Catégories
Association COVID-19 Cybercriminels Hôpital informatique Professionnel Sauvegarde Sécurité Service informatique Technologie

Faites-vous partie des millions de victimes du Hack de l’assurance maladie ?

Mise à jour :quelques heures après la publication de cet article, Ameli a expliqué qu’il avait découvert aucune attaque. Dans le même temps, la publication du pirate a été retirée. Il semble donc que ce soit une fausse alarme.

C’est le site Zataz qui sonne l’alarme. Selon lui, plus d’un million de français ont vu leur compte d’assurance maladie piratée avec une fuite de données en ligne. Pas de doute sur une opération contre le service d’assurance maladie, Ameli.fr. En ce moment, ces données personnelles sont en vente en ligne.

Malgré l’importance des données transitant du côté de l’assurance maladie, les erreurs sur la plateforme se multiplient ces derniers temps. Selon les messages et courriers privés, c’est donc au tour des informations personnelles de santé de circuler sur le web.

Une personne malveillante a en effet mis en vente un million d’identifiants et de mots de passe donnant accès aux comptes de l’assuré. Si ce dernier n’a pas révélé sa méthode d’obtention de ces informations, deux hypothèses sont envisagées : une erreur 0-day ou (plus probablement) une campagne massive de phishing.

Dans ce dernier cas, les victimes seraient alors tombées dans un piège devenu classique : un faux email demandant à nouveau des informations, un faux SMS, etc.

Si cette fuite inquiète, c’est parce qu’elle donne pour la première fois accès à des données extrêmement sensibles. Les informations piratées de l’Assurance Maladie vont du numéro d’état civil à l’adresse postale, qui du côté des médecins transmet les informations bancaires nécessaires au remboursement.

Leur mise en vente donne donc une chance à d’autres mal intentionnés d’exploiter ces informations à des fins personnelles ou frauduleuses : usurpation d’identité, détournement de fonds, vol de données personnelles.

C’est d’autant plus inquiétant que le hacker à l’origine de cette fuite ne demande que 6 000 $ soit environ 5 700 € pour mettre la main sur cette liste d’un million de comptes.


L’hypothèse la plus probable sur l’origine du piratage étant une campagne de phishing, vous devez d’abord vérifier que vous n’avez pas répondu à un e-mail ou SMS suspect de l’Assurance Maladie.

Le nombre de 1 million laisse cependant dubitatif !
1 français sur 60 se serait fait piéger par un faux courriel AMELI !

Que vous ayez fait l’erreur ou non, vous devez changer tous les mots de passe de votre compte AMELI. Enfin, surveillez attentivement l’activité de votre compte AMELI dans les semaines et mois à venir en attendant que votre mutuelle renforce sa sécurité

Pendant ce temps, le site Ameli.fr affiche un bandeau rouge invitant à être à l’affût des tentatives de phishing. Il existe plusieurs astuces pour éviter de se faire prendre. Un premier pas rassurant en attendant le mieux.

Catégories
Association Attaque COVID-19 Cybercriminels Etude informatique presse prix Professionnel Ransomware Sécurité Service informatique Technologie

Une université ferme définitivement ses portes après un ransomware

Lincoln College, une université américaine située dans l’État de l’Illinois, ferme ses portes ce vendredi après une cyberattaque de type ransomware qui a duré des mois maintenant. NBC News rapporte qu’il s’agit de la première université qui se termine en raison d’une attaque de ransomware.
L’université prétend avoir enregistré un nombre record de l’inscription des étudiants à l’automne 2019. Cependant, la pandémie de covid-19 a provoqué une diminution significative de l’inscription, certains étudiants qui ont choisi de reporter leur entrée à l’université ou de faire une pause . Le Lincoln College – l’un des rares zones ruraux qualifiés en tant qu’établissement noir prédominant du ministère de l’Éducation – a déclaré que cela avait affecté sa situation financière.

En décembre 2021, l’université a subi une cyberattaque importante des ransomwares. Les pirates ont réussi à bloquer l’accès à tous les systèmes nécessaires aux efforts de recrutement, de fidélité et de collecte de fonds, et nécessitent une rançon pour débloquer la situation. Ce n’est qu’en mars 2022 de sortir de la situation. Mais il y a eu des déficits d’enregistrement importants qui ont besoin d’un don de transformation ou d’un partenariat pour soutenir le Lincoln College au-delà du semestre en cours.

Lincoln College est né il y a 157 ans en 1865. Il fermera donc ses portes le 13 mai 2022. L’université s’engage à aider les étudiants à passer à une nouvelle école. LIEN1/ LIEN2

Catégories
Attaque Bitcoins COVID-19 Cybercriminels Déchiffrement Hôpital informatique LockBit presse Professionnel Ransomware Sauvegarde Sauvegarde informatique Sécurité Service informatique Technologie

3 cliniques spécialisées dans les soins ostéopathiques touchés par le Ransomware Lockbit 2.0

Bien que les vols et autres par logiciels malveillants sur les magasins d’applications continuent de croître, les logiciels traditionnels restent l’un des secteurs les plus lucratifs de la criminalité numérique.

3 cliniques spécialisées dans les soins ostéopathiques touchés par le Ransomware Lockbit 2.0

L’un des spécialistes de cette région, Lockbit 2.0, annonce avoir fait de nouvelles victimes françaises, avec des milliers de fichiers volés.

Trois cliniques couvertes par le Ransomware
Lockbit 2.0 Computer Hacker Group Repeat. Spécialisé dans le chantage numérique, cette bande organisée croit désormais en plus de 500 victimes, certainement plus que payé la rançon ou négociable souhaitée. Il sauve partout quand Thales pouvait voir en janvier dernier et s’attaquer à plusieurs sociétés françaises. Dans ses environs, des cliniques et un département.

Comme le rapporte Zataz, Lockbit 2.0 transmet des centaines de fichiers volés sur leurs nouvelles victimes. Parmi eux, trois cliniques spécialisées dans les soins ostéopathiques, sur 26 halls de consultation. Les pirates auraient mis la main sur 200 fichiers et dossiers dont le contenu, pour le moment, sera envoyé le 13 avril. Le département d’Ardèche fait également partie de la partie, mais assure qu’aucune donnée personnelle n’a été compromise. « L’étude que nous avons terminée, donc à ce jour, aucune fuite de données », a déclaré un représentant. Mais Lockbit prévoit d’émettre plus de 40 000 fichiers le 12 avril.

Catégories
Armée Attaque Banque COVID-19 Cybercriminels Etude Hôpital hyères informatique presse prix Ransomware Sécurité Service informatique Technologie

« L’attaque de ransomware » a considérablement augmenté entre 2019 et 2020

Entre 2019 et 2020, les attaques de «Ransomware» destiné aux autorités publiques avec plus de 30% d’augmentation.

Au cours de cette période, des services nationaux de la police et de la gendarmeriet enregistrés entre 1 580 et 1 870 procédures relatives aux attaques de forages de rang. Ce sont des logiciels malveillants qui verrouillent des ordinateurs ou de l’ensemble du système informatique, puis demandent une rançon aux victimes. En cas de paiement, les victimes doivent recevoir une clé de déchiffrement pour reprendre l’accès aux données.

Selon l’estimation élevée, le nombre de procédures ouvertes en relation avec le ransomware a augmenté en moyenne de 3% de chaque année jusqu’en 2019, puis accéléré (+ 32%) entre 2019 et 2020. Néanmoins, cette étude, les procédures commerciales et les institutions ne représentent que 15%. d’attaques sur les systèmes de traitement de données automatisés enregistrés entre 2016 et 2020.

Le secteur industriel (qui représente 7% de l’économie française) est particulièrement touché: il représente 15% des victimes enregistrées. Les pouvoirs publics, l’éducation, la santé et l’action sociale sont surreprésentés: 20% des victimes, dont seulement 13% des institutions de la France. Dans ce secteur, les autorités locales sont particulièrement attaquées (85% des autorités publiques en 2020).

La rançon requise par les pirates hachistes deviennent plus importantes et demandées souvent à Cryptomonnaie, selon l’étude. La valeur médiane des montants enregistrés auprès de la police et de la gendarmerie a augmenté d’env. 50% par an entre 2016 et 2020, à 6 375 € pour 2020.

Catégories
COVID-19 Etude Hôpital hyères informatique Sécurité Service informatique Technologie

Menaces sur les internautes français depuis le début de la crise de la /du Covid

Au cours des dernières semaines, de nombreuses rancingres et de grandes cyber attaques, parfois dans le monde entier devenaient conscientes. Il oublierait presque les risques qui pèsent sur les individus et restent toujours très nombreux. De l’usure de l’identité à la phishing, passez à travers la ligne, pas de sécurité.

Menaces sur les internautes français depuis le début de la crise de la /du Covid

LIEN

Catégories
Aérien Android Apple Armée Association Attaque Avaddon Bitcoins COVID-19 Déchiffrement Ekans Entreprise de construction Etude EvilQuest GandCrab Hakbit Hôpital hyères informatique Mac MacOS Mairie maze Nefilim NetWalker Non classé Orange presse prix Professionnel Ragnar Locker Ransomware revil Rugby Ryuk Sécurité Shade sodinokibi SolarWinds Spectre Sunburst Technologie ThiefQuest vidéo

Le coût des « piratages » professionnelles atteint un niveau record

Les grandes attaques des grandes entreprises et l’exposition de 50 à 65 millions d’enregistrements ont un prix élevé, jusqu’à 401 millions de dollars.

Selon une étude IBM, le coût moyen d’une attaque est de plus de 4 millions de dollars.

Le coût des piratages professionnelles atteint un niveau record

Le coût moyen d’une attaque a maintenant dépassé le barreau fatidique de 4 millions de dollars et a atteint un niveau record en vertu de la crise de la santé. Dans un rapport publié mercredi d’IBM, Big Blue estime que, en 2021, coûte une violation de données typique des entreprises de 4,24 millions USD. Le coût est de 10% supérieur à 2020.

En France, les secteurs les plus touchés sont des services financiers, du secteur pharmaceutique ainsi que de la technologie. Au niveau international, aux secteurs de la santé et des services financiers qui enregistrent les violations les plus chères.

Logiciels malveillants et hameçonnage

IBM estime qu’environ 60% des entreprises se sont tournées vers «Cloud» pour poursuivre leurs activités, bien que le renforcement du contrôle de la sécurité n’ait pas nécessairement suivi. Lorsque l’utilisation de travaux distants a explosé, elle était la même pour les infractions de données dont les quantités ont augmenté de 1 million de dollars – les taux les plus élevés de 4,96 millions de dollars contre 3, 89 millions de dollars.

Le vecteur d’attaque le plus courant des victimes de données d’un transfert de données est un compromis sur les informations d’identification, soit extraits des souches de données soumises, vendues ou obtenues par une attaque de force brute. Une fois que le réseau est infiltré, les informations personnelles identifiables (IPI) sont devenues des clients, notamment des noms et des adresses électroniques, volées dans près de la moitié des cas.

Services informatique Hyères

En 2021, il a fallu un total de 287 jours pour détecter et contenir une violation de données ou 7 jours de plus que l’année précédente. Au total, une organisation moyenne n’enregistrera pas d’entrer dans les 212 jours. Il ne sera donc pas capable de résoudre complètement le problème avant que 75 jours supplémentaires soient passés.

Les infractions de données dans le secteur de la santé ont été les plus chères, avec une moyenne de 9,23 millions de USD suivi des services financiers – 5,72 millions de dollars – et des médicaments, avec 5,04 millions de dollars.

Selon IBM, les entreprises qui utilisent des solutions de sécurité sont basées sur des algorithmes d’intelligence artificielle (AI), l’apprentissage automatique, l’analyse et le cryptage, ont tous diminué le coût potentiel d’une violation qui permet aux entreprises. Économisez en moyenne entre 0,1 25 et 1,49 million de dollars.

« L’augmentation des infractions de données sont une autre dépense supplémentaire pour les entreprises en fonction des changements technologiques rapides lors de la pandémie », a déclaré Chris McCurdy, vice-président de la sécurité IBM. « Bien que le coût des infractions de données ait atteint un niveau record au cours de la dernière année, le rapport a également démontré des signes positifs de l’impact des tactiques de sécurité modernes, telles que l’AI, l’automatisation et l’adoption d’une approche de confiance zéro – qui pourrait être payée en réduisant coûte ces incidents plus tard. « 

Catégories
Aérien Android Apple Association Attaque Bitcoins COVID-19 Ekans Entreprise de construction Etude EvilQuest GandCrab Hakbit Hôpital hyères informatique Mac MacOS Mairie maze Nefilim NetWalker Non classé Orange presse prix Professionnel Ragnar Locker Ransomware revil Ryuk Sécurité Service informatique Shade sodinokibi SolarWinds Sunburst Technologie ThiefQuest vidéo

Comment la vulnérabilité informatique est-elle mesurée?

Le score CVSS est utilisé presque systématiquement pour évaluer le danger des vulnérabilités. Mais savez-vous quel calcul se cache derrière le score sur 10?

Il faut dire que la cybersécurité regorge de termes spécifiques et autres acronymes (et anglophones, d’ailleurs) pour qualifier les scénarios d’attaque. On parle de RCE, XSS, de « web shell » ou même d’élévation de privilèges. Les balles d’avertissement sont le plus souvent destinées aux spécialistes et n’utilisent que du jargon. Ils soulignent rarement les risques concrets qu’une nouvelle vulnérabilité pose au public.

SUITE… Avec Numerama.com

Catégories
Android Apple Attaque Bitcoins COVID-19 Ekans Etude EvilQuest GandCrab Hakbit Hôpital hyères informatique Mac MacOS Mairie maze Nefilim NetWalker Non classé Orange prix Ragnar Locker Ransomware revil Ryuk Sécurité Service informatique Shade sodinokibi Technologie ThiefQuest vidéo

Ryuk LE ransomware 2020?

Anssi a publié un nouveau rapport, cette fois axé sur l’activité ransomware de Ryuk. Particulièrement impliqué dans l’attaque de Sopra Steria en France, ce logiciel malveillant se distingue de la concurrence et ne se contente pas de dupliquer les méthodes de ses concurrents.

Ryuk LE ransomware 2020?

Ryuk est un ransomware actif depuis 2018 et dont les opérateurs sont particulièrement actifs. C’est ce qui a valu le titre de «ransomware le plus rentable» selon le FBI en 2018 et généré plus de 61 millions de dollars de rançon entre février 2018 et octobre 2019.

Cependant, Ryuk n’aborde pas les méthodes qui ont fait le succès de groupes malveillants comme Maze ou Revil: pas de chantage pour le vol de données, pas de place pour montrer les victimes ou les communiqués de presse ici. Pourtant, ce ransomware, qui est actif depuis deux ans maintenant, reste une menace majeure, et Anssi a publié un rapport de statut.

Ryuk est un ransomware dont le but est de crypter les données de la victime pour exiger une rançon. Anssi indique que les cibles privilégiées des opérateurs de ce ransomware sont les grandes entreprises capables de payer les grosses rançons requises, principalement aux États-Unis et au Canada. L’agence note également que les opérateurs de Ryuk ne réservent pas d’autres groupes vis-à-vis des établissements de santé: « en octobre 2020, Ryuk serait responsable de 75% des attaques sur le secteur de la santé qu’il attaquerait depuis le premier semestre 2019 ». Des dizaines d’hôpitaux américains ont été victimes d’une campagne de Ryuk au début d’octobre visant les services dans les hôpitaux de l’UHS. Le FBI et le CISA américain ont également mis en garde contre le risque de nouvelles attaques basées sur Ryuk dans un nouveau communiqué d’information publié fin octobre.

Trickbot, Emotet et le bazar
Comme de nombreux ransomwares, Ryuk n’est que la dernière étape d’une chaîne d’infection multi-malware. Les auteurs du rapport indiquent que l’infection Trickbot, au moins jusqu’en septembre 2020, aurait été le point d’entrée privilégié des opérateurs Ryuk pour s’implanter dans les réseaux d’entreprise. Trickbot, avec Emotet et bien d’autres, est un malware de type chargeur qui se propage généralement via des campagnes de courrier électronique malveillantes pour infecter un appareil cible, puis se propager à travers le réseau interne d’une victime et se déplacer jusqu’à ce qu’il compromette un contrôleur de domaine. La dernière étape est la mise en œuvre du ransomware, le cryptage des machines et la demande de rançon. Et si ce type d’attaque prend généralement du temps, certains opérateurs Ryuk se démarquent par leur rapidité: Anssi indique ainsi que dans certains cas le temps de la première infection et du cryptage est réduit de quelques jours. (2 à 5) en trois heures ».

En 2020, cependant, les opérateurs de Ryuk semblent s’être progressivement tournés vers un nouveau chargeur, connu sous le nom de BazarLoader, actif depuis mars 2020. «Comme TrickBot, Bazar serait utilisé comme un accès en tant que service pour faire des compromis ou même qualifier un SI pour le compte d’autres groupes d’attaquants. On ne sait pas si BazarLoader, comme TrickBot, fonctionne également sur un modèle d’affiliation », précise l’agence, qui précise que le logiciel est principalement distribué par le groupe derrière Trickbot. D’autres chargeurs ont également été identifiés dans des attaques impliquant le malware Ryuk: Buer et Le logiciel Silent Night a également été utilisé dans l’attaque qui a implémenté Ryuk.

Raas ou pas Raas, c’est la question
L’un des points qui sépare Ryuk du reste de l’écosystème de la cybercriminalité des groupes de ransomware est la question du modèle commercial de Ryuk. Pour de nombreux ransomwares apparus ces derniers mois, le modèle économique utilisé est généralement celui de RaaS (Ransomware as a service): le groupe à l’origine des ransomwares commercialise ses logiciels sur des forums clandestins auprès d’autres groupes, qui s’assurent ensuite de les diffuser réseaux informatiques de leurs victimes.

Pour Anssi, Ryuk n’est « pas officiellement un RaaS »: l’agence déclare ainsi qu’elle n’a observé aucune promotion des opérateurs Ryuk sur les forums clandestins. Ryuk est néanmoins exploité par plusieurs acteurs malveillants, selon Anssi. S’il n’est pas vendu au public, il pourrait être mis à la disposition de partenaires de confiance par le créateur du code malveillant, ou il pourrait être exploité indépendamment par plusieurs groupes à l’aide d’outils et de formes de propagation communs. .

Il est donc difficile de savoir qui tire exactement les fils de Ryuk: le rapport de l’agence met en évidence le rôle central joué par deux acteurs malveillants, le groupe WizardSpider derrière Trickbot et le groupe identifié comme UNC1878. Selon FireEye, ce dernier groupe est responsable de 83% des attaques impliquant Ryuk. L’agence note également l’implication d’autres groupes tels que FIN6 dans la prolifération du ransomware Ryuk ainsi que du code et des méthodologies entre Ryuk et un autre ransomware connu sous le nom de Conti. Si Ryuk n’est pas «officiellement un RaaS», il n’en est pas moins un acteur profondément enraciné dans la sphère de la cybercriminalité et avec de nombreux liens avec des groupes tiers.

Catégories
Android Apple Association Bitcoins COVID-19 Ekans hyères informatique Mac MacOS Ragnar Locker Ransomware revil Sécurité sodinokibi Technologie vidéo

Mattel a été victime cet été d’un ransomware

Le fabricant de jouets a été victime d’une attaque de ransomware l’été dernier. L’attaque a été rapidement interrompue et n’a eu aucun impact significatif sur l’entreprise.

Mattel a contenu l’attaque d’un ransomware

Le fabricant de jouets américain Mattel a révélé mercredi qu’il avait subi une attaque de ransomware qui paralysait certaines fonctions commerciales. Néanmoins, la société affirme s’être remise de l’attaque sans pertes financières importantes.

Mattel a contenu l’attaque
L’incident a eu lieu le 28 juillet, selon un formulaire trimestriel 10-Q, que la société a déposé plus tôt dans la journée auprès de la Securities and Exchange Commission des États-Unis.

Mattel a déclaré que l’attaque par ransomware avait initialement réussi et chiffré certains de ses systèmes.

«Après la découverte de l’attaque, Mattel a commencé à mettre en œuvre ses protocoles de réponse et à prendre une série d’actions pour arrêter l’attaque et restaurer les systèmes affectés. Mattel a contenu l’attaque et, bien que certaines fonctions commerciales aient été temporairement affectées, Mattel a rétabli les opérations », explique la société.

Aucun impact sérieux
Depuis plus d’un an, les gangs de ransomwares volent des données et se lancent dans un double stratagème d’extorsion qui menace de publier les données de l’entreprise piratée sur des sites Web publics appelés «sites de fuite» à moins que les victimes ne paient la rançon souhaitée.

Cependant, le fabricant de jouets explique qu’une enquête ultérieure a conclu que le gang de ransomwares derrière le cambriolage de juillet n’avait volé « aucune donnée commerciale sensible ou des données sur les clients, fournisseurs, consommateurs ou employés ». .

Dans l’ensemble, Mattel semble avoir échappé à l’incident avec seulement un bref temps d’arrêt et sans aucune blessure grave, ce qui est rarement suffisant pour être stressé. De nombreux exemples montrent des pertes financières de plusieurs dizaines de milliers de millions de dollars, comme c’est le cas avec Cognizant ou Norsk Hydro. Mattel souligne que l’attaque du ransomware a légèrement « eu aucun impact significatif sur ses opérations ou sa situation financière. »

Catégories
Android Apple Association Attaque Bitcoins COVID-19 Ekans Etude EvilQuest GandCrab Hakbit Hôpital informatique Mac MacOS maze Nefilim NetWalker Ragnar Locker Ransomware revil Ryuk Sécurité Shade sodinokibi Technologie ThiefQuest

Ransomware de la semaine- octobre 2020 – Des hôpitaux assiégés

Ransomware de la semaine- octobre 2020 – Des hôpitaux assiégés

Cette semaine, nous avons assisté à une attaque concertée contre le secteur de la santé par des groupes de piratage utilisant le ransomware Ryuk. En outre, nous avons vu certaines grandes entreprises bien connues souffrir d’attaques de ransomwares, qui ont affecté leurs activités commerciales.

La plus grande nouvelle cette semaine est que le gouvernement américain a averti le secteur de la santé qu’il existe « des informations crédibles sur une menace accrue et imminente de cybercriminalité pour les hôpitaux et les prestataires de soins de santé américains ». À la suite de ces attaques, nous avons vu six hôpitaux ciblés cette semaine, dont l’hôpital Wyckoff, l’Université du Vermont Health Systems, le Sky Lakes Medical Center et St. Louis. Lawrence Health System.

Nous avons également été informés d’attaques de ransomwares contre des sociétés bien connues, telles que le fabricant de meubles SteelCase, la société de conseil informatique française Sopra Steria et la société d’électricité italienne Enel Group.

Enfin, un représentant de REvil connu sous le nom de UNKN a déclaré qu’ils avaient gagné 100 millions de dollars en un an et que le tristement célèbre gang de labyrinthe avait commencé à fermer son opération de ransomware.

Maintenant que le week-end approche, il est important que toutes les entreprises surveillent les activités suspectes sur leur réseau Windows et leurs contrôleurs de domaine et réagissent de manière proactive si quelque chose est découvert.

LIEN

Les contributeurs et ceux qui ont livré de nouvelles nouvelles et histoires sur les ransomwares cette semaine incluent: @PolarToffee, @VK_Intel, @struppigel, @BleepinComputer, @malwrhunterteam, @malwareforme, @ demonslay335, @jorntvdw, @Seifreed, @FourOctets , @, @Ionut_Ilascu, @DanielGallagher, @fwosar, @MarceloRivero, @Malwarebytes, @Amigo_A_, @GrujaRS, @ 0x4143, @ fbgwls245, @siri_urz, @Mandiant et @IntelAdvanced.

Catégories
Android Apple Association Bitcoins COVID-19 Entreprise de construction Etude EvilQuest GandCrab Hakbit Hôpital hyères NetWalker Non classé Orange prix Ragnar Locker Ransomware Ryuk Sécurité sodinokibi Technologie ThiefQuest vidéo

Ransomware: Septembre 2020 sans précédent

La rentrée scolaire a été marquée par un nombre sans précédent de cyberattaques connues impliquant des ransomwares. Le fruit de la connexion entre plusieurs facteurs. Et ceux-ci ne suggèrent aucun règlement réel.

Ransomware: Septembre 2020 sans précédent

En septembre, nous avons enregistré près de 270 attaques de ransomwares dans le monde, une explosion par rapport aux mois précédents, alors que juin et août ont déjà été marqués par une activité intense des cybercriminels. Mais attention aux trompe-l’œil.

En France, nous avons dénombré 10 cas confirmés, auxquels s’ajoute un cas suspect, mais non confirmé à ce moment, vers le 8 août et à peu près le même en juillet. Les attaques confirmées sont répertoriées sur la chronologie que nous mettons à jour régulièrement. Sur Intrinsec, Cyrille Barthélemy rapporte 13 cas «en crise» en septembre contre 10 en août.

Et de préciser que sa capacité d’intervention n’était évidemment pas la même en plein été qu’en début d’année scolaire. Chez I-Tracing, Laurent Besset a noté 9 interventions sur le mois dernier contre 4 en dessous de la précédente. Chez Advens, Benjamin Leroux fait 3 interventions majeures et moins de 5 interventions plus petites. Mais toujours 150 détections de menaces qui pourraient conduire à une détonation de ransomware, principalement Emotet.

Début septembre, l’Agence nationale de sécurité des systèmes d’information (Anssi) a rapporté avoir traité 104 attaques de ransomwares depuis le début de l’année contre 54 sur l’ensemble de 2019. Et bien sûr, cela ne prend pas en compte les cas hors de son champ d’application.

Concernant la plateforme Cybermalveillance.gouv.fr, le directeur général de GIP Acyma, Jérôme Notin, a encore signalé 1.082 signalements de ransomwares début septembre depuis le lancement de la plateforme le 4 février, avec 44% d’entreprises ou d’associations et 10 % d’administrations ou de communautés. En septembre, Jérôme Notin a enregistré 131 demandes d’assistance, contre 104 en août et 122 en juillet.

En France, à ce stade, il semble difficile de parler d’une explosion. Mais si la tendance à la hausse semble moins prononcée que pour le reste du monde, la menace semble sans doute rester à un niveau élevé.

Il y a au moins deux explications possibles de la situation, qui suggèrent que la menace ne diminuera probablement pas dans un proche avenir. Nous les développons ci-dessous le long de la chronologie.

LIEN

Catégories
Attaque COVID-19 Hôpital informatique Ransomware Technologie

Covid-19: les essais cliniques ralentis par un ransomware

La technologie eResearch basée à Philadelphie a été victime d’une attaque de ransomware. Rédactrice d’une plateforme d’administration d’essais cliniques, elle est fortement impliquée dans la recherche d’un traitement pour Covid-19. Ses clients sont ralentis alors que la course au vaccin s’accélère.

les essais cliniques ralentis par un ransomware

La société américaine eResearch Technology, éditeur de logiciels utilisés dans les essais cliniques, a été frappée par un ransomware, révèle le New York Times. L’incident de sécurité n’a pas affecté les patients impliqués dans les essais cliniques, mais a empêché le bon déroulement des tests.

LE LOGICIEL FAIT LE TEST VACCIN ASTRAZENECA
Le logiciel de la société de biotechnologie est utilisé par de nombreuses entreprises impliquées dans la recherche sur Covid-19. Parmi eux figurent IQVIA, l’organisme de recherche à la tête de l’étude sur le vaccin AstraZeneca, et Bristol Myers Squibb, le fabricant de médicaments, qui dirige un consortium d’entreprises pour développer un test rapide pour le virus.

IQVIA a déclaré dans un communiqué que l’attaque « n’avait eu qu’un impact limité sur la conduite de nos essais cliniques ». La société américaine a ajouté qu’elle n’avait pas « connaissance de données ou d’informations confidentielles sur des patients liées à nos activités d’essais cliniques qui ont été supprimées, compromises ou volées ». Sans donner de nom, elle ajoute que certaines entreprises sont devenues beaucoup plus touchées par ce ransomware.

L’attaque contre la technologie eResearch a commencé il y a deux semaines lorsque les employés ont découvert que les données étaient bloquées par une note de rançon dont la taille n’était pas spécifiée. Pour éviter la propagation de logiciels malveillants, l’entreprise a mis ses systèmes hors ligne et s’est entourée d’experts en cybersécurité. Le FBI a également été informé.

L’attaque a été contenue
«Personne n’est satisfait de ces expériences, mais elles ont été contenues», a déclaré Drew Bustos, vice-président du marketing chez eResearch Technology. Il a déclaré que la société commençait à remettre ses systèmes en ligne et prévoyait de remettre les systèmes restants en ligne dans les prochains jours.

EResearch Technology n’a pas précisé le nombre d’essais cliniques concernés, mais le logiciel est utilisé dans des essais de médicaments en Europe, en Asie et en Amérique du Nord. Il a été utilisé dans les trois quarts des essais qui ont conduit à l’approbation du médicament par la Food and Drug Administration (FDA) en 2019, selon son site Web.

LA RECHERCHE MÉDICALE, UNE MINE D’OR POUR LES HACKERS
Ce n’est pas un hasard si les cybercriminels attaquent les entreprises de biotechnologie. Les données scientifiques liées à la recherche sur les vaccins et les médicaments sont d’une grande valeur, en particulier en période de crise sanitaire.

En juillet dernier, la biotech américaine Moderna – qui a créé le premier vaccin expérimental contre Covid-19 – a été ciblée par des pirates chinois. L’Espagne a également accusé la Chine d’être à l’origine d’une campagne de cyber-attaque visant des laboratoires de recherche. LIEN

Catégories
Android Apple Association Attaque Bitcoins COVID-19 Ekans Entreprise de construction Etude EvilQuest GandCrab Hakbit Hôpital hyères informatique Mac MacOS maze Nefilim NetWalker Non classé Orange prix Ragnar Locker Ransomware revil Sécurité Shade sodinokibi Technologie ThiefQuest vidéo

L’été meurtrier 2 (toujours pas le film), un ransomware.

La rentrée scolaire a été marquée par un nombre sans précédent de cyberattaques connues impliquant des ransomwares. Le fruit de la connexion entre plusieurs facteurs. Et ceux-ci ne suggèrent aucun règlement réel.

L’été meurtrier 2 (toujours pas le film), un ransomware.

En septembre, nous avons enregistré près de 270 attaques de ransomwares dans le monde, une explosion par rapport aux mois précédents, alors que juin et août étaient déjà marqués par une activité intense des cybercriminels. Mais attention aux trompe-l’œil.
En France, nous avons dénombré 10 cas confirmés, auxquels s’ajoute un cas suspect, mais non confirmé à ce moment, vers le 8 août et à peu près le même en juillet. Les attaques confirmées sont répertoriées sur la chronologie que nous mettons à jour régulièrement. Sur Intrinsec, Cyrille Barthélemy rapporte 13 cas «en crise» en septembre contre 10 en août.

Et de préciser que sa capacité d’intervention n’était évidemment pas la même en plein été qu’en début d’année scolaire. Chez I-Tracing, Laurent Besset a noté 9 interventions sur le mois dernier contre 4 en dessous de la précédente. Chez Advens, Benjamin Leroux fait 3 interventions majeures et moins de 5 interventions plus petites. Mais toujours 150 détections de menaces qui pourraient conduire à une détonation de ransomware, principalement Emotet.

Début septembre, l’Agence nationale de sécurité des systèmes d’information (Anssi) a rapporté avoir traité 104 attaques de ransomwares depuis le début de l’année contre 54 sur l’ensemble de 2019. Et bien sûr, cela ne prend pas en compte les cas hors de son champ d’application.

Concernant la plateforme Cybermalveillance.gouv.fr, Jérôme Notin, PDG de GIP Acyma, a encore signalé début septembre 1.082 signalements de ransomwares à ce jour depuis le lancement de la plateforme le 4 février, avec 44% d’entreprises ou d’associations et 10 % d’administrations ou de communautés. En septembre, Jérôme Notin a enregistré 131 demandes d’assistance, contre 104 en août et 122 en juillet.

En France, à ce stade, il semble difficile de parler d’une explosion. Mais si la tendance à la hausse semble moins prononcée que pour le reste du monde, la menace semble sans doute rester à un niveau élevé.

Il y a au moins deux explications possibles de la situation, qui suggèrent que la menace ne diminuera probablement pas dans un proche avenir. Nous les développons ci-dessous le long de la chronologie.

Catégories
Android Apple Attaque Bitcoins COVID-19 Ekans Entreprise de construction EvilQuest GandCrab Hôpital hyères informatique Mac MacOS maze Nefilim NetWalker Orange prix Ragnar Locker Ransomware revil Sécurité Shade sodinokibi Technologie ThiefQuest

L’été meurtrier (pas le film), un ransomware.

Plusieurs entreprises ont été touchées, dont certaines ont décidé de traverser Rubicon en payant une rançon. Dans le même temps, les cybercriminels se structurent et se professionnalisent.

L’été meurtrier (pas le film), un ransomware.

Il est difficile de trouver une semaine sans voir une ou plusieurs entreprises victimes de ce fléau. En juillet, Netwalker était soupçonné d’avoir gravement perturbé l’activité MMA de la compagnie d’assurance, tout comme le groupe de construction Rabot Dutilleul. Une succursale d’Orange Business Services a été attaquée par Nefilim et a volé 350 Mo de données. Comment ne pas mentionner Garmin, dont la production a été arrêtée pendant deux jours, ainsi que ses sites Web, ses applications mobiles, ses appels téléphoniques, son chat en ligne et sa messagerie.

Et le mois d’août n’a pas été plus paisible, au contraire. Les vacances ont été gâchées pour Carlson Wangonlit Travel by Ragnar Locker ransomware. 30 000 PC auraient été bloqués et 2 To de données volées. Autre spécialiste du voyage dans les troubles, l’une des marques sur la compagnie de croisière Carnival a été visée par une attaque. La litanie se poursuit avec le groupe Maze, qui regroupe plusieurs sociétés Canon, LG et Xerox. Récemment, la société coréenne de semi-conducteurs SK Hynix a été touchée par ce gang. Le groupe derrière Sodinokibi, quant à lui, a poursuivi Brown-Forman, la société mère de Jack Daniel. Le fournisseur de services complets Spie a eu du mal à se débarrasser du ransomware Nefilim. 4 sites de production ont été fermés par MOM, propriétaire des compotes Materne et des crèmes MontBlanc. LIEN

Catégories
Attaque COVID-19 hyères informatique Non classé prix Ransomware Sécurité

Le secteur de l’aviation et du tourisme, cible des cybercriminels

L’absence de protocole rend les entreprises vulnérables aux cyberrisques
Les experts en sécurité informatique de Proofpoint ont publié les résultats de l’analyse DMARC (Domain-Based Message Verification Reporting and Compliance) montrant dans quelle mesure les compagnies aériennes sont exposées aux cyberattaques.

Réalisée sur 296 compagnies aériennes membres de l’Association du transport aérien international (IATA), qui représente 82% du trafic mondial, l’étude montre que 61% des compagnies aériennes n’ont pas de registre DMARC publié, ce qui les rend plus vulnérables aux cybercriminels, il s’agit de voler leur identité et ainsi d’augmenter le risque de fraude par e-mail. LIEN

Catégories
Android Attaque COVID-19 informatique Ransomware Sécurité

Des chercheurs d’ESET découvrent un nouveau ransomware pour Android

Une nouvelle famille de ransomwares, que ESET a nommée CryCryptor, a ciblé les utilisateurs d’Android au Canada sous la forme d’une application de suivi COVID-19 officielle. ESET a mis fin à l’attaque.

Avec un tweet annonçant la découverte de ce qui semblait être un malware de banque Android, les chercheurs d’ESET ont découvert une campagne de ransomware ciblant les utilisateurs d’Android au Canada. En utilisant deux sites sur le thème de COVID-19, les militants ont encouragé leurs victimes à télécharger des ransomwares déguisés en un outil de suivi COVID-19 officiel. Les deux sites ont depuis été déconnectés. Les chercheurs d’ESET ont développé un outil de décryptage pour les victimes de CryCryptor grâce à une erreur d’application malveillante.LIEN

Catégories
Attaque COVID-19 informatique prix Ransomware Sécurité

L’UCSF verse 1,14 million de dollars aux pirates de NetWalker après des attaques de ransomwares

Après que la rançon NetWalker a verrouillé plusieurs serveurs de sa faculté de médecine, l’UCSF a payé la rançon pour décrypter les données et restaurer le fonctionnement des systèmes affectés.

29 juin 2020 – L’Université de Californie à San Francisco a récemment payé une demande de rançon de 1,14 million de dollars après que les acteurs de la menace NetWalker aient infecté plusieurs serveurs de sa School of Medicine avec une rançon, rapporté pour la première fois par Bloomberg.

Les acteurs de la menace NetWalker ont suivi la voie du tristement célèbre groupe de piratage de rançongiciels Maze. Les pirates prennent d’abord pied sur le réseau des victimes, se déplacent latéralement sur le réseau à travers des appareils vulnérables, puis volent des informations précieuses avant de lancer la charge utile du ransomware.

Les chercheurs ont récemment averti que NetWalker avait depuis étendu ses opérations à un modèle RaS (Ransomware-as-a-Service) pour s’associer à d’autres cybercriminels expérimentés et cibler le domaine des soins de santé dans le cadre de la pandémie de COVID-19. Le district de santé publique de Champaign-Urbana de l’Illinois a été victime du rançongiciel NetWalker en mars.LIEN

Catégories
Attaque COVID-19 informatique Non classé Ransomware

Thanos est le premier correctif qui exploite un bogue dans Windows 10, 7 et 8.1 connu sous le nom de RIPlace. Ce dernier lui permet d’échapper à presque tous les antivirus du marché, y compris Windows Defender.

Son nom bien choisi provoque la terreur et son comportement en fait un ransomware discutable. Thanos prospère sous Windows 7, 8.1 et 10 depuis octobre 2019 sous différents noms, mais ce n’est qu’en janvier 2020 qu’il a fait l’objet d’un rapport détaillé publié par la société Inskit Group. Il s’agit d’une famille de ransomware qui possède à son ancêtre un seul outil développé par un hacker nommé Nosophoros.

Cet outil est capable de générer un ransomware personnalisé basé sur 43 paramètres de configuration différents. La solution est disponible sur le Dark Web et en particulier sur les forums de piratage russes comme les logiciels de type « ransomware as a service ». En d’autres termes, Nosophorus recrute d’autres pirates pour diffuser des logiciels malveillants. Ce dernier obtient une part de revenu d’environ 60 à 70% pour tout paiement de rançon.

Thanos: premier ransomware à tirer parti de l’erreur RIPlace qui la rend indétectable
RIPlace est une technologie de camouflage qui a été dévoilée comme preuve de concept fin 2019 par des scientifiques de Nyotron. Il est utilisé pour modifier des fichiers indétectables par Windows et par un antivirus. Par conséquent, les attaquants peuvent contourner diverses protections contre les ransomwares pour crypter les fichiers sur les machines ciblées.

Lire aussi – Ransomware: les pirates s’excusent pour les dégâts qu’ils ont causés à leurs victimes!

Nyotron a partagé sa découverte avec les fournisseurs d’antivirus et Microsoft. À l’époque, la plupart d’entre eux estimaient que cette technique ne devait pas être traitée comme une vulnérabilité, d’autant plus que son utilisation réelle n’a pas été prouvée. Seuls Kaspersky et Carbon Black (appartenant à VMware) avaient modifié leur logiciel pour empêcher cette technique d’être appliquée.

Dans un nouveau rapport publié le 10 juin 2020, Inskit Group décrit comment la vulnérabilité RIPlace est utilisée par Thanos, le premier ransomware à l’utiliser. Les chercheurs pensent que les logiciels malveillants continueront d’être exploités, individuellement ou collectivement, dans le cadre du programme d’affiliation de son créateur. La nouvelle version devrait inciter Microsoft et d’autres fournisseurs de protection à intervenir.

Catégories
COVID-19 Etude informatique Ransomware

Les attaques de ransomwares augmentent

Charles Delingpole, PDG et fondateur de ComplyAdvantage

Ces derniers mois, les attaques lancées par le crime économique se sont multipliées. Mais au-delà des ennemis habituels, les ransomwares soulagés par COVID-19 restent une activité criminelle insuffisamment combattue.

Les ransomwares ou ransomwares offrent aux criminels un environnement particulièrement favorable pour lancer des attaques contre des systèmes médicaux qui sont plus importants que jamais et qui sont généralement des proies faciles pour les malwares.

Il est envisagé qu’en 2021, une attaque contre rançon contre une nouvelle entreprise soit lancée toutes les 11 secondes, sachant que nombre de ces attaques seront menées à grande échelle par des criminels cherchant à exploiter des vulnérabilités logicielles connues.

Des attaques de rançongiciels ont été imposées sur la scène internationale en mai 2017 lors de la tristement célèbre attaque appelée WannaCry. L’incident, qui a exploité un bogue dans le système d’exploitation Windows, a empêché les utilisateurs d’accéder aux systèmes médicaux et a pris la date en otage.

L’une des principales raisons de l’attaque de WannaCry était que les ordinateurs ciblés n’avaient pas été mis à jour depuis plusieurs années. Et bien que de nombreuses entreprises soient bien protégées de ces exploits, elles sont loin d’être le seul vecteur d’attaque qui nécessite une rançon. Combinées à d’autres techniques d’ingénierie sociale, les attaques de phishing et de spear phishing sont en fait des moyens très efficaces qui permettent aux criminels de violer la sécurité et d’accéder aux données.

Les ransomwares sont au mieux un fléau pour la communauté. Et lors d’une pandémie, elles pourraient avoir un effet catastrophique. Les hôpitaux et les sociétés médicales ont été avertis par Interpol qu’ils pourraient être la cible d’attaques de rançon pendant cette période de panique et de communication accrue. Ajoutez à cela le système d’information qui est connu pour être obsolète, et aujourd’hui les établissements de santé sont susceptibles d’utiliser des logiciels qui contiennent des vulnérabilités qui ne demandent qu’à être exploitées.

Mais pourquoi est-il si important pour les institutions financières et autres entités qui traitent l’argent? Parce que ces attaques empêchent souvent les utilisateurs d’accéder aux données jusqu’à ce qu’une rançon ait été payée sous la forme d’un paiement numérique pour restaurer l’accès aux données. Cependant, les rançonneurs disposent désormais d’une grande quantité d’argent numérique, souvent en bitcoins, qu’ils doivent convertir en espèces avant de les transférer sur leurs comptes. Et pour ce faire, ils doivent recourir au système financier.

Par conséquent, les institutions financières et les entreprises du secteur doivent veiller à ne pas faciliter le paiement de la rançon. Dans certains cas, il s’agit de lutter contre une certaine forme de blanchiment d’argent, mais aussi d’éviter la violation des sanctions.

Ransomware et violations des sanctions Le ransomware est un outil traditionnellement utilisé par certains pays sanctionnés pour obtenir des fonds. Il s’agit d’une pratique particulièrement utile pour les nations sanctionnées sur plusieurs fronts et effectivement coupées de l’économie mondiale. La Corée du Nord a été accusée à plusieurs reprises de l’utiliser, en particulier lors de l’attaque de WannaCry.

Il s’agit d’une activité très lucrative, surtout lorsqu’elle est réalisée au niveau national. Les cyberattaques lancées depuis Pyongyang sont innovantes, efficaces et représentent 2 milliards de dollars. En prenant du recul, il n’est guère surprenant qu’une entité sanctionnée utilise des cyberattaques pour lever des capitaux lorsqu’elle est exclue du marché mondial.

Depuis le début de la pandémie, les attaques de logiciels malveillants et les rançons ont demandé peu de couverture dans la presse spécialisée. Mais comme le paiement d’une rançon peut désormais être interprété comme une violation des sanctions dans un contexte bien précis, les institutions financières doivent désormais être plus vigilantes à cet égard.

Les institutions financières doivent toujours préparer un rapport d’activité suspecte lorsqu’elles pensent avoir affaire à un paiement de rançon ou faire face à une demande de rançon. Ils doivent également coopérer avec l’unité d’intelligence économique ou de conformité financière appropriée. Une application généralisée de cette pratique éviterait d’atténuer ces informations et faciliterait l’identification des criminels. Mais autoriser cette transaction en premier lieu est rarement une question simple.

Faciliter le paiement d’une rançon en soi peut rendre une institution financière responsable de la violation des sanctions. Deux personnes basées en Iran et sanctionnées sur la liste des ressortissants spécialement désignés créée par l’OFAC ont facilité la conversion des fonds d’une attaque par rançongiciel en 2016. Les auteurs de cette attaque ayant été sanctionnés et les adresses des portefeuilles numériques en question correspondaient bien aux sanctions imposées. les institutions financières concernées étaient exposées au risque de sanctions secondaires. Quant à ces individus basés en Iran et qui ont converti des bitcoins en rial iranien, l’OFAC avait à l’époque publié une déclaration rappelant que «peu importe si une transaction est libellée en monnaie numérique ou en fiduciaire traditionnel monnaie, les obligations de conformité de l’OFAC restent les mêmes ».

Comprendre la rançon

L’OFAC a précédemment déclaré que les entreprises américaines doivent savoir qui reçoit les transferts d’argent, même lorsqu’ils sont transformés en portefeuille numérique, une position soutenue par la règle de voyage du GAFI. Par conséquent, toute infraction à cette règle pourrait entraîner des sanctions sévères.

Les régulateurs n’ont pas encore abordé les paiements liés aux attaquants de ransomware. Il est généralement admis que ces paiements ne sont pas effectués volontairement, que les entreprises sont victimes d’extorsion et que les institutions financières participant au paiement ne sont qu’une partie d’une chaîne destinée à restaurer le fonctionnement d’une entreprise. une partie de leur clientèle. Nous ne savons pas si cette vision est susceptible de changer, mais une réflexion semble avoir commencé selon que les fonds sont destinés ou non à des entités non sanctionnées.

Cependant, si les futures institutions financières sont obligées d’identifier les entités auxquelles elles envoient de l’argent, les attaques de ransomwares nécessiteront une collecte accrue de renseignements. Il faudra également s’assurer que les équipes chargées de la conformité pourront consacrer le temps nécessaire à la conduite des recherches.

Une fois l’attaque du ransomware lancée, la rançon payée et l’argent converti, ce dernier intègre le système financier, ce qui ne doit cependant pas faire passer cette opération inaperçue.

Grâce à la surveillance automatique et puissante des transactions, les responsables de la conformité peuvent passer plus de temps à enquêter sur les activités suspectes et à identifier les bons destinataires de l’argent.

La surveillance des transactions est un goulot d’étranglement traditionnel pour les entités de conformité. En fait, enquêter sur les transactions peut être un processus lourd, tandis que trouver des sujets pertinents peut être fastidieux. Ce n’est un secret pour personne que les criminels utilisent constamment de nouvelles méthodes pour déplacer de l’argent et essaient de se fondre dans les flux de trésorerie fous associés à la panique économique mondiale en cours. Cependant, l’utilisation d’une solution automatisée vous permet de définir des règles personnalisées pour détecter les comportements suspects et anormaux et identifier les transactions qui portent de l’argent sale.

Pendant la crise du COVID-19, les rançongiciels ont été repris par des criminels pour de l’argent. Vous devez en être conscient et vous y préparer. Sinon, les conséquences pourraient être désastreuses pour toute institution financière impliquée de quelque manière dans ces stratagèmes frauduleux. LIEN

Catégories
COVID-19 Etude informatique Non classé prix Ransomware

Bolloré Transport & Logistics étend la liste des victimes de NetWalker

Ransomware:
Le groupe reconnaît une cyberattaque sur ses serveurs Congo le 14 mai. Il rend toujours compte des enquêtes en cours sans fournir plus de détails. L’attaquant menace bientôt de divulguer des données volées.

Le groupe Bolloré est apparu sur le blog des opérateurs de ransomware NetWalker ce week-end. L’incident remonte en fait à la mi-mai, mais il ne semble pas toucher autant le groupe que l’une de ses différentes filiales. LIEN

Catégories
COVID-19 informatique Non classé Ransomware vidéo

Après le coronavirus … virus informatique!


Easyjet est menacé de faillite en raison d’une attaque informatique. La victime du piratage des données personnelles de neuf millions de clients est sollicitée pour 20 milliards d’euros par un cabinet d’avocats qui mène une action collective. LIEN

Catégories
COVID-19 informatique Ransomware

Ransomware: Sodinokibi utilise Windows pour faciliter les choses

Sodinokibi rejoint la liste des ransomwares qui utilise le gestionnaire de redémarrage de Windows pour faciliter le chiffrement des fichiers.

Gestionnaire de redémarrage Windows, meilleur allié des ransomwares?

Nous avons vu des références comme SamSam et LockerGoga en faire usage.

Sodinokibi – également connu sous le nom de REvil – vient de rejoindre la liste.

En règle générale, l’administrateur du redémarrage supprime la nécessité de redémarrer Windows après l’installation ou la mise à jour d’une application.

Les installateurs peuvent l’utiliser pour signaler les fichiers qu’ils souhaitent remplacer. Windows peut alors s’assurer que ces fichiers sont «gratuits» en fermant temporairement toutes les applications ou services qui pourraient les avoir verrouillés.

Déverrouillez pour un meilleur cryptage
Sodinokibi utilise cet outil pour assurer un accès maximal aux fichiers à chiffrer.

Il met en œuvre une routine qui tente systématiquement de réserver ledit accès. Laisse appeler l’administrateur de redémarrage en cas de conflit avec la fonction RmStartSession.

Un autre appel, cette fois à la fonction RmRegisterResources, vous permet d’attacher des ressources (ici les noms des fichiers à déverrouiller) à la session en cours.

RmGetList récupère ensuite la liste des applications et / ou services qui utilisent ces fichiers.

Sodinokibi n’a alors plus qu’à terminer la session (RmEndSession) puis fermer ces éléments. Pour les processus, cela se fait avec TerminateProcess; pour les services avec ControlService puis DeleteService.
Étant donné que l’administrateur de redémarrage ne peut pas agir sur les processus critiques, ce statut est extrait à l’avance avec ZwSetInformationProcess.

  • LockerGaga a été découvert il y a environ un an et a la particularité d’accélérer le processus en démarrant un processus pour chaque fichier à chiffrer.
    SamSam, dont la première piste a été trouvée il y a quatre ans, a initialement exploité des vulnérabilités sur les serveurs JBoss. LIEN
Catégories
COVID-19 informatique Ransomware

Texas: le système judiciaire victime d’un ransomware pendant plusieurs jours

Une attaque qui n’est pas une conséquence du coronavirus
Les services américains indiquent que le Texas Department of Justice a été victime d’une rançon, a noté le personnel informatique de l’Office of Justice. L’État fédéral a indiqué dans un communiqué de presse que le piratage n’était pas lié à la tenue de certaines audiences en ligne, motivées par la très forte pandémie de coronavirus aux États-Unis.

Dès que le ransomware a été découvert, l’équipe informatique de l’État a mis hors ligne les sites Web et les serveurs de l’ensemble du réseau juridique pour éviter de causer d’autres dommages.

Alors qu’une enquête sur la violation est toujours en cours, les tribunaux du Texas affirment qu’aucune donnée sensible ou personnelle ne semble être compromise. Elle a déclaré avoir neutralisé la propagation des ransomwares et limité son impact. L’Etat a annoncé sa ferme intention de ne verser aucune rançon. LIEN

Catégories
COVID-19 informatique Ransomware

Covid-19: un véritable défi pour la cybersécurité

Comme le suggère l’OCDE, la crise de Covid-19 est multidimensionnelle [1] car elle a des conséquences dramatiques dans de nombreux domaines: santé, bien sûr, mais aussi éducation, économie, marchés financiers, services publics et associations. Nos vies et nos communautés sont profondément ébranlées par cette pandémie qui révèle les lacunes de nombreuses organisations et systèmes en place. Les systèmes informatiques ne font pas exception: les réseaux d’entreprise tels que les ordinateurs personnels sont attaqués depuis des semaines avec une puissance, une précision et un volume sans précédent.

Catégories
COVID-19 hyères informatique Ransomware

TRÊVE – Certains des groupes de pirates informatiques les plus actifs, ont annoncé qu’ils n’attaqueront pas les établissements de santé pendant la pandémie de coronavirus.

Armistice pour une bonne cause. C’est en quelque sorte le message commun envoyé par des groupes de hackers connus tels que Maze, DoppelPaymer, Ryuk, Sodinokibi / REvil, PwndLocker et Ako.

Ces groupes ont été contactés par le site Web Bleeping Computer et ont déclaré qu’ils ne cibleraient plus les établissements de santé et médicaux pendant l’épidémie de coronavirus. Cependant, ils se sont rendus compte en attaquant ces entreprises avec des ransomware, rançon qui consistait à bloquer des ordinateurs sur un réseau ou même à saisir des données et à accéder à ses propriétaires uniquement après avoir payé une rançon.

Hôpitaux non, sociétés pharmaceutiques oui
« Si nous le faisons par erreur, nous le débloquons gratuitement », disent les pirates, expliquant qu’il suffit de les contacter par e-mail et de fournir la preuve de leur déverrouillage. Mais cela ne signifie pas épargner l’industrie pharmaceutique, qui « gagne beaucoup d’argent en paniquant. Nous n’avons aucune envie de les soutenir. Pendant que les médecins agissent, ces gars s’enrichissent ».

Mardi, plusieurs sociétés comme Emsisoft et Coveware ont offert une assistance médicale gratuite pour se protéger des attaques informatiques pendant l’épidémie de Covid-19. L’hôpital de Brno en République tchèque a été la cible de ransomwares. Le département d’État américain a ainsi été victime d’une attaque DDoS dimanche dernier (grand nombre de connexions simultanées) et n’était pas disponible, empêchant les internautes de connaître des informations sur le coronavirus. LIEN

Catégories
COVID-19 hyères informatique Ransomware

Coronavirus: une application Android qui suit l’épidémie qui cache un ransomware

Cette application Android qui suit la propagation de l’épidémie de coronavirus dans le monde cache un ransomware dangereux. Nommée CovidLock, l’application verrouillera votre smartphone avant d’exiger une rançon en bitcoin.

CovidLock, une application pour le suivi de la pandémie de coronavirus Android, cache en fait un ransomware, rapporte Tarik Saleh, chercheur en sécurité informatique chez DomainTools. Heureusement, l’application n’est pas disponible sur le Google Play Store. CovidLock ne peut être téléchargé qu’à partir du site d’application du coronavirus. Depuis le début de la pandémie, les pirates utilisent des cartes de suivi en ligne pour propager des logiciels malveillants.

Ce malware déverrouille votre smartphone Android
Une fois le ransomware installé sur les smartphones des utilisateurs, l’appareil se verrouille rapidement. Notez que les logiciels malveillants ne peuvent être utilisés que sur les téléphones sans mot de passe. En fait, CovidLock vous définira un mot de passe pour vous empêcher d’accéder à votre terminal. Si vous avez enregistré un mot de passe sur votre smartphone, comme la plupart des utilisateurs, vous courez le risque. Pour des raisons de sécurité, nous vous invitons à sélectionner rapidement un mot de passe.

Une fois votre smartphone verrouillé, les pirates vous donnent 24 heures pour déposer 100 $ en bitcoin à une adresse BTC. En échange d’une rançon, ils s’engagent à ne pas supprimer vos données (photos, vidéos, …) et à ne pas publier de contenu privé sur les réseaux sociaux. Une fois la rançon reçue, les pirates s’engagent à fournir un code pour déverrouiller votre appareil. «Votre position GPS est surveillée et votre position est connue. Si vous essayez quelque chose de stupide, votre smartphone est automatiquement supprimé », menace le message d’avertissement affiché par les pirates.

Lire aussi: les pirates informatiques profitent de l’épidémie de coronavirus pour propager des logiciels malveillants dangereux

« Les cybercriminels aiment exploiter les utilisateurs d’Internet lorsqu’ils sont les plus vulnérables. Ils utilisent des événements dramatiques qui font peur aux gens pour faire des profits. Chaque fois qu’il y a de grands cycles de nouvelles sur un sujet qui provoque une forte réaction, les cybercriminels essaient de tirer « Nous vous invitons donc à faire preuve de prudence sur les sites non officiels liés à la pandémie. Nous vous recommandons également de ne jamais télécharger l’APK de sources inconnues. smartphone.

Lien

Catégories
COVID-19 hyères informatique Ransomware

Pendant le confinement, le piratage continue


Employés, Federal Protection ATM, Photo Detection
Maze, Dopple, Sodinokobi, XXX … poursuivent leur activité de piratage avec l’extorsion numérique. De grandes entreprises telles que le DMC français, le fabricant de systèmes militaires et de santé Kim Chuck ou le gestionnaire du parking CivicSmart ont attaqué et sous extorsion de pression pour diffuser leurs données volées.
Malheureusement, la solution n’a plus besoin d’être présentée. Piratage et dépôt de pirates. Les documents et les machines sont cryptés par un ransomware. Pour récupérer leurs biens, les entreprises piégées doivent payer les clés de déchiffrement sans avoir la moindre sécurité pour reprendre le contrôle. Les sauvegardes nous permettent de récupérer la consommation des systèmes pris en otage.

Sauf que, comme l’explique ZATAZ depuis 2018, les pirates ont trouvé un autre moyen de faire payer les sociétés d’infiltration. Extorsion de la distribution des documents.

Des groupes comme Maze, Dopple, Sodinokibi, XXX … se spécialisent dans ce type de double extorsion. Le «double effet RGPD» lorsque j’ai baptisé cette fraude en mai 2018.

Si ces «équipes noires», les mains sur le cœur, annonçaient qu’elles n’attaqueraient plus le monde de la santé à cause de COVID-19, ce qui ne les empêchait pas de menacer les laboratoires de santé anglais, asiatiques et américains, elles n’auraient pas arrêté leurs actions malveillantes . L’encapsulation doit certainement aider, ils ont doublé leur intensité. Lien