et messages diffusés en interne et relayés par les différents syndicats du groupe Hopps ont donné un aperçu de l’ampleur de l’attaque : elle aurait été identifiée dans le week-end du 25 avril et aurait provoqué la paralysie d’un parti. Département IT. Le 30 avril, le groupe s’est félicité de la reprise des opérations en moins de dix jours, affirmant que « le temps de régler cet incident est un exploit », tout en reconnaissant qu’il faudra du temps pour récupérer complètement les services informatiques.

L’impact de la cyberattaque est donc encore difficile à évaluer, et le ministère de l’Intérieur ne semble pas trop s’en émouvoir : il rappelle donc que les deux entreprises sont obligées de donner suite et garantir que les dysfonctionnements ne se reproduisent pas à l’autre tour des élections régionales prévu le 27 juin. Parmi les mesures envisagées pour assurer cela, les préfets seront notamment des sous-officiers chargés d’assurer la qualité des opérations postales et le contrôle opérationnel de la diffusion de la propagande électorale au niveau départemental.

Catégories
Attaque informatique Non classé presse Ransomware Sécurité Service informatique Technologie

Ce nouveau groupe de hackers vise les diplomates européens

BackdoorDiplomacy ne coupe pas les cheveux en quatre en matière de cyberespionnage.

Ce nouveau groupe de hackers vise les diplomates européens

Un groupe de cyberattaques récemment découvert cible des diplomates européens, africains et moyen-orientaux. Mis en évidence jeudi par des chercheurs d’ESET, le groupe appelé BackdoorDiplomacy, a été lié à des attaques réussies contre des ministères des Affaires étrangères dans de nombreux pays d’Afrique, du Moyen-Orient, d’Europe et d’Asie ainsi que contre un petit sous-ensemble d’entreprises de télécommunications en Afrique et au moins un organisme de bienfaisance au Moyen-Orient.

Selon les chercheurs d’ESET, ce groupe est opérationnel depuis au moins 2017. Il cible à la fois les systèmes Linux et Windows et semble préférer exploiter les appareils vulnérables face à Internet comme vecteur d’attaque initial.

S’il trouve des serveurs Web ou des interfaces de gestion de réseau présentant des points faibles, tels que Des problèmes logiciels ou une mauvaise sécurité de téléchargement de fichiers affectent le groupe. Dans un cas observé par ESET, un bogue appelé F5 – CVE-2020-5902 – a été utilisé pour déployer une porte dérobée Linux, tandis que BackdoorDiplomacy dans un autre cas a adopté les vulnérabilités du serveur Microsoft Exchange pour déployer China Chopper, un webshell.

Bien que BackdoorDiplomacy ait été enregistré en tant que groupe de hackers à part entière, il semble avoir des connexions ou au moins quelque chose en commun avec d’autres groupes. Le protocole de chiffrement du réseau utilisé par APT est presque identique à celui utilisé par la porte dérobée Whitebird du groupe Calypso, et ce malware a été déployé contre des cibles diplomatiques au Kazakhstan et au Kirghizistan dans les années 2017-2020.

En outre, ESET pense avoir des points communs avec CloudComputating / Platinum, qui a ciblé les organisations diplomatiques, gouvernementales et militaires en Asie au cours des années précédentes. D’autres index de codage et de mécanisme sont similaires à Rehashed Rat et MirageFox – également connus sous le nom d’APT15.

Dans le cadre d’autres recherches menées ce mois-ci, Check Point Research a découvert une nouvelle porte dérobée développée par des acteurs chinois de la menace pour une période de trois ans. Le malware, appelé VictoryDll_x86.dll, a été utilisé pour compromettre un réseau appartenant au département d’État d’un gouvernement d’Asie du Sud-Est.

De temps en temps, les attaquants analysent l’appareil pour un déplacement latéral, installent une porte dérobée personnalisée et mettent en œuvre une variété d’outils pour effectuer la surveillance et le vol de données. La porte dérobée, appelée Turian, serait basée sur la porte dérobée Quarian, un malware associé à des attaques contre des cibles diplomatiques en Syrie et aux États-Unis en 2013. L’implant principal est capable de récolter et d’exfiltrer des systèmes informatiques, de prendre des captures d’écran, mais aussi d’écraser. , déplacer/supprimer ou voler des fichiers.

Certains des outils utilisés incluent EarthWorm Network Tunnel Software, Mimikatz, NetCat et des logiciels développés par la National Security Agency (NSA) des États-Unis et dévoilés par ShadowBrokers, tels que EternalBlue, DoublePulsar et EternalRocks. VMProtect a dans la plupart des cas été utilisé pour essayer de cacher les activités du groupe.

Les diplomates peuvent avoir besoin de gérer des informations sensibles transmises via des disques et des supports de stockage amovibles. Pour étendre la portée de ses activités de cyber-espionnage, BackdoorDiplomacy recherche les clés USB et tente de copier les fichiers qu’elles contiennent dans une archive protégée par mot de passe, qui est ensuite envoyée à un centre de commande et de contrôle (C2) via la porte dérobée.

Catégories
Attaque Avaddon Bitcoins prix Ransomware Sécurité Service informatique

Le groupe de ransomware Avaddon ferme son magasin et livre des clés

Le groupe de ransomware Avaddon, l’un des groupes de ransomware les plus productifs en 2021, a annoncé qu’il cessait ses activités et fournissait à des milliers de victimes un outil de décryptage gratuit.

Le groupe de ransomware Avaddon ferme son magasin et livre des clés

Lawrence Abrams de BleepingComputer affirme avoir reçu un e-mail anonyme contenant un mot de passe et un lien vers un fichier ZIP nommé « Decryption Keys Ransomware Avaddon ».

Le fichier contenait les clés de décryptage de 2 934 victimes du ransomware Avaddon. Ce chiffre étonnant illustre le fait que de nombreuses organisations ne révèlent jamais d’attaques : certains articles n’attribuaient auparavant que 88 attaques au groupe Avaddon.*

Le Bleeping Computer quotidien en ligne a collaboré avec Emisoft pour créer un dispositif de décryptage gratuit que toute victime d’Avaddon peut utiliser pour retrouver l’accès à ses données.

Fabian Wosar ajoute que les personnes derrière Avaddon ont probablement gagné assez d’argent sur les ransomwares pour qu’elles n’aient aucune raison de continuer. Les revendeurs de rançons ont remarqué quelque chose d’urgent dans leurs négociations avec les opérateurs d’Avaddon ces dernières semaines, a-t-il déclaré. Le groupe a donné après « instantanément au cours des deux derniers jours de modestes contre-offres ». « Cela suggère donc qu’il s’agissait d’un arrêt et d’une fermeture des opérations planifiés et que cela n’a pas surpris les personnes impliquées », explique-t-il.

Les données de RecordedFuture montrent qu’Avaddon est responsable de près de 24% de tous les incidents de ransomware depuis l’attaque du Colonial Pipeline en mai. Le rapport sur les ransomwares d’eSentire indique qu’Avaddon a été vu pour la première fois en février 2019 et fonctionne sur un modèle de ransomware en tant que service, où les développeurs de logiciels donnent aux filiales un pourcentage négociable de 65% de toutes les rançons.

« Les membres du groupe Avaddon devraient également offrir à leurs victimes une assistance et des ressources 24h/24 et 7j/7 pour acheter des bitcoins, tester les fichiers pour le décryptage et d’autres défis qui peuvent empêcher les victimes de payer la rançon », indique le rapport. Ce qui est intéressant à propos de ce groupe de ransomwares, c’est la conception de leur site de blog Dark Web. Non seulement ils prétendent fournir une archive complète des documents de leurs victimes, mais ils disposent également d’un compte à rebours indiquant le temps qu’il reste à chaque victime pour payer. Et pour mettre encore plus de pression sur leurs victimes, ils menacent de lancer des DDoS sur leur site web s’ils n’acceptent pas de payer immédiatement. « 

Lawrence Abrams a travaillé avec Fabian Wosar, CTO d’Emsisoft, et Michael Gillespie de Coveware pour vérifier les fichiers et les clés de déchiffrement. Emsisoft a créé un outil gratuit que les victimes d’Avaddon peuvent utiliser pour décrypter leurs fichiers.

Les groupes de ransomware – comme ceux derrière Crysis, AES-NI, Shade, FilesLocker, Ziggy – ont parfois publié des clés de déchiffrement et ont cessé leurs activités pour diverses raisons. Un outil de décryptage Avaddon gratuit a été publié par un étudiant en Espagne en février, mais le groupe a rapidement mis à jour son logiciel malveillant pour le rendre à nouveau infaillible.

« Cette situation n’est pas nouvelle et n’est pas sans précédent. « Plusieurs acteurs malveillants ont publié la base de données de clés ou les clés principales lorsqu’ils ont décidé de mettre fin à leurs opérations », a déclaré Fabian Wosar à ZDNet. « En fin de compte, la base de données clé que nous avons reçue suggère qu’ils ont eu au moins 2 934 victimes. Étant donné que la rançon moyenne d’Avaddon est d’environ 600 000 $ et que les taux de paiement moyens pour les ransomwares, vous pouvez probablement obtenir une estimation décente de ce qu’Avaddon a généré. « 

Catégories
Attaque hyères informatique prix Ransomware Sécurité Service informatique

Le géant mondial de la viande JBS paie aux pirates 11 millions de dollars de rançon

Selon les autorités américaines, JBS a été victime d’une attaque de ransomware fin mai par une « organisation criminelle probablement basée en Russie »

Les cyberattaques peuvent coûter très cher. La question devrait même être au menu de la rencontre entre Joe Biden et Vladimir Poutine le 16 juin à Genève. Pendant ce temps, le géant mondial de la viande JBS, victime d’une attaque fin mai, a déclaré mercredi avoir payé une rançon de 11 millions de dollars en bitcoins à des pirates.

Le géant mondial de la viande JBS paie aux pirates 11 millions de dollars de rançon

JBS avait déclaré aux autorités américaines qu’il était la cible d’une cyberattaque de ransomware d’une « organisation criminelle peut-être basée en Russie », selon la Maison Blanche. Les serveurs sur lesquels reposent ses systèmes informatiques en Amérique du Nord et en Australie avaient été visés, paralysant notamment les activités du groupe en Australie et suspendant certaines lignes de production aux Etats-Unis.

L’entreprise est loin d’être un cas isolé. Le groupe Colonial Pipeline, également cible d’une telle attaque début mai, a reconnu avoir versé aux pirates 4,4 millions de dollars. Lundi, les autorités américaines ont annoncé avoir récupéré une partie de la somme.

« Ce fut une décision très difficile pour notre entreprise et pour moi personnellement », a déclaré Andre Nogueira, patron de la filiale américaine, dans un communiqué. « Cependant, nous avons estimé que cette décision devait être prise pour prévenir tout risque potentiel pour nos clients », a-t-il poursuivi. « Au moment du paiement, la grande majorité des installations de l’entreprise étaient opérationnelles », a déclaré JBS, l’une des plus grandes entreprises alimentaires au monde. Il s’agissait de « s’assurer qu’aucune donnée ne soit exfiltrée » et « d’éviter des problèmes imprévus liés à l’attaque », selon le groupe.

Catégories
Armée Attaque Bitcoins informatique Ransomware Sécurité Service informatique

Pour les États-Unis, ransomwares et terrorisme c’est kif-kif

Les États-Unis veulent mettre en place une task force centrale basée à Washington qui regroupera tous les cas de ransomware. Une méthode déjà mise en place pour travailler sur les affaires de terrorisme.

Dans ce contexte chargé, les États-Unis ont indiqué qu’ils entendaient revoir leur approche de la cybercriminalité. Selon un responsable américain interrogé par Reuters, les États-Unis souhaitent mettre en place un groupe de travail centralisé basé à Washington pour coordonner les efforts des gouvernements locaux en cas de ransomware.

Les États-Unis cherchent ainsi à acquérir une vision plus large du phénomène et de l’implication des différents acteurs de l’écosystème de la cybercriminalité en obligeant les procureurs et enquêteurs à centraliser les informations découvertes lors de leur enquête dans une cellule. Cette unité aura pour objectif de collecter et de recouper des informations techniques et des détails sur les cas impliquant des ransomwares, mais aussi des cas connexes liés à l’écosystème de la cybercriminalité créé autour de cette activité : botnets, échanges de crypto-monnaie, services d’hébergement pare-balles et blanchiment d’argent seront également de la partie. les vues de ce groupe de travail spécialisé.

La méthode n’est pas nouvelle et a déjà été mise en œuvre par les États-Unis dans des affaires de terrorisme et certains phénomènes criminels qui affectent directement la sécurité nationale. La paralysie des services de Colonial Pipelines a choqué le pays et montre à quel point les attaques de ransomware peuvent affecter l’infrastructure nationale, considérée comme critique.

Aux États-Unis, les gros titres des ransomwares arrivent chaque semaine : après l’attaque qui a paralysé le Colonial Pipeline, c’est le géant de l’alimentation JBS qui a porté le plus gros fardeau du groupe Revil cette semaine. Dans le même temps, le conglomérat japonais Fujifilm a annoncé cette semaine avoir été touché par une attaque de ransomware qui l’a contraint à suspendre l’activité de son système informatique. Dans plusieurs cas, les attaquants ont réussi à extorquer des rançons aux entreprises concernées : on a appris que le pipeline colonial avait exempté une rançon de 4,4 millions de dollars pour obtenir la clé de décryptage utilisée par les pirates qui avaient paralysé son système.

En France, la récente épidémie de ransomware a incité les autorités à reconsidérer leurs méthodes d’enquête. Si les attaques de ransomwares ne sont pas traitées par le parquet national contre le terrorisme, la section J3 du parquet de Paris a en revanche une compétence nationale sur les affaires liées à la cybercriminalité, ce qui permet de centraliser les informations sur les attaques de ransomwares.

Le lieutenant-colonel Fabienne Lopez, chef du service de cyber-enquête de la gendarmerie, C3N, expliquait fin 2020 que chaque service d’enquête travaillant sur ces sujets s’était spécialisé dans différentes « familles » de ransomware, « à la demande de la section J3 du parquet de Paris ». L’échange d’informations entre les différents services est organisé, notamment par la création d’une base de données commune permettant le partage d’informations.En raison du caractère international de ces études, les enquêteurs sont également liés aux services d’Europol, qui travaillent également à leur niveau pour permettre l’échange d’informations sur les cas de ransomware. Un tournant amorcé en 2020 pour faire face à la reprise des attaques, comme le rapportait Le Monde en début d’année.

L’Anssi et les services de renseignement travaillent également de leur côté pour identifier et traquer les groupes à l’origine des cyberattaques. L’échange d’informations entre ces agences et les tribunaux est en revanche plus compliqué, mais la nouvelle loi sur le renseignement, adoptée cette semaine par l’Assemblée nationale, prévoit plusieurs articles visant à faciliter le transfert d’informations des agences et administrations publiques. pour les services de renseignement.

Catégories
Aérien informatique Sécurité Service informatique Technologie

Air India annonce le vol des données de 4,5 millions de passagers

Les noms, les numéros de carte bancaire et les informations de passeport font partie des informations volées, a déclaré la société d’État dans un communiqué.

Air India a assuré qu’elle «sécurisait» les serveurs informatiques touchés par ce vol massif tout en faisant appel à des experts en sécurité informatique. La société a également contacté les sociétés de cartes bancaires concernées.

« Nous regrettons profondément les problèmes causés et sommes satisfaits du soutien et de la confiance de nos passagers », a ajouté la compagnie.
Des pirates informatiques ont réussi à voler les données à environ 4,5 millions de passagers de la compagnie aérienne Air India, a déclaré ce dernier vendredi.

Plusieurs compagnies aériennes ont été victimes d’attaques informatiques ces dernières années. Parmi eux, British Airways a été condamnée à une amende de 28 millions de dollars l’année dernière par le régulateur britannique après avoir perdu des données à environ 400000 passagers en 2018 à la suite d’une cyberattaque.

Une amende de 700 000 $ a également été infligée à la société asiatique Cathay Pacific après une perte de données d’env. neuf millions de clients en 2018.
En mars, Air India a annoncé avoir été informée en février d’une cyberattaque par sa société de traitement de données SITA PSS. Cela concernait les données personnelles enregistrées par les passagers entre août 2011 et février 2021.

Dépannage informatique sur l’aéroport de Toulon-Hyères

La SITA, qui sous-traite une partie de l’informatique à une grande partie de l’industrie aéronautique, a déclaré à l’époque qu’elle avait été la cible d’une « attaque très sophistiquée » qui avait touché plusieurs entreprises.

Air India fait partie du groupe de compagnies aériennes Star Alliance, où SITA gère le fonctionnement de son programme de fidélité.

D’autres compagnies avaient averti leurs passagers en mars de cette cyberattaque, mais seuls les noms et le nombre de passagers membres du programme de fidélité avaient été volés.