Catégories
Attaque Avaddon Bitcoins prix Ransomware Sécurité Service informatique

Le groupe de ransomware Avaddon ferme son magasin et livre des clés

Le groupe de ransomware Avaddon, l’un des groupes de ransomware les plus productifs en 2021, a annoncé qu’il cessait ses activités et fournissait à des milliers de victimes un outil de décryptage gratuit.

Le groupe de ransomware Avaddon ferme son magasin et livre des clés

Lawrence Abrams de BleepingComputer affirme avoir reçu un e-mail anonyme contenant un mot de passe et un lien vers un fichier ZIP nommé « Decryption Keys Ransomware Avaddon ».

Le fichier contenait les clés de décryptage de 2 934 victimes du ransomware Avaddon. Ce chiffre étonnant illustre le fait que de nombreuses organisations ne révèlent jamais d’attaques : certains articles n’attribuaient auparavant que 88 attaques au groupe Avaddon.*

Le Bleeping Computer quotidien en ligne a collaboré avec Emisoft pour créer un dispositif de décryptage gratuit que toute victime d’Avaddon peut utiliser pour retrouver l’accès à ses données.

Fabian Wosar ajoute que les personnes derrière Avaddon ont probablement gagné assez d’argent sur les ransomwares pour qu’elles n’aient aucune raison de continuer. Les revendeurs de rançons ont remarqué quelque chose d’urgent dans leurs négociations avec les opérateurs d’Avaddon ces dernières semaines, a-t-il déclaré. Le groupe a donné après « instantanément au cours des deux derniers jours de modestes contre-offres ». « Cela suggère donc qu’il s’agissait d’un arrêt et d’une fermeture des opérations planifiés et que cela n’a pas surpris les personnes impliquées », explique-t-il.

Les données de RecordedFuture montrent qu’Avaddon est responsable de près de 24% de tous les incidents de ransomware depuis l’attaque du Colonial Pipeline en mai. Le rapport sur les ransomwares d’eSentire indique qu’Avaddon a été vu pour la première fois en février 2019 et fonctionne sur un modèle de ransomware en tant que service, où les développeurs de logiciels donnent aux filiales un pourcentage négociable de 65% de toutes les rançons.

« Les membres du groupe Avaddon devraient également offrir à leurs victimes une assistance et des ressources 24h/24 et 7j/7 pour acheter des bitcoins, tester les fichiers pour le décryptage et d’autres défis qui peuvent empêcher les victimes de payer la rançon », indique le rapport. Ce qui est intéressant à propos de ce groupe de ransomwares, c’est la conception de leur site de blog Dark Web. Non seulement ils prétendent fournir une archive complète des documents de leurs victimes, mais ils disposent également d’un compte à rebours indiquant le temps qu’il reste à chaque victime pour payer. Et pour mettre encore plus de pression sur leurs victimes, ils menacent de lancer des DDoS sur leur site web s’ils n’acceptent pas de payer immédiatement. « 

Lawrence Abrams a travaillé avec Fabian Wosar, CTO d’Emsisoft, et Michael Gillespie de Coveware pour vérifier les fichiers et les clés de déchiffrement. Emsisoft a créé un outil gratuit que les victimes d’Avaddon peuvent utiliser pour décrypter leurs fichiers.

Les groupes de ransomware – comme ceux derrière Crysis, AES-NI, Shade, FilesLocker, Ziggy – ont parfois publié des clés de déchiffrement et ont cessé leurs activités pour diverses raisons. Un outil de décryptage Avaddon gratuit a été publié par un étudiant en Espagne en février, mais le groupe a rapidement mis à jour son logiciel malveillant pour le rendre à nouveau infaillible.

« Cette situation n’est pas nouvelle et n’est pas sans précédent. « Plusieurs acteurs malveillants ont publié la base de données de clés ou les clés principales lorsqu’ils ont décidé de mettre fin à leurs opérations », a déclaré Fabian Wosar à ZDNet. « En fin de compte, la base de données clé que nous avons reçue suggère qu’ils ont eu au moins 2 934 victimes. Étant donné que la rançon moyenne d’Avaddon est d’environ 600 000 $ et que les taux de paiement moyens pour les ransomwares, vous pouvez probablement obtenir une estimation décente de ce qu’Avaddon a généré. « 

Catégories
Armée Attaque Bitcoins informatique Ransomware Sécurité Service informatique

Pour les États-Unis, ransomwares et terrorisme c’est kif-kif

Les États-Unis veulent mettre en place une task force centrale basée à Washington qui regroupera tous les cas de ransomware. Une méthode déjà mise en place pour travailler sur les affaires de terrorisme.

Dans ce contexte chargé, les États-Unis ont indiqué qu’ils entendaient revoir leur approche de la cybercriminalité. Selon un responsable américain interrogé par Reuters, les États-Unis souhaitent mettre en place un groupe de travail centralisé basé à Washington pour coordonner les efforts des gouvernements locaux en cas de ransomware.

Les États-Unis cherchent ainsi à acquérir une vision plus large du phénomène et de l’implication des différents acteurs de l’écosystème de la cybercriminalité en obligeant les procureurs et enquêteurs à centraliser les informations découvertes lors de leur enquête dans une cellule. Cette unité aura pour objectif de collecter et de recouper des informations techniques et des détails sur les cas impliquant des ransomwares, mais aussi des cas connexes liés à l’écosystème de la cybercriminalité créé autour de cette activité : botnets, échanges de crypto-monnaie, services d’hébergement pare-balles et blanchiment d’argent seront également de la partie. les vues de ce groupe de travail spécialisé.

La méthode n’est pas nouvelle et a déjà été mise en œuvre par les États-Unis dans des affaires de terrorisme et certains phénomènes criminels qui affectent directement la sécurité nationale. La paralysie des services de Colonial Pipelines a choqué le pays et montre à quel point les attaques de ransomware peuvent affecter l’infrastructure nationale, considérée comme critique.

Aux États-Unis, les gros titres des ransomwares arrivent chaque semaine : après l’attaque qui a paralysé le Colonial Pipeline, c’est le géant de l’alimentation JBS qui a porté le plus gros fardeau du groupe Revil cette semaine. Dans le même temps, le conglomérat japonais Fujifilm a annoncé cette semaine avoir été touché par une attaque de ransomware qui l’a contraint à suspendre l’activité de son système informatique. Dans plusieurs cas, les attaquants ont réussi à extorquer des rançons aux entreprises concernées : on a appris que le pipeline colonial avait exempté une rançon de 4,4 millions de dollars pour obtenir la clé de décryptage utilisée par les pirates qui avaient paralysé son système.

En France, la récente épidémie de ransomware a incité les autorités à reconsidérer leurs méthodes d’enquête. Si les attaques de ransomwares ne sont pas traitées par le parquet national contre le terrorisme, la section J3 du parquet de Paris a en revanche une compétence nationale sur les affaires liées à la cybercriminalité, ce qui permet de centraliser les informations sur les attaques de ransomwares.

Le lieutenant-colonel Fabienne Lopez, chef du service de cyber-enquête de la gendarmerie, C3N, expliquait fin 2020 que chaque service d’enquête travaillant sur ces sujets s’était spécialisé dans différentes « familles » de ransomware, « à la demande de la section J3 du parquet de Paris ». L’échange d’informations entre les différents services est organisé, notamment par la création d’une base de données commune permettant le partage d’informations.En raison du caractère international de ces études, les enquêteurs sont également liés aux services d’Europol, qui travaillent également à leur niveau pour permettre l’échange d’informations sur les cas de ransomware. Un tournant amorcé en 2020 pour faire face à la reprise des attaques, comme le rapportait Le Monde en début d’année.

L’Anssi et les services de renseignement travaillent également de leur côté pour identifier et traquer les groupes à l’origine des cyberattaques. L’échange d’informations entre ces agences et les tribunaux est en revanche plus compliqué, mais la nouvelle loi sur le renseignement, adoptée cette semaine par l’Assemblée nationale, prévoit plusieurs articles visant à faciliter le transfert d’informations des agences et administrations publiques. pour les services de renseignement.

Catégories
Aérien Android Apple Association Attaque Bitcoins COVID-19 Ekans Entreprise de construction Etude EvilQuest GandCrab Hakbit Hôpital hyères informatique Mac MacOS Mairie maze Nefilim NetWalker Non classé Orange presse prix Professionnel Ragnar Locker Ransomware revil Ryuk Sécurité Service informatique Shade sodinokibi SolarWinds Sunburst Technologie ThiefQuest vidéo

Comment la vulnérabilité informatique est-elle mesurée?

Le score CVSS est utilisé presque systématiquement pour évaluer le danger des vulnérabilités. Mais savez-vous quel calcul se cache derrière le score sur 10?

Il faut dire que la cybersécurité regorge de termes spécifiques et autres acronymes (et anglophones, d’ailleurs) pour qualifier les scénarios d’attaque. On parle de RCE, XSS, de « web shell » ou même d’élévation de privilèges. Les balles d’avertissement sont le plus souvent destinées aux spécialistes et n’utilisent que du jargon. Ils soulignent rarement les risques concrets qu’une nouvelle vulnérabilité pose au public.

SUITE… Avec Numerama.com

Catégories
Android Apple Attaque Bitcoins COVID-19 Ekans Etude EvilQuest GandCrab Hakbit Hôpital hyères informatique Mac MacOS Mairie maze Nefilim NetWalker Non classé Orange prix Ragnar Locker Ransomware revil Ryuk Sécurité Service informatique Shade sodinokibi Technologie ThiefQuest vidéo

Ryuk LE ransomware 2020?

Anssi a publié un nouveau rapport, cette fois axé sur l’activité ransomware de Ryuk. Particulièrement impliqué dans l’attaque de Sopra Steria en France, ce logiciel malveillant se distingue de la concurrence et ne se contente pas de dupliquer les méthodes de ses concurrents.

Ryuk LE ransomware 2020?

Ryuk est un ransomware actif depuis 2018 et dont les opérateurs sont particulièrement actifs. C’est ce qui a valu le titre de «ransomware le plus rentable» selon le FBI en 2018 et généré plus de 61 millions de dollars de rançon entre février 2018 et octobre 2019.

Cependant, Ryuk n’aborde pas les méthodes qui ont fait le succès de groupes malveillants comme Maze ou Revil: pas de chantage pour le vol de données, pas de place pour montrer les victimes ou les communiqués de presse ici. Pourtant, ce ransomware, qui est actif depuis deux ans maintenant, reste une menace majeure, et Anssi a publié un rapport de statut.

Ryuk est un ransomware dont le but est de crypter les données de la victime pour exiger une rançon. Anssi indique que les cibles privilégiées des opérateurs de ce ransomware sont les grandes entreprises capables de payer les grosses rançons requises, principalement aux États-Unis et au Canada. L’agence note également que les opérateurs de Ryuk ne réservent pas d’autres groupes vis-à-vis des établissements de santé: « en octobre 2020, Ryuk serait responsable de 75% des attaques sur le secteur de la santé qu’il attaquerait depuis le premier semestre 2019 ». Des dizaines d’hôpitaux américains ont été victimes d’une campagne de Ryuk au début d’octobre visant les services dans les hôpitaux de l’UHS. Le FBI et le CISA américain ont également mis en garde contre le risque de nouvelles attaques basées sur Ryuk dans un nouveau communiqué d’information publié fin octobre.

Trickbot, Emotet et le bazar
Comme de nombreux ransomwares, Ryuk n’est que la dernière étape d’une chaîne d’infection multi-malware. Les auteurs du rapport indiquent que l’infection Trickbot, au moins jusqu’en septembre 2020, aurait été le point d’entrée privilégié des opérateurs Ryuk pour s’implanter dans les réseaux d’entreprise. Trickbot, avec Emotet et bien d’autres, est un malware de type chargeur qui se propage généralement via des campagnes de courrier électronique malveillantes pour infecter un appareil cible, puis se propager à travers le réseau interne d’une victime et se déplacer jusqu’à ce qu’il compromette un contrôleur de domaine. La dernière étape est la mise en œuvre du ransomware, le cryptage des machines et la demande de rançon. Et si ce type d’attaque prend généralement du temps, certains opérateurs Ryuk se démarquent par leur rapidité: Anssi indique ainsi que dans certains cas le temps de la première infection et du cryptage est réduit de quelques jours. (2 à 5) en trois heures ».

En 2020, cependant, les opérateurs de Ryuk semblent s’être progressivement tournés vers un nouveau chargeur, connu sous le nom de BazarLoader, actif depuis mars 2020. «Comme TrickBot, Bazar serait utilisé comme un accès en tant que service pour faire des compromis ou même qualifier un SI pour le compte d’autres groupes d’attaquants. On ne sait pas si BazarLoader, comme TrickBot, fonctionne également sur un modèle d’affiliation », précise l’agence, qui précise que le logiciel est principalement distribué par le groupe derrière Trickbot. D’autres chargeurs ont également été identifiés dans des attaques impliquant le malware Ryuk: Buer et Le logiciel Silent Night a également été utilisé dans l’attaque qui a implémenté Ryuk.

Raas ou pas Raas, c’est la question
L’un des points qui sépare Ryuk du reste de l’écosystème de la cybercriminalité des groupes de ransomware est la question du modèle commercial de Ryuk. Pour de nombreux ransomwares apparus ces derniers mois, le modèle économique utilisé est généralement celui de RaaS (Ransomware as a service): le groupe à l’origine des ransomwares commercialise ses logiciels sur des forums clandestins auprès d’autres groupes, qui s’assurent ensuite de les diffuser réseaux informatiques de leurs victimes.

Pour Anssi, Ryuk n’est « pas officiellement un RaaS »: l’agence déclare ainsi qu’elle n’a observé aucune promotion des opérateurs Ryuk sur les forums clandestins. Ryuk est néanmoins exploité par plusieurs acteurs malveillants, selon Anssi. S’il n’est pas vendu au public, il pourrait être mis à la disposition de partenaires de confiance par le créateur du code malveillant, ou il pourrait être exploité indépendamment par plusieurs groupes à l’aide d’outils et de formes de propagation communs. .

Il est donc difficile de savoir qui tire exactement les fils de Ryuk: le rapport de l’agence met en évidence le rôle central joué par deux acteurs malveillants, le groupe WizardSpider derrière Trickbot et le groupe identifié comme UNC1878. Selon FireEye, ce dernier groupe est responsable de 83% des attaques impliquant Ryuk. L’agence note également l’implication d’autres groupes tels que FIN6 dans la prolifération du ransomware Ryuk ainsi que du code et des méthodologies entre Ryuk et un autre ransomware connu sous le nom de Conti. Si Ryuk n’est pas «officiellement un RaaS», il n’en est pas moins un acteur profondément enraciné dans la sphère de la cybercriminalité et avec de nombreux liens avec des groupes tiers.

Catégories
Android Apple Association Bitcoins COVID-19 Ekans hyères informatique Mac MacOS Ragnar Locker Ransomware revil Sécurité sodinokibi Technologie vidéo

Mattel a été victime cet été d’un ransomware

Le fabricant de jouets a été victime d’une attaque de ransomware l’été dernier. L’attaque a été rapidement interrompue et n’a eu aucun impact significatif sur l’entreprise.

Mattel a contenu l’attaque d’un ransomware

Le fabricant de jouets américain Mattel a révélé mercredi qu’il avait subi une attaque de ransomware qui paralysait certaines fonctions commerciales. Néanmoins, la société affirme s’être remise de l’attaque sans pertes financières importantes.

Mattel a contenu l’attaque
L’incident a eu lieu le 28 juillet, selon un formulaire trimestriel 10-Q, que la société a déposé plus tôt dans la journée auprès de la Securities and Exchange Commission des États-Unis.

Mattel a déclaré que l’attaque par ransomware avait initialement réussi et chiffré certains de ses systèmes.

«Après la découverte de l’attaque, Mattel a commencé à mettre en œuvre ses protocoles de réponse et à prendre une série d’actions pour arrêter l’attaque et restaurer les systèmes affectés. Mattel a contenu l’attaque et, bien que certaines fonctions commerciales aient été temporairement affectées, Mattel a rétabli les opérations », explique la société.

Aucun impact sérieux
Depuis plus d’un an, les gangs de ransomwares volent des données et se lancent dans un double stratagème d’extorsion qui menace de publier les données de l’entreprise piratée sur des sites Web publics appelés «sites de fuite» à moins que les victimes ne paient la rançon souhaitée.

Cependant, le fabricant de jouets explique qu’une enquête ultérieure a conclu que le gang de ransomwares derrière le cambriolage de juillet n’avait volé « aucune donnée commerciale sensible ou des données sur les clients, fournisseurs, consommateurs ou employés ». .

Dans l’ensemble, Mattel semble avoir échappé à l’incident avec seulement un bref temps d’arrêt et sans aucune blessure grave, ce qui est rarement suffisant pour être stressé. De nombreux exemples montrent des pertes financières de plusieurs dizaines de milliers de millions de dollars, comme c’est le cas avec Cognizant ou Norsk Hydro. Mattel souligne que l’attaque du ransomware a légèrement « eu aucun impact significatif sur ses opérations ou sa situation financière. »

Catégories
Android Apple Association Attaque Bitcoins COVID-19 Ekans Etude EvilQuest GandCrab Hakbit Hôpital informatique Mac MacOS maze Nefilim NetWalker Ragnar Locker Ransomware revil Ryuk Sécurité Shade sodinokibi Technologie ThiefQuest

Ransomware de la semaine- octobre 2020 – Des hôpitaux assiégés

Ransomware de la semaine- octobre 2020 – Des hôpitaux assiégés

Cette semaine, nous avons assisté à une attaque concertée contre le secteur de la santé par des groupes de piratage utilisant le ransomware Ryuk. En outre, nous avons vu certaines grandes entreprises bien connues souffrir d’attaques de ransomwares, qui ont affecté leurs activités commerciales.

La plus grande nouvelle cette semaine est que le gouvernement américain a averti le secteur de la santé qu’il existe « des informations crédibles sur une menace accrue et imminente de cybercriminalité pour les hôpitaux et les prestataires de soins de santé américains ». À la suite de ces attaques, nous avons vu six hôpitaux ciblés cette semaine, dont l’hôpital Wyckoff, l’Université du Vermont Health Systems, le Sky Lakes Medical Center et St. Louis. Lawrence Health System.

Nous avons également été informés d’attaques de ransomwares contre des sociétés bien connues, telles que le fabricant de meubles SteelCase, la société de conseil informatique française Sopra Steria et la société d’électricité italienne Enel Group.

Enfin, un représentant de REvil connu sous le nom de UNKN a déclaré qu’ils avaient gagné 100 millions de dollars en un an et que le tristement célèbre gang de labyrinthe avait commencé à fermer son opération de ransomware.

Maintenant que le week-end approche, il est important que toutes les entreprises surveillent les activités suspectes sur leur réseau Windows et leurs contrôleurs de domaine et réagissent de manière proactive si quelque chose est découvert.

LIEN

Les contributeurs et ceux qui ont livré de nouvelles nouvelles et histoires sur les ransomwares cette semaine incluent: @PolarToffee, @VK_Intel, @struppigel, @BleepinComputer, @malwrhunterteam, @malwareforme, @ demonslay335, @jorntvdw, @Seifreed, @FourOctets , @, @Ionut_Ilascu, @DanielGallagher, @fwosar, @MarceloRivero, @Malwarebytes, @Amigo_A_, @GrujaRS, @ 0x4143, @ fbgwls245, @siri_urz, @Mandiant et @IntelAdvanced.

Catégories
Attaque Bitcoins informatique Ransomware Sécurité Technologie

L’éditeur de logiciels allemand Software AG a été victime du ransomware Clop.

Une rançon pharaonique de 23 millions de dollars a été envoyée par le groupe de cyber-hackers.

L’éditeur de logiciels allemand Software AG a été victime du ransomware Clop.

Aucune entreprise n’est à l’abri des ransomwares. Fini les acteurs du secteur informatique malgré toute la vigilance naturelle dont ils peuvent faire preuve. Éditeur de longue date de middleware et de solutions d’intégration de données, Software AG – qui a également développé son activité vers la gestion et l’analyse des API – vient d’en payer le prix. La société a été ciblée le 3 octobre 2020 par le ransomware Clop, qui s’est répandu dans ses systèmes et réseaux. Une rançon de 23 millions de dollars (2083 0069 BTC selon Bleeping Computer) a été demandée par des cybercriminels qui ont commencé à envoyer des captures d’écran d’informations sensibles sur le dark web. Ceux-ci comprennent: la numérisation des passeports et des cartes d’identité des employés de Software AG, des e-mails, des documents financiers ou même des annuaires téléphoniques dans le réseau interne de l’entreprise.

Cette rançon est l’une des plus importantes jamais demandées au monde.

À titre de comparaison, le FBI estime l’étendue de l’extorsion de la part des cybercriminels à 140 millions de dollars en 6 ans. Selon les équipes de MalwareHunterTeam, cette version de Clop peut contenir un outil pour désinstaller le programme antivirus McAfee, mais à l’heure actuelle, on ne sait pas s’il a été créé et utilisé dans le cadre de cette attaque contre Software AG ou s’il l’a été présent avant. Rien d’étonnant à ce que Software AG soit le deuxième plus grand fournisseur informatique allemand, derrière SAP, avec plus de 10 000 clients professionnels dans 70 pays.

Le cyber gang Russe TA505 privilégié

Software AG a signalé l’incident le lundi 5 octobre 2020, après avoir déclaré avoir subi des perturbations de son réseau informatique interne en raison d’une attaque de malware. « Bien que les services à ses clients, y compris ses services basés sur le cloud, restent inchangés, Software AG a donc fermé les systèmes internes de manière contrôlée conformément aux règles de sécurité interne de l’entreprise », a averti l’éditeur. «L’entreprise est en train de restaurer ses systèmes et ses données pour reprendre des opérations ordonnées. Cependant, les services d’assistance et la communication interne de Software AG sont toujours affectés. « 

Clop est un ransomware bien connu utilisé principalement par les cybercriminels russes TA505, ciblant principalement la finance, la distribution, les institutions publiques, les secteurs de l’aérospatiale et de la santé. Récemment, ce ransomware aurait été utilisé dans des cyberattaques visant Go Sport et Courir ainsi qu’au CHU de Rouen.

LIEN 1

LIEN 2

LIEN 3

LIEN 4

LIEN 5

Catégories
Android Apple Association Bitcoins COVID-19 Entreprise de construction Etude EvilQuest GandCrab Hakbit Hôpital hyères NetWalker Non classé Orange prix Ragnar Locker Ransomware Ryuk Sécurité sodinokibi Technologie ThiefQuest vidéo

Ransomware: Septembre 2020 sans précédent

La rentrée scolaire a été marquée par un nombre sans précédent de cyberattaques connues impliquant des ransomwares. Le fruit de la connexion entre plusieurs facteurs. Et ceux-ci ne suggèrent aucun règlement réel.

Ransomware: Septembre 2020 sans précédent

En septembre, nous avons enregistré près de 270 attaques de ransomwares dans le monde, une explosion par rapport aux mois précédents, alors que juin et août ont déjà été marqués par une activité intense des cybercriminels. Mais attention aux trompe-l’œil.

En France, nous avons dénombré 10 cas confirmés, auxquels s’ajoute un cas suspect, mais non confirmé à ce moment, vers le 8 août et à peu près le même en juillet. Les attaques confirmées sont répertoriées sur la chronologie que nous mettons à jour régulièrement. Sur Intrinsec, Cyrille Barthélemy rapporte 13 cas «en crise» en septembre contre 10 en août.

Et de préciser que sa capacité d’intervention n’était évidemment pas la même en plein été qu’en début d’année scolaire. Chez I-Tracing, Laurent Besset a noté 9 interventions sur le mois dernier contre 4 en dessous de la précédente. Chez Advens, Benjamin Leroux fait 3 interventions majeures et moins de 5 interventions plus petites. Mais toujours 150 détections de menaces qui pourraient conduire à une détonation de ransomware, principalement Emotet.

Début septembre, l’Agence nationale de sécurité des systèmes d’information (Anssi) a rapporté avoir traité 104 attaques de ransomwares depuis le début de l’année contre 54 sur l’ensemble de 2019. Et bien sûr, cela ne prend pas en compte les cas hors de son champ d’application.

Concernant la plateforme Cybermalveillance.gouv.fr, le directeur général de GIP Acyma, Jérôme Notin, a encore signalé 1.082 signalements de ransomwares début septembre depuis le lancement de la plateforme le 4 février, avec 44% d’entreprises ou d’associations et 10 % d’administrations ou de communautés. En septembre, Jérôme Notin a enregistré 131 demandes d’assistance, contre 104 en août et 122 en juillet.

En France, à ce stade, il semble difficile de parler d’une explosion. Mais si la tendance à la hausse semble moins prononcée que pour le reste du monde, la menace semble sans doute rester à un niveau élevé.

Il y a au moins deux explications possibles de la situation, qui suggèrent que la menace ne diminuera probablement pas dans un proche avenir. Nous les développons ci-dessous le long de la chronologie.

LIEN

Catégories
Android Apple Association Attaque Bitcoins COVID-19 Ekans Entreprise de construction Etude EvilQuest GandCrab Hakbit Hôpital hyères informatique Mac MacOS maze Nefilim NetWalker Non classé Orange prix Ragnar Locker Ransomware revil Sécurité Shade sodinokibi Technologie ThiefQuest vidéo

L’été meurtrier 2 (toujours pas le film), un ransomware.

La rentrée scolaire a été marquée par un nombre sans précédent de cyberattaques connues impliquant des ransomwares. Le fruit de la connexion entre plusieurs facteurs. Et ceux-ci ne suggèrent aucun règlement réel.

L’été meurtrier 2 (toujours pas le film), un ransomware.

En septembre, nous avons enregistré près de 270 attaques de ransomwares dans le monde, une explosion par rapport aux mois précédents, alors que juin et août étaient déjà marqués par une activité intense des cybercriminels. Mais attention aux trompe-l’œil.
En France, nous avons dénombré 10 cas confirmés, auxquels s’ajoute un cas suspect, mais non confirmé à ce moment, vers le 8 août et à peu près le même en juillet. Les attaques confirmées sont répertoriées sur la chronologie que nous mettons à jour régulièrement. Sur Intrinsec, Cyrille Barthélemy rapporte 13 cas «en crise» en septembre contre 10 en août.

Et de préciser que sa capacité d’intervention n’était évidemment pas la même en plein été qu’en début d’année scolaire. Chez I-Tracing, Laurent Besset a noté 9 interventions sur le mois dernier contre 4 en dessous de la précédente. Chez Advens, Benjamin Leroux fait 3 interventions majeures et moins de 5 interventions plus petites. Mais toujours 150 détections de menaces qui pourraient conduire à une détonation de ransomware, principalement Emotet.

Début septembre, l’Agence nationale de sécurité des systèmes d’information (Anssi) a rapporté avoir traité 104 attaques de ransomwares depuis le début de l’année contre 54 sur l’ensemble de 2019. Et bien sûr, cela ne prend pas en compte les cas hors de son champ d’application.

Concernant la plateforme Cybermalveillance.gouv.fr, Jérôme Notin, PDG de GIP Acyma, a encore signalé début septembre 1.082 signalements de ransomwares à ce jour depuis le lancement de la plateforme le 4 février, avec 44% d’entreprises ou d’associations et 10 % d’administrations ou de communautés. En septembre, Jérôme Notin a enregistré 131 demandes d’assistance, contre 104 en août et 122 en juillet.

En France, à ce stade, il semble difficile de parler d’une explosion. Mais si la tendance à la hausse semble moins prononcée que pour le reste du monde, la menace semble sans doute rester à un niveau élevé.

Il y a au moins deux explications possibles de la situation, qui suggèrent que la menace ne diminuera probablement pas dans un proche avenir. Nous les développons ci-dessous le long de la chronologie.

Catégories
Android Apple Attaque Bitcoins COVID-19 Ekans Entreprise de construction EvilQuest GandCrab Hôpital hyères informatique Mac MacOS maze Nefilim NetWalker Orange prix Ragnar Locker Ransomware revil Sécurité Shade sodinokibi Technologie ThiefQuest

L’été meurtrier (pas le film), un ransomware.

Plusieurs entreprises ont été touchées, dont certaines ont décidé de traverser Rubicon en payant une rançon. Dans le même temps, les cybercriminels se structurent et se professionnalisent.

L’été meurtrier (pas le film), un ransomware.

Il est difficile de trouver une semaine sans voir une ou plusieurs entreprises victimes de ce fléau. En juillet, Netwalker était soupçonné d’avoir gravement perturbé l’activité MMA de la compagnie d’assurance, tout comme le groupe de construction Rabot Dutilleul. Une succursale d’Orange Business Services a été attaquée par Nefilim et a volé 350 Mo de données. Comment ne pas mentionner Garmin, dont la production a été arrêtée pendant deux jours, ainsi que ses sites Web, ses applications mobiles, ses appels téléphoniques, son chat en ligne et sa messagerie.

Et le mois d’août n’a pas été plus paisible, au contraire. Les vacances ont été gâchées pour Carlson Wangonlit Travel by Ragnar Locker ransomware. 30 000 PC auraient été bloqués et 2 To de données volées. Autre spécialiste du voyage dans les troubles, l’une des marques sur la compagnie de croisière Carnival a été visée par une attaque. La litanie se poursuit avec le groupe Maze, qui regroupe plusieurs sociétés Canon, LG et Xerox. Récemment, la société coréenne de semi-conducteurs SK Hynix a été touchée par ce gang. Le groupe derrière Sodinokibi, quant à lui, a poursuivi Brown-Forman, la société mère de Jack Daniel. Le fournisseur de services complets Spie a eu du mal à se débarrasser du ransomware Nefilim. 4 sites de production ont été fermés par MOM, propriétaire des compotes Materne et des crèmes MontBlanc. LIEN