Si les cybercriminels peuvent rester longtemps dans le système d’information de la victime, ils sont également susceptibles d’agir très rapidement.
Le scénario semble bon. L’Agence nationale pour la sécurité des systèmes d’information (Anssi) a expliqué l’an dernier à propos de LockerGoga: l’exécution de ransomwares « s’effectue sur plusieurs semaines (voire mois) après le compromis effectif de la cible. Une étude approfondie de la cible et de son infrastructure est donc très Probablement. »En bref, lorsque le ransomware a été déclenché, les attaquants ont eu amplement le temps de compromettre largement le système d’information. Lien
Logiciel de rançon Mespinoza
Le CERT-FR attire l’attention sur le rançongiciel Mespinoza, une variante utilisée contre les autorités locales françaises.
La grande région orientale et méridionale, victime de Mespinoza?
Le CERT-FR ne le dit pas, mais émet un avertissement à propos de cette rançon, impliquée dans des attaques « ciblant les autorités locales françaises » *.
Utilisé depuis au moins octobre 2018, Mespinoza produisait à l’origine des fichiers avec l’extension .locked.
Depuis décembre 2019, une nouvelle version a été documentée en open source. La production de fichiers .pysa semble être la base de ces attaques.
un exécutable (svchost.exe) accompagné de scripts batch;
une archive Python qui contient, entre autres, une variable qui vous permet de sélectionner l’extension des fichiers cryptés. Ensuite, des fichiers .newversion ont été découverts sur l’un des SI compromis.
Cryptage fort?
Jusqu’à présent, le vecteur d’infection n’est pas connu. Cependant, selon le CERT-FR, plusieurs événements auraient pu permettre un accès initial ou une latéralisation:
Tentatives de connexion Brute Force sur une console d’administration et des comptes Active Directory
Filtrage de la base de données de mots de passe
Connexions RDP illégales entre les contrôleurs de domaine
L’un des scripts .bat exécute un script PowerShell sur les ordinateurs du réseau. Parmi ses caractéristiques:
Arrêtez les services, en particulier l’antivirus (il peut même désinstaller Windows Defender)
Suppression de points de restauration et d’instantanés sur le cliché instantané
Le cryptage est basé sur les bibliothèques pyas et rsa. Aucune erreur n’y a encore été détectée, précise le CERT-FR. Et les algorithmes utilisés sont « avancés ». En d’autres termes, il est encore difficile de récupérer des données pour le moment.
Des attaques de ransomwares ont eu lieu ces dernières semaines au Grand Est (notamment à Charleville-Mézières) puis dans la Région Sud (Aix-Marseille). Lien
Le groupe Essilor, spécialisé dans l’optique, a été victime d’une attaque informatique qui a paralysé plusieurs de ses serveurs le samedi 21 mars. L’entreprise affirme que leurs équipes sont en train de redémarrer le système informatique.
Essilor rejoint le club des entreprises françaises victimes d’attaques de ransomwares. La société a été victime d’une attaque informatique samedi 21 mars, qui « a temporairement interrompu l’accès à certains serveurs et ordinateurs personnels », selon un porte-parole du groupe. « Les équipes informatiques d’Essilor ont immédiatement réagi – avec le soutien d’experts antivirus externes – pour empêcher la propagation de logiciels malveillants et protéger nos données et nos systèmes », indique le communiqué, citant une attaque qui exploitait « un nouveau type de virus ». Au travail.
Le groupe Essilor déclare que « les serveurs affectés ont été immédiatement isolés et que de nouveaux correctifs et pare-feu ont été installés » et qu’un redémarrage des systèmes est en cours, orchestré par les équipes informatiques d’Essilor, avec le soutien de sociétés antivirus externes.
L’information a été révélée pour la première fois par L’Express, qui a déclaré que l’attaquant avait utilisé un rançongiciel pour crypter les données de l’entreprise et perturber les systèmes. Les systèmes les plus importants concernés sont, selon L’Express, le système informatique interne et les logiciels de commande. Le magazine mentionne également une rançon que l’annonce du groupe refuse de commenter. Lien
Employés, Federal Protection ATM, Photo Detection Maze, Dopple, Sodinokobi, XXX … poursuivent leur activité de piratage avec l’extorsion numérique. De grandes entreprises telles que le DMC français, le fabricant de systèmes militaires et de santé Kim Chuck ou le gestionnaire du parking CivicSmart ont attaqué et sous extorsion de pression pour diffuser leurs données volées. Malheureusement, la solution n’a plus besoin d’être présentée. Piratage et dépôt de pirates. Les documents et les machines sont cryptés par un ransomware. Pour récupérer leurs biens, les entreprises piégées doivent payer les clés de déchiffrement sans avoir la moindre sécurité pour reprendre le contrôle. Les sauvegardes nous permettent de récupérer la consommation des systèmes pris en otage.
Sauf que, comme l’explique ZATAZ depuis 2018, les pirates ont trouvé un autre moyen de faire payer les sociétés d’infiltration. Extorsion de la distribution des documents.
Des groupes comme Maze, Dopple, Sodinokibi, XXX … se spécialisent dans ce type de double extorsion. Le «double effet RGPD» lorsque j’ai baptisé cette fraude en mai 2018.
Si ces «équipes noires», les mains sur le cœur, annonçaient qu’elles n’attaqueraient plus le monde de la santé à cause de COVID-19, ce qui ne les empêchait pas de menacer les laboratoires de santé anglais, asiatiques et américains, elles n’auraient pas arrêté leurs actions malveillantes . L’encapsulation doit certainement aider, ils ont doublé leur intensité. Lien
Le code source de l’une des souches de ransomware les plus rentables et avancées disponibles aujourd’hui est disponible sur deux forums de piratage en russe.
Le code source d’une souche de ransomware majeure appelée Dharma a été vendu sur deux forums de hackers russes au cours du week-end.
Le FBI a classé la RSA Security Conference Dharma de cette année comme le deuxième programme de rançon le plus lucratif de ces dernières années, après avoir extorqué plus de 24 millions de dollars en paiements aux victimes entre novembre 2016 et novembre 2019. Maintenant, son code source est en vente pour un prix de $ 2 000 – ce qui inquiète les chercheurs en sécurité.
Plusieurs experts en ransomware ont déclaré que la vente du code de ransomware Dharma entraînerait probablement sa publication éventuelle sur Internet et à un public plus large. Ceci, à son tour, se traduira par une diffusion plus large parmi plusieurs groupes de cybercriminalité et une augmentation possible des attaques.
La raison pour laquelle tout le monde s’inquiète est que Dharma est une souche avancée de ransomware, créée par un auteur de malware expérimenté. Ses outils de cryptage sont très avancés et indescriptibles depuis 2017. Pour être plus précis, les seuls ransomwares ont été « décryptés », c’est lorsque des étrangers ont révélé les clés de décryptage des clés – et non à cause d’une erreur de cryptage. Lien
La spécialiste de la lingerie fine Lise Charmel a été frappée par un ransomware en novembre dernier qui chiffrait les postes de travail et paralysait son activité. La société lyonnaise s’est rendue à la réception le 27 février 2020, il était temps de se remettre.
Coup chaud à Lise Charmel. La société lyonnaise, spécialisée dans les sous-vêtements fins, a conclu une réception le 27 février 2020 à Lyon devant le tribunal de commerce. Cette décision a été prise à la suite des difficultés du groupe très gravement déstabilisé depuis le 8 novembre 2019 suite à une cyberattaque. « Le matin du 8 novembre, à 7 heures du matin, les employés des services logistiques ont trouvé leur poste chiffré », a déclaré à la Salade Lyonnaise Olivier Piquet, PDG de Lade Charmel. Lien
Les ransomwares deviennent un sujet de base pour toutes les organisations publiques et privées. Pour les seuls États-Unis, leur impact économique est estimé à 7,5 milliards de dollars pour l’année 2019, selon un rapport de la société Emisoft. Ces cyberattaques affectant les hôpitaux, les administrations ou les entreprises causent également des dommages humains car de nombreuses personnes sont gênées dans leur travail ou n’ont plus accès à un service.
Selon un rapport de chercheurs de la société Dragos, certains ransomwares pourraient bien aller au-delà de ces menaces habituelles. Les chercheurs ont en fait découvert des logiciels malveillants appelés Ekans qui diffèrent de ce que nous savons. Son code recherche spécifiquement les systèmes de contrôle industriels et tente de les arrêter. Le logiciel est capable de reconnaître 64 processus différents qui pourraient théoriquement lui permettre d’intervenir sur des sites industriels sensibles.
L’impact d’Ekans reste limité à l’heure actuelle
Cependant, selon Dragos, il n’y a rien à paniquer pour le moment. Les ransomwares restent assez limités en termes d’efficacité car ils ne disposent pas de mécanismes intégrés pour les diffuser. Cependant, il est important d’en être conscient car la spécificité de sa conception a des raisons d’être inquiète. Il y aurait donc une réelle intention de cibler des processus qui n’étaient pas présents auparavant dans ce type de malware.
Depuis la découverte d’Ekans en décembre 2019, nous soupçonnons l’implication des pouvoirs publics et notamment de l’Iran, mais selon les chercheurs, l’existence d’une telle connexion est très difficile à établir. Par le passé, les gouvernements ont déjà utilisé des logiciels malveillants pour intervenir dans des installations industrielles. On se souvient surtout du ver Stuxnet il y a dix ans. Il aurait été créé par la NSA en collaboration avec les services secrets israéliens. L’objectif était alors d’infecter les ordinateurs de contrôle des centrifugeuses d’enrichissement d’uranium en Iran.Lien
La filiale Construction de Bouygues, touchée par un ransomware le 30 janvier 2020, traverse actuellement une grave crise informatique. « Les équipes informatiques de Bouygues Construction, accompagnées d’experts externes et internes au groupe Bouygues, continuent de restaurer le système d’information et de mettre progressivement les fonctionnalités en service », a indiqué la société dans un communiqué mercredi. La société a été ciblée par un groupe de cybercriminels identifiés sous le nom TA2101 par les différents centres de réponse aux alertes et aux attaques (CERT), qui ont utilisé le rançongiciel Maze pour bloquer 237 ordinateurs et voler, une richesse de données variant selon les différentes sources (200 Go pour Zataz et jusqu’à plusieurs To selon l’ordinateur Bleeping).
« Ils [les pirates informatiques] m’ont informé qu’ils avaient 200 Go de données, 700 ou 1 000 téraoctets de données que vous voyez circuler, ce qui correspond à la taille totale du volume des 237 ordinateurs et serveurs cryptés », a expliqué le fondateur Damien Bancal de Zataz et leader du cluster 8brain cyber intelligence. « Les chiffres concernent les noms de domaine, les rapports, les passeports et concernent un peu plus de soixante pays: Canada, France, Autriche, Tchécoslovaquie, Pologne … ». A ce jour, selon une source interne chez Bouygues Construction, 200 machines ont été nettoyées. Bouygues Construction est loin d’être la seule entreprise en France ciblée par le groupe pirate et le rançongiciel Maze, c’est également le cas notamment pour les hôtels Holiday Inn et Hilton.Lien
Il s’agit d’une première mondiale: les sociétés de cybersécurité Dragos et Sentinel One ont identifié une solution capable de comprendre et de chiffrer non seulement les systèmes d’information d’entreprise mais également les communications entre les machines industrielles à l’intérieur de l’atelier. Une découverte qui suggère de nouvelles cybermenaces.
Une tendance majeure des cyberattaques en 2019 est le ransomware (ransomware) en passe de monopoliser le front de la cyberactualité en 2020. Et avec le piratage des systèmes d’information de Bouygues Construction depuis le 30 janvier, revendiqué par le groupe de cyber malware Labyrinth, et que l’industrie va suivre Aujourd’hui pour l’Australian Maritime Freight Group, l’industrie semble s’imposer comme l’une des nouvelles cibles de choix.
Jusqu’à présent, presque tous les ransomwares se limitaient à infiltrer les systèmes d’information d’entreprise (TI) pour ces industries et à crypter les informations qui y sont stockées. Généralement, une telle opération paralyse certainement un grand nombre de terminaux pendant quelques jours ou quelques semaines, mais ne cause pas de dommages physiques. Mais la situation pourrait devenir plus préoccupante en 2020. Lien
À la Nouvelle-Orléans, la propagation rapide des ransomwares a contraint le personnel de la ville à fermer la plupart des systèmes informatiques. Le maire a même déclaré une urgence dans son administration. Le FBIenquête.
À la fin de la semaine dernière, la ville de la Nouvelle-Orléans aux États-Unis a dû décider d’arrêter et d’arrêter tous ses ordinateurs, la cible d’une cyberattaque particulièrement virulente utilisant un ransomware (ou ransomware). Pour rappel, ces programmes informatiques qui sont déjà à l’origine d’incidents graves (on se souvient des dégâts causés par WannaCry ou NotPetya) bloquent l’accès aux machines, chiffrent les données et nécessitent le paiement d’une rançon en échange de la clé qui permet de retrouver l’accès à son ordinateur.
C’est donc un logiciel de ce type qui n’a été utilisé que quelques heures dans les systèmes informatiques de l’administration de la ville de Louisiane, obligeant LaToya Cantrell, maire de la ville, à déclarer une urgence au sein de son administration. Rien de moins.
