Catégories
Aérien Android Apple Association Attaque Bitcoins COVID-19 Ekans Entreprise de construction Etude EvilQuest GandCrab Hakbit Hôpital hyères informatique Mac MacOS Mairie maze Nefilim NetWalker Non classé Orange presse prix Ragnar Locker Ransomware revil Ryuk Sécurité Service informatique Shade sodinokibi SolarWinds Sunburst Technologie ThiefQuest Uncategorized vidéo

Comment la vulnérabilité informatique est-elle mesurée?

Le score CVSS est utilisé presque systématiquement pour évaluer le danger des vulnérabilités. Mais savez-vous quel calcul se cache derrière le score sur 10?

Il faut dire que la cybersécurité regorge de termes spécifiques et autres acronymes (et anglophones, d’ailleurs) pour qualifier les scénarios d’attaque. On parle de RCE, XSS, de « web shell » ou même d’élévation de privilèges. Les balles d’avertissement sont le plus souvent destinées aux spécialistes et n’utilisent que du jargon. Ils soulignent rarement les risques concrets qu’une nouvelle vulnérabilité pose au public.

SUITE… Avec Numerama.com

Catégories
Attaque Etude Hôpital hyères informatique Mac Mairie maze Orange presse prix Ragnar Locker Ransomware Ryuk Service informatique Technologie Uncategorized

Des auteurs de ransomwares arrêtés en Ukraine

La police ukrainienne a arrêté le 9 février plusieurs membres d’un groupe de cybercriminels à l’origine de plusieurs attaques informatiques dans le monde, dont le quotidien Ouest France, la police et des sources proches ont raconté l’affaire ce jeudi.

Cette « opération internationale », menée en coordination avec les policiers français et ukrainiens ainsi qu’avec le FBI, a mis un terme à la diffusion du ransomware appelé « Egregor », décrit la police dans un communiqué.

Piratage informatique

Au moins 150 entreprises ont été attaquées, principalement aux États-Unis et en Europe, avec des pertes estimées à environ 66 millions d’euros, selon les premiers éléments de l’étude publiée par les services de sécurité ukrainiens (SBU). Selon une source proche du dossier, au moins trois personnes ont été arrêtées dans cet acte. Les domiciles des suspects ont été perquisitionnés et le matériel informatique saisi est « toujours utilisé » par les enquêteurs français envoyés sur les lieux, selon la police.

Les solutions de sécurité informatique Hyères

C’est un rapport d’Europol en septembre qui a conduit le parquet de Paris à ouvrir une enquête en France, remise à la sous-direction cybercriminalité (SDLC). Le groupe a pratiqué la technique de la « double extorsion »: d’une part le cryptage et le vol des données de l’entreprise ciblée, d’autre part la menace de publier ces données compromises sur un site internet si l’entreprise refusait de payer une rançon en bitcoins, le la plus célèbre des monnaies virtuelles.

Le ransomware s’est propagé par pré-intrusion « via l’envoi d’e-mails de phishing et un accès à distance Windows mal sécurisé au bureau », a déclaré la police française. Particulièrement sophistiqué, « Egregor » pourrait prendre le contrôle des imprimantes connectées aux ordinateurs infectés et imprimer la rançon, « amplifiant encore l’impact psychologique de l’extorsion », a déclaré la même source.

Plusieurs entreprises françaises ont été visées par «Egregor», dont le quotidien Ouest France, le transporteur Gefco et le géant du jeu vidéo Ubisoft. Deux attaques de ransomware ont été ciblées ces derniers jours contre des hôpitaux de Villefranche-sur-Saône (Rhône) et de Dax (Landes), mais elles ne portent pas la signature «Egregor». Il a travaillé sur le modèle du logiciel à la demande (Raas, Ransomware as a Service): ses créateurs l’ont mis à disposition d’autres hackers, «affiliés», qui ont pris la responsabilité des attaques avant de partager les bénéfices.

Les détenus font partie « plutôt que de l’équipe de conception et de production », a déclaré Catherine Chambon, directrice adjointe de la lutte contre la cybercriminalité à la magistrature centrale. Si Catherine Chambon qualifie l’opération contre «Egregor» de «démantèlement assez efficace», elle exhorte à rester «très prudente et modeste» sur ce qui ressemble à «un brouillard».

L’origine du mal

Selon l’Agence nationale de sécurité des systèmes d’information (Anssi), « Egregor serait lié à la fin de l’activité du groupe d’attaquants derrière le ransomware Maze », notamment à l’origine d’une attaque contre Bouygues Construction en janvier 2020. À son tour,  » Egregor « pourrait-il renaître sous une autre forme? « Il est possible que ce soit la vie d’un ransomware », a répondu Catherine Chambon. «L’idée est de mettre progressivement en sécurité les cybercriminels afin qu’ils se sentent moins impunis. Même si, une fois qu’il y a un crime, il a peu de chances de disparaître ».

Catégories
Android Apple Etude informatique Sécurité Service informatique Technologie

Une entreprise chinoise divulgue 400 Go d’informations personnelles

Socialarks, une entreprise chinoise, a subi une énorme fuite d’informations personnelles. Safety Detective, qui l’a découvert, rapporte que 214 millions de comptes Instagram, Facebook et LinkedIn sont concernés.

Socialarks

214 millions de comptes Facebook, Instagram et LinkedIn ont été compromis. Un détective de sécurité, dont la mission est d’identifier les vulnérabilités de sécurité des serveurs, a découvert que la société chinoise Socialarks était responsable d’une fuite massive de données personnelles. La société, spécialisée dans la gestion des réseaux sociaux et le développement de marques en Chine, a stocké les données de millions d’utilisateurs, plus de 400 Go, sur un serveur non sécurisé appartenant à Tencent. Dans son article, l’équipe de sécurité détective explique « que le serveur ElasticSearch a été exposé publiquement sans protection par mot de passe ni cryptage ». Plus précisément, le manque de sécurité a permis à chacun d’accéder aux informations sur les utilisateurs concernés. Selon Safety Detective, ceux-ci ont été récupérés grâce au « Datascrapping ». C’est l’ambition des données personnelles disponibles sur les réseaux sociaux. Si l’approche est légale et déjà utilisée par de nombreuses entreprises, c’est le manque de mesures de sécurité nécessaires pour protéger les données collectées qui pose problème. Ce n’est pas la première fois que Socialarkas est touché par une telle violation de données, car il avait déjà révélé les informations sur 150 millions de comptes en août de l’année dernière.

Données sensibles
Parmi les données collectées par l’entreprise, on retrouve principalement des informations qui sont communiquées par les utilisateurs directement sur les différents réseaux sociaux. Ainsi, les noms, les noms des utilisateurs, les liens vers les profils, les surnoms des différentes plateformes, les photos de profil et la description des comptes dans le fichier sont saisis. D’autre part, Safety Detective a également remarqué qu’il y avait également des informations plus sensibles sur le serveur. En fait, pour Instagram, par exemple. 6 millions d’adresses e-mail d’utilisateurs ont été enregistrées, alors que ces informations n’avaient pas été diffusées sur les différentes plateformes par les internautes. Les experts ne peuvent expliquer leur présence.

Plus de 810 000 comptes Français concernés

Une telle fuite de données est forcément très dangereuse pour les utilisateurs concernés. L’exposition à ces informations les rend vulnérables aux attaques en ligne telles que le vol d’identité, la fraude financière sur d’autres plateformes, y compris les services bancaires en ligne. Les informations de contact de l’utilisateur peuvent également être utilisées pour envoyer des e-mails personnels. Nous devons donc accorder une attention particulière. .

Catégories
Attaque Etude hyères informatique Non classé presse prix Ransomware Ryuk Sécurité

Ryuk aurait réclamé plus de 150 millions de dollars

Suite à l’invasion d’entreprises à travers le monde, on dit que le groupe de rançongiciels Ryuk a mis 150 millions de dollars dans la poche avec le paiement d’une rançon.

Les opérateurs de ransomware Ryuk auraient gagné plus de 150 millions de dollars en Bitcoin en payant de l’argent de piratage à des entreprises du monde entier.

c’est pas très clair!

La société de renseignement sur les menaces Advanced Intelligence (AdvIntel) et la société de cybersécurité HYAS ont publié jeudi une étude qui suit les paiements effectués sur 61 adresses Bitcoin, précédemment attribuées et liées aux attaques de ransomware de Ryuk.

« Ryuk reçoit une partie importante de la rançon d’un courtier bien connu qui effectue des paiements au nom des victimes du ransomware », affirment les deux sociétés. «Ces paiements s’élèvent parfois à des millions de dollars, mais ils se comptent généralement par centaines de milliers. « 

AdvIntel et HYAS expliquent que les fonds extorqués sont collectés sur des comptes de dépôt, puis transférés au blanchiment d’argent. Ensuite, soit ils retournent au marché noir et sont utilisés pour payer d’autres services criminels, soit ils sont échangés dans un véritable échange de crypto-monnaie.

Mais ce qui a le plus attiré l’attention des enquêteurs, c’est que Ryuk a converti son Bitcoin en véritable monnaie fiduciaire à l’aide de portails de crypto-monnaie bien connus tels que Binance et Huobi – probablement via des identités volées. D’autres groupes de ransomwares préfèrent généralement utiliser des services d’échange plus obscurs.

Cette enquête met également à jour nos chiffres sur les activités de Ryuk. Les derniers chiffres étaient datés de février 2020, après que des collaborateurs du FBI se soient exprimés lors de la conférence RSA. À l’époque, le FBI affirmait que Ryuk était de loin le groupe de ransomware actif le plus rentable avec plus de 61,26 millions de dollars générés entre février 2018 et octobre 2019, selon les plaintes reçues par son «Internet Crime Complaint Center».

Cette nouvelle étude de 150 millions de dollars montre clairement que Ryuk a conservé sa place au sommet, du moins pour le moment.

Au cours de l’année écoulée, d’autres groupes de ransomwares – tels que REvil, Maze et Egregor – se sont également fait un nom et ont été très actifs et ont infecté des centaines d’entreprises. Cependant, à l’heure actuelle, aucun rapport ne permet d’estimer les sommes déclarées de ces groupes. L’enquête la plus récente de ce type était celle de la société de cybersécurité McAfee, publiée en août 2020, qui estimait que le groupe de ransomware Netwalker avait accumulé environ 25 millions de dollars de rançon entre mars et août 2020.

Catégories
Etude informatique Sécurité Service informatique Technologie

Des fuites de données critiques détruisent la vie de presque tous les citoyens brésiliens

C’est l’une des plus grosses fuites, gigantesque, dangereuse dans les détails des données et très facile à obtenir.

Des fuites de données critiques détruisent la vie de presque tous les citoyens brésiliens

Il est difficile d’imaginer un pire désastre. Mardi 19 janvier, la société de sécurité PSafe a identifié une fuite très inquiétante car elle permettait d’accéder à des données plus critiques de plus de 220 millions de Brésiliens, plus que la population dans son ensemble (et pour cause: la base de données contient également des données sur les personnes décédées. ).

Trois jours plus tard, le site spécialisé Tecnoblog a découvert que non seulement un voleur avait découvert la fuite et téléchargé les données (en août 2019), mais qu’il les avait également postées sur un forum de vente accessible à tous. Certaines des données peuvent être téléchargées gratuitement, le reste peut être acheté au détail.

L’une des raisons pour lesquelles nous parlons de données critiques est que la base de données contient le « Cadastro de Pessoas Físicas » (CPF) des victimes et, dans certains cas, même une photocopie de la carte où ce numéro est écrit. En France, le CPF correspond au numéro fiscal, l’identifiant associé au paiement de la taxe. La simple présence de CPF suffit pour considérer le risque de fraude ou d’usurpation d’identité.

Mais en plus, il est livré avec un certain nombre de données terriblement précises. Respirez profondément, voici une liste non exhaustive de ce que contient la base de données pour chacun, ou presque:

Nom, prénom, date de naissance, nom des deux parents, état matrimonial, niveau de scolarité.
Email, numéro de téléphone, adresse (nom exact de la rue, mais aussi coordonnées GPS).
Plusieurs équivalents du numéro de sécurité sociale et détail de certaines prestations régulières correspondant aux caisses complémentaires familiales françaises.
Détails sur le ménage: nombre de personnes, niveau de revenu.
Informations sur l’emploi: nom légal et pièce d’identité de l’employeur, type d’emploi, statut d’emploi, date d’emploi, salaire, nombre d’heures par La semaine.
Estimation du revenu: ce calcul prend en compte le salaire, le loyer ou encore l’encaissement d’une éventuelle rente. Ces données sont utilisées pour classer les personnes par niveau de classe sociale (faible, moyen, élevé) et par niveau de revenu.
Toutes sortes de données financières: détails de la cote de crédit; le nom du débiteur et l’ID du statut de la dette de la banque du mauvais payeur.
Avec tous ces éléments, le fichier, même au format texte, pèse plus de 14 gigaoctets. Dans le détail, il contient 37 bases de données distinctes, signe que l’auteur de l’infraction avait accès à l’ensemble du système d’une entreprise et pas seulement à une ou deux bases de données mal sécurisées.

Qui peut posséder une telle quantité de données critiques? Le détaillant a appelé le fichier « Serasa Experian », le nom d’une société de crédit brésilienne. Bien que la cybercriminalité ne puisse être tenue pour acquise, la base de données contient plusieurs calculs économiques utilisés par Seresa Experian, dont Mosaic, l’un de ses services de classification dédié au ciblage publicitaire. La société contrevenante a déclaré qu’elle avait ouvert une enquête mais n’avait jusqu’à présent trouvé aucune preuve de cambriolage dans son système.

En attendant d’en savoir plus sur les événements qui ont conduit à la fuite, le Brésil doit faire face à une crise nationale de cybersécurité et à une véritable crise de confiance dans les communications. La base de données est une opportunité en or pour les cybercriminels, petits et grands. Il permettra d’établir des hameçonnages massifs et de sélectionner les cibles les plus pertinentes parmi la quasi-totalité de la population. Plus précisément, les criminels peuvent cibler les personnes peu scolarisées, celles qui vivent dans une région particulière ou même s’attaquer aux revenus élevés. Pas besoin de chercher un moyen de les contacter, tout est dans la base de données. Ils peuvent repousser leur attaque par e-mail, téléphone ou lettre en fonction de leur cible.

D’autres utilisations peuvent avoir des conséquences encore plus importantes. Alors que la menace des ransomwares envahit les entreprises, ce type de fuite augmente considérablement le risque. Pour rappel, ce malware se propage aux victimes des systèmes d’entreprise et crypte tout ce qu’il trouve. Les logiciels d’entreprise (e-mails, progiciel bureautique, outils professionnels, etc.) deviennent inutilisables, tout comme les équipements informatiques (ordinateurs, copieurs, ports de sécurité, etc.) et les documents confidentiels ne peuvent plus être lus. C’est alors que les criminels exigent une rançon – allant de quelques centaines de milliers à des dizaines de milliers de millions d’euros – pour une promesse de lever le blocus des systèmes.

Pour pénétrer par effraction dans leur domicile, les intimidateurs ciblent les employés de l’organisation cible qui ont un niveau élevé de responsabilité et d’accès au réseau. L’objectif: infecter le patient zéro, qui infectera très probablement rapidement le reste du réseau. Ils créent donc des phishings sur mesure, qu’ils vivent de données collectées par eux-mêmes ou de fuites. C’est là que réside l’intérêt de la base de données attribuée à Serasa Experian. Il permet un ciblage direct des personnes d’intérêt telles qu’elles sont répertoriées comme telles dans le fichier. Mieux encore, il fournit plus que suffisamment de détails pour créer une arnaque de phishing très convaincante.

Bien que toutes les violations de données n’aient pas de conséquence, elles pourraient façonner les prochaines années avec la cybersécurité brésilienne.

Catégories
Attaque Etude informatique Ransomware

Répondre aux attaques de ransomwares pour une meilleure survie

Qu’elles soient intentionnelles ou opportunistes, les attaques de ransomwares créent le chaos. Concentrez-vous sur les faiblesses, les techniques utilisées et les réactions à adopter pour tenter de faire face au pire et limiter les dégâts.

Plus virulentes et professionnalisées que jamais, les cyberattaques provenant de ransomwares ciblant les entreprises ainsi que les administrations et les communautés sont un véritable fléau. Suite à la publication début septembre d’un guide signé par l’ANSSI et le ministère de la Justice passant en revue les moyens d’action et les réponses pour faire face à cette formidable menace, c’est au tour de l’Observatoire. la sécurité des réseaux et des systèmes d’information (OSSIR) pour jouer un rôle dans la lutte contre les ransomwares.

Dans le cadre de l’une des dernières visioconférences de l’association, Christophe Renard, Agent au sein de la direction responsable de la sous-direction des opérations de l’ANSSI, est intervenu dans le cadre d’un retour d’expérience sur l’anatomie des attaques de ransomware. Après avoir brièvement passé en revue le rôle de l’ANSSI dans la lutte contre les cybermenaces (prévention, réponse aux incidents et partage des connaissances), Christophe Renard a rappelé l’explosion des attaques ransomware (104 entre le 1er et le 1er janvier) (septembre 2020), qui a conduit à plusieurs incidents majeurs, qui combinait destruction de données et arrêt de production, comme cela a été le cas récemment avec Sopra Steria, avec un impact économique significatif.

Comment connaitre un ransomware

Dans la première partie de son retour d’expérience, Christophe Renard dresse un panorama des points d’entrée qui permettent à un pirate d’accéder à un système exposé. Généralement via un point d’accès accessible depuis Internet ou un poste de travail utilisateur via un email contenant un lien ou un document capturé. Il y en a un certain nombre allant de l’exploitation de grandes vulnérabilités (CVE-2019-11510 sur PulseSecure, CVE-2019-19781 sur Citrix et CVE-2019-0604 sur Sharepoint) à celles qui font l’objet d’analyses massives, à l’énumération de des mots de passe sur des services exposés sur Internet (RDS sur des serveurs de domaine, des VM de domaine, etc.) ou encore des résultats de campagnes de botnet (Emotet, Dridex, etc.).

« De temps en temps, les attaquants tentent d’étendre leur emprise », a déclaré Christophe Renard. Cette latéralisation peut alors emprunter plusieurs chemins, allant de la numérisation réseau à l’exploration système en montage RDP, RCP et SMB ou encore l’utilisation de trames standards offensives (powershell-Empire, Cobalt Strike, Metasploit, etc.). L’augmentation des privilèges fait bien sûr partie du plan d’attaque d’un hacker pour atteindre ses objectifs. Pour cela il peut essayer de réutiliser des mots de passe qui peuvent être communs entre admin et utilisateur, extrapoler les règles de production ou faire un décompte brutal des applications ou même pêcher dans le SI (mots de passe fichier excel, raccourcis de connexion avec mots de passe enregistrés …). Mais aussi attrapé par les «points d’eau» tels que les applications Web internes ou même le portail VPN en tant que tel. Pour protéger l’accès, des procédures peuvent être envisagées: comme la création de comptes privilégiés (AD, administrateurs locaux, etc.) ou l’ajout d’implants (RAT, webshell, tunnels inversés, etc.).

Anticipant et assurant l’effet maximal de son attaque, le hacker cherche à mettre en œuvre son ransomware le plus rapidement possible. Cela implique en particulier des étapes pour neutraliser l’antivirus, arrêter les processus serveur à la dernière minute ou s’assurer que les objectifs pertinents sont effectivement atteints. Par conséquent, il est préférable de porter une attention particulière à certains signaux susceptibles de se produire, tels que le suivi des virus, les pannes d’antivirus, les pannes de service inattendues ou les connexions de contrôleur de domaine. Dans le but de copier et d’exécuter son programme malveillant à grande échelle, l’utilisation de mécanismes d’administration est effectuée (Batch files de PsExec en série, création de tâches pour l’exécution d’instructions de GPO, utilisation de BITS …). Une fois implémenté, le code s’attaquera à plusieurs objectifs: supprimer les clichés instantanés, rechercher et crypter des fichiers, créer des messages d’invitation et de contact, ou même envoyer des informations de télémétrie pour estimer les attaques réussies.

Comprendre le timing d’un ransomware

Généralement, les campagnes de ransomwares sont menées après un timing qui rend plus difficile de les contrer (week-ends, vacances, etc.). Il est donc temps pour l’entreprise de se lancer avec les conséquences de la transition vers la crise, qui mobilisera des acteurs clés en interne (direction générale, experts sécurité, DSI, etc.), mais aussi en externe (sous-traitants, enquêteurs numériques …). Il est impératif à ce stade d’identifier les responsables et impliqués dans cette gestion de crise, et notamment leur rôle et leur périmètre d’intervention. Les premières actions visent à freiner la prolifération des réseaux (perturbation de l’accès Internet, filtrage réseau de niveau 2 ou 3, coupure des accès tiers, etc.), mais également des systèmes (arrêt des postes de travail, extension de la couverture antivirale et XDR, etc.) le piège tendu par les cyber-attaquants et la nécessité de redémarrer l’activité au plus vite pour éviter de lourdes pertes opérationnelles et financières, les entreprises doivent également initier un plan de communication (salariés, partenaires, médias, etc.) en n’oubliant pas l’essentiel: déposer une plainte auprès du autorités compétentes (police, gendarmerie …) et signaler l’incident (ANSSI, CNIL …).

Testez la restauration à l’avance
Dans une manipulation tendue et compliquée du cotext, les erreurs se produisent rapidement. Mais certaines sont à éviter, comme le rappelle Christophe Renard. « La crise des ransomwares est une crise stratégique; elle ne doit pas être gérée uniquement sous l’angle informatique. » De même, il est illusoire de croire qu’une solution peut être trouvée en quelques jours: « aucune crise de ransomware, comme je l’ai observé, n’a duré moins de 3 semaines […] nous devrons enquêter, reconstruire, mettre en œuvre des mesures temporaires, restaurer Personne n’a les équipes internes pour tout faire. »Attention à ne pas baser toute cette organisation de crise sur une seule personne:« personne ne garde 3 semaines de crises sans repos, un burn-out lors d’un incident survient », prévient Christophe Renard.

Revenir à la normale, après une attaque de ransomware

Pour revenir à la normale et après une étape corrective nécessaire, le processus de récupération est une étape clé qu’il ne faut pas sous-estimer. Il est également nécessaire que les sauvegardes et les applications puissent être restaurées en étant préalablement déconnectées et désynchronisées du SI maître. «L’expérience des tests Restore est précieuse: toutes les raisons pour ne pas les faire par temps calme sont exacerbées par un environnement dégradé et le stress», explique Christophe Renard. Le temps viendra alors de se faire un état des lieux (image, technique, économique, législatif et humain) et d’en tirer les conséquences pour améliorer la réponse aux incidents et mieux contrer les effets catastrophiques du prochain ransomware. Car s’il y a une chose à garder à l’esprit, c’est plus que jamais en termes de cybersécurité que l’on n’est jamais en sécurité une fois pour toutes.

Catégories
Android Apple Attaque Bitcoins COVID-19 Ekans Etude EvilQuest GandCrab Hakbit Hôpital hyères informatique Mac MacOS Mairie maze Nefilim NetWalker Non classé Orange prix Ragnar Locker Ransomware revil Ryuk Sécurité Service informatique Shade sodinokibi Technologie ThiefQuest vidéo

Ryuk LE ransomware 2020?

Anssi a publié un nouveau rapport, cette fois axé sur l’activité ransomware de Ryuk. Particulièrement impliqué dans l’attaque de Sopra Steria en France, ce logiciel malveillant se distingue de la concurrence et ne se contente pas de dupliquer les méthodes de ses concurrents.

Ryuk LE ransomware 2020?

Ryuk est un ransomware actif depuis 2018 et dont les opérateurs sont particulièrement actifs. C’est ce qui a valu le titre de «ransomware le plus rentable» selon le FBI en 2018 et généré plus de 61 millions de dollars de rançon entre février 2018 et octobre 2019.

Cependant, Ryuk n’aborde pas les méthodes qui ont fait le succès de groupes malveillants comme Maze ou Revil: pas de chantage pour le vol de données, pas de place pour montrer les victimes ou les communiqués de presse ici. Pourtant, ce ransomware, qui est actif depuis deux ans maintenant, reste une menace majeure, et Anssi a publié un rapport de statut.

Ryuk est un ransomware dont le but est de crypter les données de la victime pour exiger une rançon. Anssi indique que les cibles privilégiées des opérateurs de ce ransomware sont les grandes entreprises capables de payer les grosses rançons requises, principalement aux États-Unis et au Canada. L’agence note également que les opérateurs de Ryuk ne réservent pas d’autres groupes vis-à-vis des établissements de santé: « en octobre 2020, Ryuk serait responsable de 75% des attaques sur le secteur de la santé qu’il attaquerait depuis le premier semestre 2019 ». Des dizaines d’hôpitaux américains ont été victimes d’une campagne de Ryuk au début d’octobre visant les services dans les hôpitaux de l’UHS. Le FBI et le CISA américain ont également mis en garde contre le risque de nouvelles attaques basées sur Ryuk dans un nouveau communiqué d’information publié fin octobre.

Trickbot, Emotet et le bazar
Comme de nombreux ransomwares, Ryuk n’est que la dernière étape d’une chaîne d’infection multi-malware. Les auteurs du rapport indiquent que l’infection Trickbot, au moins jusqu’en septembre 2020, aurait été le point d’entrée privilégié des opérateurs Ryuk pour s’implanter dans les réseaux d’entreprise. Trickbot, avec Emotet et bien d’autres, est un malware de type chargeur qui se propage généralement via des campagnes de courrier électronique malveillantes pour infecter un appareil cible, puis se propager à travers le réseau interne d’une victime et se déplacer jusqu’à ce qu’il compromette un contrôleur de domaine. La dernière étape est la mise en œuvre du ransomware, le cryptage des machines et la demande de rançon. Et si ce type d’attaque prend généralement du temps, certains opérateurs Ryuk se démarquent par leur rapidité: Anssi indique ainsi que dans certains cas le temps de la première infection et du cryptage est réduit de quelques jours. (2 à 5) en trois heures ».

En 2020, cependant, les opérateurs de Ryuk semblent s’être progressivement tournés vers un nouveau chargeur, connu sous le nom de BazarLoader, actif depuis mars 2020. «Comme TrickBot, Bazar serait utilisé comme un accès en tant que service pour faire des compromis ou même qualifier un SI pour le compte d’autres groupes d’attaquants. On ne sait pas si BazarLoader, comme TrickBot, fonctionne également sur un modèle d’affiliation », précise l’agence, qui précise que le logiciel est principalement distribué par le groupe derrière Trickbot. D’autres chargeurs ont également été identifiés dans des attaques impliquant le malware Ryuk: Buer et Le logiciel Silent Night a également été utilisé dans l’attaque qui a implémenté Ryuk.

Raas ou pas Raas, c’est la question
L’un des points qui sépare Ryuk du reste de l’écosystème de la cybercriminalité des groupes de ransomware est la question du modèle commercial de Ryuk. Pour de nombreux ransomwares apparus ces derniers mois, le modèle économique utilisé est généralement celui de RaaS (Ransomware as a service): le groupe à l’origine des ransomwares commercialise ses logiciels sur des forums clandestins auprès d’autres groupes, qui s’assurent ensuite de les diffuser réseaux informatiques de leurs victimes.

Pour Anssi, Ryuk n’est « pas officiellement un RaaS »: l’agence déclare ainsi qu’elle n’a observé aucune promotion des opérateurs Ryuk sur les forums clandestins. Ryuk est néanmoins exploité par plusieurs acteurs malveillants, selon Anssi. S’il n’est pas vendu au public, il pourrait être mis à la disposition de partenaires de confiance par le créateur du code malveillant, ou il pourrait être exploité indépendamment par plusieurs groupes à l’aide d’outils et de formes de propagation communs. .

Il est donc difficile de savoir qui tire exactement les fils de Ryuk: le rapport de l’agence met en évidence le rôle central joué par deux acteurs malveillants, le groupe WizardSpider derrière Trickbot et le groupe identifié comme UNC1878. Selon FireEye, ce dernier groupe est responsable de 83% des attaques impliquant Ryuk. L’agence note également l’implication d’autres groupes tels que FIN6 dans la prolifération du ransomware Ryuk ainsi que du code et des méthodologies entre Ryuk et un autre ransomware connu sous le nom de Conti. Si Ryuk n’est pas «officiellement un RaaS», il n’en est pas moins un acteur profondément enraciné dans la sphère de la cybercriminalité et avec de nombreux liens avec des groupes tiers.

Catégories
Association Attaque Entreprise de construction Etude EvilQuest Hôpital hyères informatique Mairie Non classé Ransomware Sécurité Technologie

Le Cigref s’inquiète de la reprise des attaques par ransomware

Dans un communiqué de presse publié cette semaine, le Cigref met en garde contre la montée des cyberattaques et la menace que cette hausse fait peser sur l’économie française. Et ce alors que de plus en plus d’entreprises en France sont concernées par les attaques de ransomwares.

Le Cigref s’inquiète de la reprise des attaques par ransomware

Un risque informatique pour les entreprises Francaises:

Depuis le début de l’année scolaire, les assaillants n’ont pas désarmé et l’épidémie de rançon commence à se manifester. Le Cigref, organisation qui regroupe un réseau de grandes entreprises et administrations françaises sur le thème du numérique, indique avoir adressé une lettre au Premier ministre l’avertissant de «l’augmentation du nombre et de l’intensité des cyberattaques» et de l’impact de cette situation sur l’économie française.

« Les pertes d’exploitation des centaines d’entreprises, grandes et petites, qui ont subi une cyberattaque ne sont plus anecdotiques, comme le montre trop souvent l’actualité », a déclaré Cigref dans son communiqué de presse. L’organisation reconnaît les efforts déjà consentis par l’Etat à travers Anssi, mais note «l’insuffisance des réponses de la communauté internationale et des Etats face à la réalité d’une menace qui se déploie à l’échelle mondiale.» Le Cigref saisit également l’occasion pour pour pointer du doigt les fournisseurs de systèmes numériques dont les pratiques sont jugées inadéquates: le Cigref appelle à une régulation de ces acteurs pour améliorer la sécurité globale des entreprises utilisant ces outils.

Covid + ransomware = pas bon!

Le contexte est en effet délicat pour les entreprises déjà touchées par la crise sanitaire et les mesures d’endiguement mises en place par le gouvernement. Mais la période a également été marquée par une vague d’attaques de ransomwares qui a frappé les entreprises françaises. Nous avions publié des retours de Paris Habitat, mais de nombreuses autres victimes d’attaques de ransomwares ont été touchées ces dernières semaines.

On peut citer le quotidien Paris Normandie, la société de services informatiques Umanis, Scutum ou encore Siplec. Il y en a beaucoup d’autres dont les attaques ont été revendiquées par des groupes de cybercriminalité mais non confirmées par les victimes. Et on ne parle que des victimes qui ont été déclarées depuis début novembre, mais beaucoup passent sous le radar et ne communiquent pas et espèrent que les assaillants ne communiquent pas non plus (ce qui est loin d’être évident).

Outre les entreprises, de nombreuses administrations et collectivités locales sont également touchées: les chambres d’agriculture du Centre-Val de Loire et de la Nouvelle-Aquitaine ont ainsi porté le poids de ces attaques, ainsi que Vincennes ou la ville de Bondy, qui rapporte avoir été touchée deux fois de suite. une attaque informatique en dix jours. Une nouvelle typologie des victimes préoccupe particulièrement Anssi, qui publie désormais un guide de sécurité pour les communes et envisage de profiter du plan de relance pour lancer un plan de sécurisation des systèmes informatiques des collectivités locales.

La tendance à la hausse des cyberattaques est observée depuis plusieurs mois maintenant: leMagIt avait réalisé un premier recensement des cyberattaques en septembre, laissant supposer avoir identifié des dizaines de victimes en France et plus de 700 dans le monde. . Cigref n’est donc pas déplacé pour rien: la facture (ou rançon) de l’économie française peut s’avérer salée.

Catégories
Association Attaque Entreprise de construction Etude informatique Non classé Ransomware Sécurité Technologie

L’incident technique de Paris Habitat était en fait un ransomware

La firme Paris Habitat confirme avoir été touchée par des ransomwares, ce qui a conduit à la paralysie de ses services pendant plusieurs jours. Cependant, Paris Habitat a refusé de payer la rançon et a reconstruit son système sur la base de sauvegardes.

Après près de trois semaines de silence radio, Paris Habitat fournit des détails sur la cyberattaque qui a paralysé ses services. Comme l’ont mentionné MagIT et plusieurs sources internes, c’est en fait un ransomware qui a affecté les services informatiques du bailleur social parisien. «L’attaque a eu lieu dans la soirée du 27 octobre et a été détectée par nos systèmes informatiques le 28 au matin», explique Marie Godard, directrice adjointe de Paris Habitat. «On pense que le vecteur d’intrusion est une attaque de phishing, mais notre enquête n’est pas encore terminée. Cependant, le groupe derrière l’attaque a été identifié comme étant Sodinokibi. « 

Il y a donc eu une demande de rançon, mais Marie Godard explique que « la question ne s’est pas posée. On s’est rendu compte que nous avions des sauvegardes audio remontant au mardi 27 octobre, ce qui nous a évité d’avoir à envisager de payer une rançon. » Paris Habitat garantit qu’il n’y a pas eu de perte ou de vol de données. Quinze jours après la première attaque, Sodinokibi n’a en fait publié aucune donnée sur son site Internet Paris Habitat, suggérant que les données des utilisateurs n’ont pas été effectivement volées.

Pour limiter l’attaque, la direction a choisi d’arrêter tout son système informatique mercredi avant de redémarrer progressivement les systèmes à partir de vendredi. « Nous avons immédiatement alerté nos partenaires directs de la situation », a déclaré le directeur adjoint. Paris Habitat héberge en effet un data center à Paris, qui héberge également AP-HP et Eau de Paris. Mais «la partition entre les différents SI a permis de limiter le risque de reproduction», assure Marie Godard.

En reconstruction
La continuité du service a été assurée en s’appuyant sur le réseau de gardiens d’immeubles de Paris Habitat: le site internet sur place a ainsi référé les locataires à leur concierge ou à un numéro de téléphone unique permettant l’Information. Un site Internet du personnel a également été mis en place pour leur fournir des informations sur le redémarrage des systèmes et les mesures à mettre en œuvre pour le confinement. Lorsque l’attaque a été déclarée quelques jours avant l’annonce du confinement, il valait mieux tuer deux oiseaux d’une pierre. «Le problème maintenant est de récupérer en s’assurant que tout est fiable», a déclaré le directeur adjoint, qui a déclaré que le groupe travaillait avec Frame IP pour remettre les systèmes en marche.

«Nous devons nous assurer que toutes les données sont fiables et que les machines des employés le sont également. Au total, donc, plus de 1 500 ordinateurs portables doivent être ciblés pour s’assurer qu’ils ne sont pas compromis. Selon le directeur adjoint, il y a déjà eu plus de 1 200 unités. Elle explique que les services sont progressivement redémarrés, puisque le site doit être de nouveau en ligne « avant la fin de la semaine ». Le groupe a déposé une plainte et BEFTI et OCLCTIC sont chargés de l’enquête. Un rapport a également été fait à la CNIL. Paris Habitat explique également avoir prévenu Anssi de l’attaque.

Sodinokibi ou Revil fait référence à un groupe de cybercriminalité particulièrement actif, spécialisé dans les attaques de ransomwares. Apparu en avril 2019, ce ransowmare fonctionne sur le modèle de RaaS (Ransomware as a Service), ce qui signifie qu’il loue ses malwares à des groupes tiers, «affiliés», responsables de la réalisation des attaques, alors que les créateurs du malware sont normaux responsable de la négociation et de la récupération de la rançon puis de la redistribution des gains. Revil est un groupe connu pour télécharger et revendre les données qu’il vole à ses victimes via un site dédié. Mais jusqu’à présent, le groupe n’a pas revendiqué la responsabilité de l’attaque ou téléchargé des données appartenant à Paris Habitat.

Catégories
Attaque Etude informatique Ransomware Sécurité Technologie

Les attaques de ransomwares en France selon le directeur de l’ANSSI(Agence nationale de la sécurité des systèmes d’information)

Les attaques de ransomwares en France

Scutum, Sopra Steria, Mairie de Vincennes, Mairie d’Alfortville, Software AG, le Groupe ENEL … En France, comme partout en Europe, les grandes entreprises et les administrations voient leur activité très perturbée pendant de nombreux jours après des attaques de ransomwares.
Une situation qui inquiète évidemment les pouvoirs publics. La semaine dernière, la commission sénatoriale des affaires étrangères, de la défense et des forces armées a interviewé Guillaume Poupard, directeur de l’ANSSI (Agence nationale pour la sécurité des systèmes d’information).

« Le crime organisé a pris le cyber-outil pour s’occuper des victimes », a expliqué Guillaume Poupard aux sénateurs, notant une explosion de crimes graves et d’attaques de ransomwares. L’ANSSI n’intervient que sur des événements ayant un impact fort sur la sécurité nationale ou la sécurité économique. Mais Guillaume Poupard note que «nous étions à 54 attaques à la fin de 2019, et il y en avait 128 par. 30 septembre cette année. Au cours d’une année, il triple ou quadruple constamment, donc c’est quelque chose de particulièrement inquiétant, et je ne vois aucune raison pour que cela change à court terme. « 

Le schéma est toujours le même: une attaque (souvent du phishing) qui conduit à une intrusion informatique suivie d’un cryptage qui bloque les données des victimes et une extorsion pour débloquer la situation. Rançon qui coûte cher: «On parle aujourd’hui de millions ou dizaines de milliers d’euros», assure Guillaume Poupard.

En septembre, une patiente en Allemagne est décédée après qu’une opération vitale qu’elle devait subir n’a pas pu avoir lieu après une paralysie informatique à l’hôpital universitaire de Düsseldorf causée par un ransomware.
Fin septembre, le géant hospitalier UHS (Universal Health Services) a également été victime des effets disruptifs des ransomwares.
Fin octobre, le FBI a émis une alarme prétendant disposer d’informations concrètes sur les préparatifs d’une vague d’attaques de ransomwares contre le système hospitalier et les prestataires de soins de santé américains.

Interrogé sur ces événements en pleine crise sanitaire et les attentats contre les hôpitaux français, Guillaume Poupard a précisé que « les attentats n’ont pas explosé, ils n’ont pas augmenté en volume ou en virulence » avant d’ajouter que « les grands groupes criminels ont publié un communiqué au début de La crise de dire qu’ils ont temporairement suspendu les attaques contre les hôpitaux (…) et s’y sont effectivement collés. « . Grands groupes peut-être, mais à en juger par les événements en Allemagne et aux États-Unis, certains groupes n’ont eu aucune inquiétude.
Il note également que les attentats ne cherchent plus à « jeter un large filet », mais sont de plus en plus ciblés et ciblés principalement sur « les victimes sous pression et qui peuvent se permettre de payer ».

Il a défendu le passage de Sopra Steria et leur a même donné comme exemple des entreprises qui ont su réagir rapidement et ont réussi à limiter l’impact de l’attaque ransomware dont elles ont été victimes: «Ils ont pu pour détecter l’attaque, qui n’a touché très tôt que quelques dizaines d’ordinateurs, et la bloquer. Ils ont pris soin d’arrêter complètement les grands systèmes pour ne pas faciliter son expansion et polluer leurs clients ». Guillaume Poupard note également que parmi certaines victimes fortement touchées par les ransomwares d’ici 2020, «nous arrivons désormais avec des prestataires privés intégrés dans l’équation pour réparer les systèmes en quelques jours, au plus quelques semaines pour un redémarrage complet. a parlé il y a un an pendant des semaines et des mois ».

En revanche, Guillaume Poupard n’a pas caché ses inquiétudes quant aux risques supplémentaires que comporte le télétravail. «Nous sommes encore assez préoccupés par toutes les violations que la pratique rapide du télétravail a ouverte dans les systèmes d’information. Le risque est que nous nous en rendions compte dans quelques mois», souligne Guillaume Poupard. Avant, nous encourageons les entreprises à introduire plus de contrôle et de surveillance autour du libre accès pour permettre la pratique à distance. LIEN