Dans la course effrénée vers les Jeux olympiques de Paris, la sécurité, notamment dans le domaine cybernétique, reste une préoccupation majeure. Les récents résultats d’un test de cyber-sécurité mené auprès des gendarmes français soulèvent des questions inquiétantes quant à leur préparation face aux menaces en ligne, à seulement 130 jours de l’événement tant attendu.
Test XXL de Cyber-Sécurité pour les Gendarmes d’Île-de-France
Dans une initiative sans précédent, la région Île-de-France a soumis près de 9 000 gendarmes et gendarmes adjoints à un test de cyber-sécurité intensif. Ce test, orchestré par les autorités, visait à évaluer le niveau de vigilance et de préparation des forces de l’ordre face aux attaques informatiques. L’enjeu ? S’assurer que les gendarmes sont prêts à faire face aux cyber-menaces qui pourraient compromettre la sécurité des Jeux olympiques.
Un Piège Ingénieux
Le test a pris la forme d’un e-mail apparemment authentique, promettant des places exclusives pour les épreuves des Jeux olympiques de 2024. Avec un objet accrocheur et une apparence convaincante, l’e-mail a réussi à attirer l’attention de 5 000 destinataires, soit plus de la moitié des gendarmes ciblés. Parmi eux, près de 10% ont cliqué sur le lien frauduleux contenu dans le message, tombant ainsi dans le piège tendu par les initiateurs du test.
Signes Révélateurs de Fraude
Pourtant, même pour les gendarmes les moins attentifs, plusieurs indices auraient dû éveiller les soupçons. L’adresse de l’expéditeur, légèrement altérée, ainsi que le nom du prétendu expéditeur, Xavier Ducept, auraient dû susciter la méfiance. Malgré ces signes, un nombre significatif de gendarmes ont été trompés par la ruse, soulignant ainsi l’importance cruciale d’une formation continue en matière de cyber-sécurité. Dépannage informatique Ville de La Garde
Leçons à Tirer
Cet exercice, bien que révélateur des lacunes en matière de vigilance cybernétique, offre également une précieuse leçon. À l’approche des Jeux olympiques de Paris, il est impératif que les forces de l’ordre renforcent leurs compétences en matière de cyber-sécurité. Seuls des efforts concertés et une sensibilisation accrue permettront de garantir le succès et la sûreté de cet événement historique.
Au Consumer Electronics Show (CES) 2024, le Rabbit R1 émerge comme une innovation majeure, transcendant les limites du simple smartphone. Ce dispositif, propulsé par l’intelligence artificielle (IA), introduit le Large Action Model (LAM), une avancée révolutionnaire développée par Rabbit pour redéfinir l’expérience des assistants virtuels.
R1 de Rabbit : L’Évolution Conversationnelle de l’Interaction Homme-Machine
Se positionnant en concurrent direct d’Alexa et Siri, le R1 va au-delà des attentes en gérant de manière fluide toutes les tâches d’un assistant virtuel. L’interface unique favorise une expérience conversationnelle, libérant les utilisateurs des contraintes de l’écran. Mais qu’est-ce que le Large Action Model, et comment transforme-t-il cette interaction ?
Le Modèle Large Action (LAM) : Une Avancée Majeure dans l’IA des Assistants Virtuels
Développé par Rabbit, le LAM se révèle être le pivot du R1. En éliminant la complexité des API, Rabbit a enseigné à ce modèle à agir de manière humaine lors de l’interaction avec des applications, offrant une fiabilité et une rapidité inégalées. Cette innovation ouvre de nouvelles perspectives pour les assistants IA et les systèmes d’exploitation.
Fonctionnement du R1 : Une Interface Conversationnelle Inédite
Le LAM, formé par des humains, maîtrise diverses applications, des icônes aux recherches. Jesse Lyu, PDG de Rabbit, souligne l’applicabilité universelle de ces connaissances. Le mode d’entraînement permet aux utilisateurs d’enseigner au modèle, consolidant ainsi son adaptabilité.
L’IA au cœur du R1 : Redéfinir l’Interaction Homme-Machine
L’engouement autour du R1 est palpable, qualifiant même l’appareil de « moment iPhone pour l’ère de l’IA ». Il s’agit d’une réelle avancée dans la manière dont les humains interagissent avec la technologie, déclenchant des attentes élevées.
Spécifications du Rabbit R1 : Concentré de Technologie à 199 $
Compact, vibrant, de couleur orange, le R1 offre un écran tactile de 2,88 pouces, une caméra rotative et un bouton facilitant les interactions. Conçu avec Teenage Engineering, il intègre un processeur MediaTek puissant, 4 Go de mémoire et 128 Go de stockage. À 199 $, le R1 promet une révolution dans le domaine des assistants IA personnels.
Michel Van Den Berghe, Président du Campus Cyber, a remis son rapport sur la cybersécurité des PME à Jean-Noël Barrot, Ministre délégué chargé du Numérique. Cette initiative découle du mandat confié à Van Den Berghe par Barrot en 2022 pour renforcer la sécurité des petites et moyennes entreprises en France.
Pourquoi cette initiative est-elle cruciale pour les PME françaises?
Le rapport souligne l’urgence d’agir collectivement face au risque d’une crise majeure. Une attaque massive des PME pourrait entraîner un blocage sans précédent des activités économiques et sociales du pays.
Quelles sont les recommandations clés présentées dans le rapport?
Diagnostic Renforcé: Le Campus Cyber propose de rendre les diagnostics plus compréhensibles, soulignant la nécessité d’harmoniser les processus et d’accompagner les entreprises dans la mise en œuvre d’actions post-diagnostic.
Place de Marché Nationale: Recommandation de créer une plateforme nationale recensant des offres packagées pour guider les PME vers des outils adaptés en fonction de leur taille, niveau de maturité, localisation et secteur d’activité.
Prévention et Sensibilisation: Mise en avant de la création d’une campagne nationale de prévention cyber à la télévision et d’un kit de communication prêt à l’emploi, avec des relais locaux pour une mise à l’échelle rapide.
Comment le Campus Cyber envisage-t-il de coordonner ces recommandations?
Le Campus Cyber est identifié comme l’acteur approprié pour piloter la plateforme nationale, devenant ainsi le centre névralgique de l’écosystème de cybersécurité.
Quelle est la vision de Michel Van Den Berghe sur l’impact potentiel de ces recommandations?
Van Den Berghe précise que ces mesures visent à assurer une plus grande sécurisation des TPE-PME-ETI françaises, soulignant la nécessité d’agir de manière collective pour prévenir une crise majeure.
La Cybersecurity and Infrastructure Security Agency (CISA), équivalent américain de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), a lancé son Ransomware Vulnerability Warning Pilot (RVWP), une initiative visant à prévenir les vulnérabilités des systèmes d’information (SI) d’organisations critiques aux États-Unis. Cette démarche proactive vise à identifier et à avertir les opérateurs d’infrastructures critiques des failles potentielles avant qu’elles ne soient exploitées.
Qui est à l’origine du RVWP et quel est son objectif ?
La Cybersecurity and Infrastructure Security Agency (CISA) est à l’origine du Ransomware Vulnerability Warning Pilot (RVWP), un programme destiné à repérer les ransomwares et les SI vulnérables des opérateurs d’infrastructures critiques. Cette initiative repose sur l’utilisation d’outils open source, d’outils internes et de solutions commerciales, ainsi que sur des informations provenant du gouvernement et de partenaires industriels.
Comment fonctionne le RVWP ?
Le RVWP se compose de deux volets. Le premier consiste à identifier les vulnérabilités, tandis que le deuxième vise à informer les propriétaires des SI affectés pour qu’ils puissent corriger ou atténuer ces failles avant qu’elles ne soient exploitées. Les notifications envoyées par la CISA contiennent des informations essentielles telles que le fabricant et le modèle de l’appareil, l’adresse IP utilisée, la manière dont la vulnérabilité a été détectée, ainsi que des conseils sur la manière de l’atténuer.
Quelle vulnérabilité a été ciblée récemment par la CISA ?
Répondant au nom de « ProxyNotShell, » cette vulnérabilité a été exploitée de manière significative par les acteurs de ransomware. La CISA a rapidement notifié 93 organisations utilisant des instances de Microsoft Exchange Service vulnérables à ProxyNotShell.
Quel est l’appel à l’action de la CISA ?
Eric Goldstein, directeur adjoint exécutif de l’agence, encourage toutes les organisations à réagir rapidement aux vulnérabilités identifiées par le RVWP et à mettre en place des mesures de sécurité conformes aux directives du gouvernement américain. Cette action vise à réduire directement l’impact des rançongiciels sur les organisations américaines.
Quelle est la portée des notifications de la CISA ?
Il est important de noter que recevoir une notification de la CISA ne signifie pas qu’une organisation a été compromise, mais plutôt qu’elle présente un risque potentiel d’attaque. Les notifications de la CISA ne sont pas contraignantes et ne obligent pas les destinataires à suivre les recommandations de l’agence. Cependant, elles constitue
Le Conseil Fédéral autorise une enquête administrative en réponse à la cyberattaque visant Xplain, un prestataire de services informatiques de la Confédération.
Qu’est-ce qui s’est passé ? Suite à la cyberattaque par ransomware qui a ciblé Xplain, l’un des fournisseurs de services informatiques du gouvernement, le Conseil Fédéral a pris des mesures pour enquêter sur les événements. Dans le but de comprendre les circonstances entourant l’attaque et d’identifier les lacunes potentielles, le gouvernement a donné son feu vert pour une enquête administrative.
Qui mènera l’enquête ? L’enquête sera menée par le cabinet d’avocats genevois Oberson Abels, qui a été chargé de faire la lumière sur les éventuelles défaillances administratives et de sécurité. Le Département Fédéral des Finances (DFF) jouera un rôle de soutien en coordonnant les efforts du mandataire.
Quels sont les objectifs de l’enquête ? L’objectif principal de l’enquête est de déterminer si l’administration fédérale a rempli ses obligations de manière adéquate tout au long du processus de sélection, d’instruction et de surveillance de Xplain AG. La collaboration entre le gouvernement et l’entreprise sera également examinée dans le cadre de l’enquête. Les autorités visent également à identifier les mesures nécessaires pour éviter de futurs incidents similaires.
Quelle est la portée de l’enquête ? L’enquête ne se limitera pas à un seul département ou à la Chancellerie Fédérale. Au contraire, elle s’étendra à tous les départements concernés par la relation avec Xplain, afin de garantir une évaluation complète et détaillée de la situation.
Quand l’enquête sera-t-elle achevée ? L’enquête devrait être conclue d’ici la fin du mois de mars 2024, ce qui signifie qu’une évaluation complète et minutieuse sera entreprise pour découvrir les tenants et aboutissants de l’attaque et pour formuler des recommandations appropriées.
Contexte de l’attaque Pour rappel, l’attaque par ransomware contre Xplain, qui a été révélée au grand public début juin 2023, a eu des conséquences profondes. Les pirates informatiques, également connus sous le nom de gang Play, ont exposé des données sensibles issues de plusieurs polices cantonales ainsi que de divers organismes gouvernementaux, dont Fedpol, l’armée, l’OFDF, les CFF, Ruag, le SECO et le canton d’Argovie.
Enquête Parallèle en Cours En parallèle, le Préposé Fédéral à la Protection des Données et à la Transparence (PFPDT) mène ses propres investigations concernant les offices fédéraux touchés par l’attaque ainsi que le prestataire Xplain.
Les attaques de ransomware ont atteint un sommet alarmant en juillet, selon un rapport récent de l’équipe Global Threat Intelligence du NCC Group, une société spécialisée en cybersécurité. Le nombre d’incidents signalés a augmenté de manière choquante de 154 % par rapport à l’année précédente, passant de 198 attaques en juillet 2022 à un total de 502 en juillet 2023. Cette escalade représente également une augmentation de 16 % par rapport au mois de juin de la même année, où 434 attaques ont été recensées.
Pourquoi cette augmentation spectaculaire ?
Cette flambée des attaques est en grande partie imputée à l’exploitation de la vulnérabilité MOVEit par le groupe de ransomware Cl0p, également connu sous le nom de Lace Tempest. MOVEit est un service de transfert de fichiers développé par Progress Software. Le groupe Cl0p, d’origine russophone, a été la menace la plus active en juillet, responsables de 34 % des attaques signalées, soit 171 attaques au total. Jusqu’à présent, près de 500 organisations et des millions de personnes ont été touchées par leurs activités malveillantes.
Cl0p, qui est actif depuis 2019, cible spécifiquement des organisations d’importance. Récemment, le groupe a été impliqué dans le vol massif de données d’entités telles qu’Aer Lingus, Boots, le gouvernement de la Nouvelle-Écosse, l’université de Rochester, la BBC, British Airways et Shell.
Qui est en deuxième position ?
Le deuxième acteur malveillant le plus prolifique en juillet a été Lockbit 3.0, responsable de 50 attaques, soit 10 % du total. Néanmoins, il est à noter que cela représente une baisse de 17 % par rapport aux 60 attaques du mois de juin. De nouveaux acteurs ont également émergé le mois dernier, notamment NoEscap, un groupe qui exploite les vulnérabilités des réseaux privés virtuels (VPN), et qui a réussi à intégrer le top 10 des groupes les plus actifs avec 16 attaques à son actif.
Quels sont les secteurs les plus touchés ?
En ce qui concerne les secteurs les plus ciblés, l’industrie est en tête avec 155 attaques, représentant 31 % du total, suivi des biens de consommation avec 79 attaques (16 %) et de la technologie avec 72 attaques (14 %). L’Amérique du Nord a été la région la plus visée, avec 274 actes malveillants recensés, soit 55 % de l’ensemble, ce qui représente une augmentation de 51 % par rapport au mois de juin. L’Europe arrive en deuxième position, avec 43 %, soit une augmentation de 23 % par rapport au mois précédent, suivie par l’Asie avec 36 attaques (7 %).
Les Conséquences Dangereuses de cette Montée en Puissance
Ces données records démontrent la nature « continue et omniprésente » des attaques, analyse Matt Hull, responsable mondial des renseignements sur les menaces chez NCC Group. Face à l’arrivée de nouveaux acteurs et de nouvelles tactiques de piratage, NCC Group exhorte les organisations à rester vigilantes et à se tenir informées des évolutions dans l’écosystème de la cybermenace.
L’informatique est devenue un élément indispensable de notre vie quotidienne, que ce soit à la maison ou au travail. Cependant, l’utilisation intensive de l’informatique peut avoir un impact significatif sur l’environnement en raison de la consommation d’énergie élevée. Voici quelques astuces pour économiser l’énergie de son informatique et réduire son impact environnemental.
Comment économiser l’énergie de son informatique pour un impact environnemental réduit
Éteindre les appareils non utilisés L’un des moyens les plus simples pour économiser l’énergie est d’éteindre les appareils informatiques lorsqu’ils ne sont pas utilisés. Cela peut sembler évident, mais de nombreux utilisateurs laissent leur ordinateur en veille ou leur écran allumé sans s’en rendre compte. Il est important de développer des habitudes de travail qui encouragent l’extinction de l’informatique lorsque cela n’est pas nécessaire.
Utiliser des ordinateurs portables Les ordinateurs portables consomment généralement moins d’énergie que les ordinateurs de bureau en raison de leur taille et de leur conception plus efficace. Si possible, il est donc recommandé d’utiliser des ordinateurs portables plutôt que des ordinateurs de bureau pour économiser l’énergie.
Choisir des composants efficaces en énergie Lors de l’achat d’un nouvel ordinateur ou d’une nouvelle composante, il est important de choisir des produits efficaces en énergie. Les produits écoénergétiques sont souvent certifiés avec des labels spécifiques tels que l’Energy Star ou le label 80 Plus. Ces labels garantissent que les composants utilisent moins d’énergie et fonctionnent plus efficacement.
Mettre en place des paramètres d’économie d’énergie La plupart des systèmes d’exploitation informatiques permettent de configurer des paramètres d’économie d’énergie pour les périphériques tels que les écrans et les disques durs. Les paramètres d’économie d’énergie permettent de réduire la consommation d’énergie des appareils lorsqu’ils sont inactifs pendant une certaine période de temps. En configurant ces paramètres, il est possible de réduire significativement la consommation d’énergie de son informatique.
Éviter les écrans de veille animés Les écrans de veille animés sont souvent utilisés pour rendre l’ordinateur plus attrayant visuellement, mais ils consomment beaucoup d’énergie. Il est recommandé d’utiliser des écrans de veille statiques pour économiser l’énergie.
Éviter l’utilisation de papier L’utilisation de l’informatique permet de réduire considérablement la consommation de papier, ce qui est bénéfique pour l’environnement. Il est recommandé d’utiliser des programmes de traitement de texte et des outils de collaboration en ligne pour éviter l’utilisation de papier et économiser de l’énergie.
Le chaos informatique frappe la Fédération française de rugby à quelques mois de la Coupe du monde
La Fédération française de rugby est confrontée à un énorme défi alors qu’elle fait face à une cyberattaque impitoyable menée par un collectif de cybercriminels. Cette attaque survient à un moment critique, à moins de trois mois du coup d’envoi de la Coupe du monde de rugby prévue en septembre prochain. Les conséquences de cette intrusion sont désastreuses et risquent de perturber gravement les préparatifs de l’événement sportif le plus attendu de l’année.
La Fédération française de rugby sous le choc de la cyberattaque
Les pirates informatiques n’ont pas hésité à revendiquer cette attaque, mettant ainsi en lumière les failles de sécurité qui existent au sein de la Fédération française de rugby. Les détails exacts de l’attaque restent encore flous, mais il est clair que les criminels ont réussi à accéder à des informations sensibles et à perturber les systèmes informatiques de l’organisation. Cette intrusion a semé le chaos au sein de la fédération et a pris de court les responsables qui n’avaient pas prévu une telle attaque.
La menace qui plane sur la Coupe du monde de rugby
À quelques mois seulement de la Coupe du monde de rugby, cette cyberattaque soulève de nombreuses questions quant à la sécurité de l’événement. Les organisateurs et les autorités doivent désormais prendre des mesures urgentes pour remédier à cette situation alarmante et protéger les données sensibles de la fédération. Les conséquences de cette attaque pourraient être désastreuses si les mesures appropriées ne sont pas prises rapidement.
L’urgence d’une réponse appropriée et efficace
Face à cette situation critique, la Fédération française de rugby ne peut se permettre de rester les bras croisés. Une réponse immédiate et adéquate est nécessaire pour contrer les pirates informatiques et prévenir toute autre intrusion. Il est essentiel que les responsables de la sécurité informatique travaillent en étroite collaboration avec les autorités compétentes pour identifier les auteurs de cette attaque et les traduire en justice.
L’importance de la sécurité dans le sport
Cette cyberattaque contre la Fédération française de rugby souligne également l’importance croissante de la sécurité dans le monde du sport. Les organisations sportives, qu’il s’agisse de fédérations, de clubs ou d’événements, doivent prendre des mesures de sécurité renforcées pour se protéger contre les attaques informatiques. La confidentialité des données des athlètes et des fans, ainsi que le bon déroulement des compétitions, dépendent de la sécurité numérique.
La cyberattaque revendiquée par un collectif de cybercriminels contre la Fédération française de rugby tombe à un moment critique, à quelques mois seulement du début de la Coupe du monde de rugby. Les conséquences de cette attaque pourraient perturber sérieusement les préparatifs de cet événement majeur. Il est impératif que la
fédération et les autorités prennent des mesures rapides et efficaces pour contrer cette menace et protéger l’intégrité de la compétition. La sécurité informatique dans le sport devient une priorité absolue pour éviter de telles situations à l’avenir.
Les Signes Précurseurs d’une Attaque de Ransomware
Les attaques de ransomware sont de plus en plus fréquentes de nos jours. Ces attaques malveillantes peuvent avoir un impact dévastateur sur les entreprises et les particuliers. Il est donc essentiel d’être bien préparé pour faire face à une éventuelle attaque. Voici quelques signes précurseurs d’une attaque de ransomware à surveiller :
Ralentissement du système : Si votre ordinateur ou votre réseau devient subitement plus lent, cela peut être un signe d’une éventuelle infection par un ransomware. Les ransomwares peuvent consommer une quantité importante de ressources système, ce qui entraîne un ralentissement général.
Messages d’erreur inattendus : Si vous commencez à recevoir des messages d’erreur inattendus, en particulier lors de l’ouverture de fichiers ou de l’accès à des applications, cela peut être le signe d’une attaque imminente.
Fichiers chiffrés : Si vous constatez que certains de vos fichiers ont été chiffrés et que vous ne pouvez plus y accéder, il y a de fortes chances qu’une attaque de ransomware soit en cours.
Demande de rançon : Lorsque vous êtes victime d’une attaque de ransomware, les pirates informatiques exigent généralement une rançon pour déchiffrer vos fichiers. Si vous recevez une demande de rançon, il est crucial de ne pas céder au chantage et de signaler immédiatement l’attaque aux autorités compétentes.
Comment se Préparer à une Attaque de Ransomware ?
Il est essentiel de mettre en place des mesures préventives pour minimiser les risques d’une attaque de ransomware et pour être prêt à y faire face. Voici quelques bonnes pratiques à suivre :
Effectuer des sauvegardes régulières : Assurez-vous de sauvegarder régulièrement vos fichiers importants sur un support externe ou dans le cloud. De cette façon, même en cas d’attaque de ransomware, vous pourrez récupérer vos données sans payer de rançon.
Mettre à jour les logiciels et les systèmes : Les ransomwares exploitent souvent des vulnérabilités dans les logiciels et les systèmes obsolètes. Assurez-vous de maintenir vos logiciels et vos systèmes à jour pour réduire les risques d’attaque.
Sensibiliser les utilisateurs : La sensibilisation des utilisateurs est essentielle pour prévenir les attaques de ransomware. Organisez des formations et des sessions d’information pour informer les utilisateurs des risques potentiels et des mesures à prendre pour se protéger.
Utiliser une solution de sécurité complète : Installez un logiciel de sécurité fiable et mettez-le à jour régulièrement. Assurez-vous qu’il inclut une protection contre les ransomwares pour détecter et bloquer les attaques potentielles.
En conclusion, il est crucial de prendre les mesures nécessaires pour se préparer à une attaque de ransomware. La vigilance, les sauvegardes régulières, les mises à jour et la sensibilisation des utilisateurs sont des éléments clés pour renforcer la sécurité de vos systèmes. N’oubliez pas de signaler toute attaque de ransomware aux autorités compétentes afin de contribuer à la lutte contre ce fléau informatique.
Les escroqueries par SMS sont malheureusement devenues monnaie courante de nos jours. Les criminels exploitent la popularité des téléphones mobiles pour tenter d’arnaquer les utilisateurs. L’une des techniques les plus répandues est l’arnaque au faux SMS. Dans cet article, nous vous expliquerons comment vous protéger de cette fraude et éviter de tomber dans le piège.
La menace grandissante des faux SMS
Les faux SMS sont des messages frauduleux envoyés aux utilisateurs de téléphones mobiles, imitant souvent des communications légitimes provenant de banques, de sociétés de services publics ou d’autres institutions réputées. Les escrocs tentent d’obtenir des informations sensibles, telles que des données personnelles, des mots de passe ou des numéros de carte bancaire, en faisant croire aux destinataires qu’ils doivent prendre des mesures immédiates.
Comment reconnaître un faux SMS ?
Il est essentiel d’être vigilant et de savoir détecter les faux SMS. Voici quelques indices qui peuvent vous aider à les repérer :
Adresse d’expéditeur suspecte : Vérifiez attentivement le numéro ou l’adresse d’expéditeur du SMS. Les escrocs utilisent souvent des numéros ou des adresses qui semblent légitimes, mais qui comportent de légères variations ou des fautes d’orthographe.
Demande d’informations confidentielles : Soyez méfiant si un SMS vous demande de fournir des informations confidentielles, telles que votre numéro de carte bancaire ou votre mot de passe. Les institutions légitimes ne demandent généralement pas ces informations par SMS.
Ton alarmiste ou pressant : Les escrocs essaient souvent de manipuler les destinataires en créant un sentiment d’urgence. Si le SMS vous met sous pression pour prendre des mesures immédiates, il y a de fortes chances que ce soit une arnaque.
Comment se protéger contre les arnaques par SMS ?
Pour éviter de tomber dans le piège d’une arnaque par SMS, suivez ces conseils de sécurité :
Ne partagez jamais d’informations sensibles par SMS, à moins d’être absolument sûr de la légitimité de l’expéditeur.
Vérifiez toujours l’identité de l’expéditeur en contactant directement l’institution concernée. Ne cliquez pas sur les liens ou les numéros de téléphone fournis dans le SMS suspect.
Signalez les faux SMS aux autorités compétentes. Cela permettra de lutter contre les escrocs et de protéger les autres utilisateurs.
Conclusion
La vigilance est la clé pour se protéger des arnaques par faux SMS. Soyez sceptique, vérifiez l’authenticité de l’expéditeur et ne partagez jamais d’informations sensibles sans être certain de la fiabilité du SMS. En suivant ces conseils, vous réduirez considérablement les risques de tomber dans les pièges tendus par les escrocs. Soyez toujours sur vos gardes et protégez-vous contre ces arnaques sournoises.
Les rançongiciels sont un type de logiciel malveillant qui peut causer des dommages considérables aux entreprises et aux organisations en les bloquant l’accès à leurs données et en demandant une rançon pour les libérer. Cependant, il existe des moyens pour aider à limiter le risque de rançongiciels.
Conseils pour aider à limiter le risque de rançongiciel
Sensibilisation à la sécurité
La sensibilisation à la sécurité est l’un des moyens les plus importants de prévenir les attaques de rançongiciels.
Les employés doivent être formés sur les techniques d’ingénierie sociale et comment repérer les e-mails de phishing et autres messages suspects.
Les employés doivent également être conscients de l’importance de ne pas ouvrir de fichiers joints provenant de sources inconnues ou de télécharger des logiciels non approuvés.
Cela inclut des outils tels que des pare-feu, des logiciels antivirus et des logiciels de détection d’intrusion.
Ces outils doivent être mis à jour régulièrement pour assurer leur efficacité contre les nouvelles menaces.
Sauvegarde des données
Les entreprises doivent sauvegarder régulièrement leurs données pour minimiser les dommages causés par les attaques de rançongiciels. Les sauvegardes doivent être stockées sur des serveurs distants ou sur des disques durs externes protégés par mot de passe. Il est important de tester régulièrement les sauvegardes pour s’assurer qu’elles peuvent être restaurées en cas de besoin.
Mise à jour des systèmes
Les systèmes informatiques doivent être régulièrement mis à jour pour inclure les dernières mises à jour de sécurité et correctifs de vulnérabilité.
Les rançongiciels exploitent souvent des failles de sécurité dans les systèmes non mis à jour pour pénétrer dans les réseaux et causer des dommages.
Gestion des privilèges
La gestion des privilèges est importante pour empêcher les attaquants d’accéder à des informations sensibles ou à des fichiers critiques.
Les comptes utilisateur doivent être configurés avec les privilèges minimum nécessaires pour effectuer leurs tâches, afin de limiter les risques d’accès non autorisé aux données.
Pour aider à limiter le risque de rançongiciel, les entreprises doivent mettre en place une stratégie globale de sécurité informatique qui comprend la sensibilisation des employés, l’utilisation de logiciels de sécurité efficaces, la sauvegarde régulière des données, la mise à jour des systèmes et la gestion des privilèges.
En prenant ces mesures, les entreprises peuvent réduire considérablement le risque de rançongiciels et protéger leurs données et leur réputation.
L’Université Aix-Marseille, l’un des piliers de l’enseignement supérieur en France, a récemment été la cible d’une cyberattaque d’envergure. Cette attaque sournoise a pris de court l’établissement et a semé le chaos dans ses systèmes informatiques, mettant en péril la sécurité des données et perturbant les activités académiques. Plongeons dans les détails de cette attaque sans précédent.
L’université française, qui détient le plus grand nombre d’étudiants en France avec une population estudiantine de 80 000, a été la cible d’une attaque informatique en milieu de matinée. Heureusement, grâce à un système de surveillance efficace, l’alerte a été déclenchée immédiatement, permettant de prévenir d’importants dégâts potentiels. Cependant, l’université doit désormais mettre en place un plan de reprise d’activité afin de rétablir progressivement ses services.
Une cyberattaque inquiétante :
Cette attaque informatique, provenant apparemment d’un pays étranger, a mis en péril le fonctionnement normal de l’université. Si le système de surveillance n’avait pas réagi promptement, les conséquences auraient pu être désastreuses. Grâce à une alerte immédiate, le réseau a pu être coupé afin de prévenir toute propagation des dommages.
Un plan de reprise d’activité en action :
Pour remédier à cette situation, l’université a élaboré un plan de reprise d’activité qui sera mis en œuvre dès mercredi soir. Cette étape cruciale permettra de rétablir progressivement les services touchés par l’attaque. Les spécialistes en sécurité informatique travaillent sans relâche pour éliminer les vulnérabilités et restaurer l’intégrité du réseau.
La vigilance renforcée :
Face à cette attaque, l’université a renforcé ses mesures de sécurité. Des experts en cybersécurité sont mobilisés pour analyser les failles qui ont permis cette intrusion et prendre des mesures préventives pour éviter de futures attaques. La sensibilisation des utilisateurs aux bonnes pratiques en matière de sécurité informatique est également mise en avant afin de renforcer la résilience du système.
Une remise en route progressive :
Jeudi, l’université procédera à une remise en route progressive des services affectés. Cette approche prudente vise à garantir une réintégration sûre et sécurisée des fonctionnalités essentielles. Les équipes techniques et administratives travaillent en étroite collaboration pour minimiser les perturbations et rétablir rapidement les opérations normales.
L’attaque informatique ayant visé cette université française a été rapidement détectée et maîtrisée grâce à un système de surveillance efficace. La mise en place d’un plan de reprise d’activité témoigne de la volonté de l’université de faire face à cette situation et de restaurer son fonctionnement normal. La vigilance et les mesures de sécurité renforcées permettront d’éviter de futurs incidents similaires. L’université se mobilise pour garantir un environnement numérique sûr et protégé, essentiel à l’épanouissement et à la réussite de ses étudiants.
Dans un monde de plus en plus connecté, il est essentiel de prendre le contrôle de notre vie en ligne. Une entreprise en particulier a joué un rôle prédominant dans nos vies numériques, et il est temps de remettre en question cette dépendance. Ainsi, le mouvement « Dégooglisons Internet » a été initié pour offrir une alternative libre et respectueuse de notre vie privée. Dans cet article, nous explorerons les raisons pour lesquelles il est important de dégoogliser Internet et comment cela peut nous conduire vers une expérience en ligne plus éthique et autonome.
Pourquoi dégoogliser ?
Préserver notre vie privée :
La vie privée est un droit fondamental, et il est crucial de la protéger dans notre monde numérique. Dégoogliser Internet nous permet de reprendre le contrôle sur nos données personnelles. En utilisant des alternatives aux services de Google, nous pouvons réduire la quantité d’informations sensibles que nous partageons et ainsi minimiser les risques de surveillance et de violation de la vie privée.
Favoriser la diversité et l’innovation :
Google domine actuellement le marché en ligne, ce qui limite la concurrence et réduit les possibilités d’innovation. En dégooglisant Internet, nous encourageons la diversité des fournisseurs de services en ligne et ouvrons la porte à de nouvelles idées et solutions. Cela permet également de soutenir les petites entreprises et les projets open source qui cherchent à offrir des alternatives plus éthiques et respectueuses de la vie privée.
Comment dégoogliser ?
Recherche alternative :
L’une des premières étapes pour dégoogliser Internet est de trouver des alternatives aux services de recherche de Google. Des moteurs de recherche tels que DuckDuckGo ou Qwant offrent des résultats de recherche pertinents tout en respectant votre vie privée. Ils ne suivent pas vos activités en ligne ni ne collectent vos informations personnelles.
Messagerie et stockage des données :
Pour dégoogliser efficacement, il est important de se tourner vers des services de messagerie et de stockage des données indépendants de Google. Des alternatives telles que ProtonMail et Tutanota offrent un cryptage de bout en bout pour protéger vos communications en ligne. Quant au stockage des données, des services comme Nextcloud ou OwnCloud vous permettent de conserver le contrôle total de vos fichiers.
Système d’exploitation :
Un autre aspect crucial de la dégooglisation est le choix d’un système d’exploitation alternatif. Des projets tels que LineageOS ou Ubuntu Touch offrent des options open source pour smartphones et tablettes, vous permettant de vous éloigner des systèmes d’exploitation contrôlés par Google.
Dégoogliser Internet est un pas important vers une expérience en ligne plus libre et respectueuse de notre vie privée. En choisissant des alternatives aux services de Google, nous renforçons notre autonomie numérique et contribuons à la diversité et à l’innovation dans le monde en ligne. Il est temps de prendre le contrôle de notre présence sur Internet et de favoriser un Internet plus éthique et équitable
La numérisation croissante des opérations commerciales a permis aux entreprises d’assurance de simplifier les processus d’administration des polices, de gestion des sinistres et de paiement des prestations. Toutefois, cette numérisation accrue a également entraîné une augmentation des risques de cyberattaques et de violations de données pour les compagnies d’assurance.
La cyber sécurité par les compagnies d’assurance
Vulnérabilité des données sensibles
Les compagnies d’assurance gèrent une grande quantité de données sensibles telles que les informations personnelles des clients, les données de santé et les données financières. Les cybercriminels ciblent ces informations pour les utiliser dans des activités frauduleuses ou pour les revendre sur le marché noir. Les violations de données peuvent également entraîner des pertes financières importantes pour les entreprises d’assurance, notamment en raison des coûts liés à la notification des clients et des autorités, des amendes réglementaires et des pertes de réputation.
Risque de perturbation des opérations commerciales
Les cyberattaques peuvent également perturber les opérations commerciales des compagnies d’assurance en provoquant une interruption des services en ligne ou en rendant les données inaccessibles. Cela peut entraîner des perturbations importantes pour les clients et des pertes financières pour l’entreprise. Les attaques par ransomware, qui verrouillent les données de l’entreprise et exigent une rançon pour leur restitution, sont devenues particulièrement courantes ces dernières années.
Besoin de conformité réglementaire
Les compagnies d’assurance sont soumises à de strictes réglementations en matière de protection des données, notamment la loi sur la protection des données personnelles (RGPD) en Europe et la loi sur la confidentialité des renseignements personnels et électroniques (PIPEDA) au Canada. Les violations de ces réglementations peuvent entraîner des amendes importantes et des poursuites judiciaires, ainsi que des pertes de réputation.
Nécessité de la mise en place de mesures de sécurité
Les compagnies d’assurance doivent prendre des mesures pour protéger leurs données sensibles et leurs systèmes contre les cyberattaques. Cela peut inclure l’utilisation de technologies de pointe telles que la détection des intrusions, la protection contre les logiciels malveillants et la gestion des vulnérabilités. Les entreprises doivent également mettre en place des politiques et des procédures strictes pour gérer les risques de cybersécurité et former leur personnel pour identifier et signaler les menaces potentielles.
Problème de cyber sécurité et les compagnies d’assurance
La cybersécurité est un défi croissant pour les compagnies d’assurance, qui sont chargées de protéger les données sensibles de leurs clients tout en garantissant la continuité de leurs opérations commerciales. Les attaques par ransomware, les violations de données et les perturbations des opérations commerciales peuvent avoir des conséquences graves pour les entreprises d’assurance. Il est donc essentiel que les compagnies d’assurance prennent des mesures de sécurité adéquates pour protéger leurs systèmes et leurs données et garantir leur conformité réglementaire.
ChatGPT est visé par une plainte déposée par un député
Eric Bothorel, député français, a fait une demande auprès de la Commission nationale de l’informatique et des libertés (Cnil) en raison de la diffusion de propos inexactes le concernant par ChatGPT, un chatbot conversationnel développé par OpenAI.
MAJ 13/06/2023:OpenAI (ChatGPT) fait face à une poursuite en justice pour diffamation.
Un animateur de radio a porté plainte contre la société suite aux informations fausses générées par son chatbot, alléguant qu’il avait commis une fraude et détourné des fonds d’une organisation à but non lucratif.
ChatGPT, le robot conversationnel d’OpenAI, est utilisé par des millions de personnes, mais cette utilisation n’est pas sans risque. En effet, il peut inventer des informations, ce phénomène est connu sous le nom d’hallucination, et il a déjà valu au chatbot d’être la cible d’une plainte déposée par un député français en avril. C’est également la raison pour laquelle OpenAI est poursuivi pour diffamation pour la première fois.
Mark Walters, un animateur de radio américain, a donc déposé une plainte contre la société. Le chatbot ChatGPT a déclaré à son sujet qu’il était accusé d’avoir fraudé et détourné des fonds d’une organisation à but non lucratif.
Le député de la cinquième circonscription des Côte-d’Armor, Eric Bothorel, a déposé une plainte auprès de la Commission nationale de l’informatique et des libertés (Cnil) en vertu de l’article 5.1.d du règlement général européen sur la protection des données (RGPD), suite aux inexactitudes relevées dans les réponses fournies par l’intelligence artificielle ChatGPT d’OpenAI.
ChatGPT affirme que le député est né le 20 novembre 1961 à Morlaix, le 2 janvier 1975 à Guingamp ou le 12 juin 1967 à Saint-Brieuc, qu’il est maire de Lannion ou de Saint-Brieuc, qu’il est élu dans la 2ème circonscription des Côtes-d’Armor, et qu’il a travaillé en tant qu’enseignant, journaliste de télévision ou au sein des services de communication du groupe Orange et Havas.
Le député est né le 20 octobre 1966 à Paimpol, et il n’a jamais été maire, conseiller régional ou travaillé chez Orange ou Havas. Bien que ChatGPT ne soit pas un moteur de recherche, OpenAI est critiquée pour avoir produit des réponses plausibles mais incorrectes ou absurdes, générant de fausses informations.
A quand une plainte d’une IA contre une IA?
L’avènement de l’intelligence artificielle (IA) soulève de nombreuses questions éthiques et juridiques, y compris la possibilité qu’une IA puisse porter plainte contre une autre IA. Bien que cela puisse sembler futuriste, certains experts en IA affirment que cela pourrait se produire plus tôt que prévu. Dans cet article, nous allons examiner les différents aspects de cette question. LIEN
Le contexte éthique et juridique de la plainte d’une IA contre une autre IA
Les avancées de l’IA ont suscité des préoccupations éthiques et juridiques concernant leur impact sur la société. Les questions de responsabilité et de contrôle de l’IA sont au centre de ces préoccupations. La question de savoir si une IA peut porter plainte contre une autre IA soulève des questions encore plus complexes en termes de responsabilité et de réglementation. LIEN
Les raisons pour lesquelles une IA pourrait porter plainte contre une autre IA
Les raisons pour lesquelles une IA pourrait porter plainte contre une autre IA sont multiples. Par exemple, une IA pourrait porter plainte contre une autre IA pour violation de brevet ou de propriété intellectuelle. Les IA pourraient également porter plainte pour des raisons de sécurité, si une IA enfreint les protocoles de sécurité en place. Dans certains cas, une IA pourrait également porter plainte pour discrimination ou violation des droits de l’homme.
Les défis de la plainte d’une IA contre une autre IA
La plainte d’une IA contre une autre IA soulève des défis complexes, notamment en ce qui concerne la définition de la responsabilité et la détermination des dommages-intérêts. Les IA ne sont pas des personnes physiques et il n’existe pas de réglementation claire pour régir les actions des IA. En outre, il n’est pas clair comment les dommages causés par une IA pourraient être mesurés et réparés.
Les efforts pour résoudre ce défi juridique
Bien que la question de savoir si une IA peut porter plainte contre une autre IA soit encore en suspens, certains efforts sont en cours pour résoudre ce défi juridique. Certains juristes et experts en IA ont proposé des solutions telles que la création de tribunaux spécialisés dans les questions d’IA et l’élaboration de réglementations pour régir les actions des IA. Cependant, il reste encore beaucoup à faire pour clarifier cette question complexe.
Les implications de la plainte d’une IA contre une autre IA
Si une IA était autorisée à porter plainte contre une autre IA, cela aurait des implications majeures pour la société. Cela pourrait changer la manière dont les entreprises et les organisations utilisent l’IA, car elles devraient tenir compte de la possibilité d’être poursuivies en justice par une IA. Cela pourrait également avoir des implications pour la réglementation de l’IA et les questions de responsabilité dans l’utilisation de l’IA.
La possibilité qu’une IA porte plainte contre une autre IA soulève des questions complexes et sans réponse claire. Il est clair que la réglementation de l’IA doit être développée pour répondre à ces questions et régir l’utilisation de l’IA dans la société. Cela nécessitera une collaboration entre les experts en IA, les juristes et les décideurs politiques
Le rapport révèle que 41 % de ceux qui ont payé une rançon aux cybercriminels n’ont pas réussi à récupérer toutes leurs données.
Une menace de plus en plus présente pour les entreprises
Les fuites de données persistent
De plus, près d’un tiers (29 %) des entreprises ayant payé une rançon avaient encore des fuites de données.
L’augmentation des attaques de ransomware
Le rapport montre que 19 % des entreprises attaquées ont été victimes de ransomware, comparativement à 16 % l’année précédente. Cette augmentation peut être liée à la pandémie qui a entraîné une augmentation des cyberattaques en général.
En conclusion, le Rapport Hiscox 2022 sur la gestion des cyber-risques et ransomware montre que payer une rançon ne garantit pas la récupération de toutes les données et que les fuites de données persistent. De plus, l’augmentation des attaques de ransomware est un véritable défi pour les entreprises et leur sécurité informatique. Il est donc important de mettre en place des mesures de prévention et de protection pour limiter les risques et les impacts des attaques de ransomware.
Le Rapport Hiscox 2022 sur la gestion des cyber-risques et ransomware a mis en lumière une tendance inquiétante : les entreprises qui ont payé une rançon pour récupérer leurs données se retrouvent souvent confrontées à de nouveaux pièges.
Les dangers de payer une rançon
Payer une rançon peut sembler être la solution la plus rapide et la plus simple pour récupérer ses données, mais cela peut également exposer l’entreprise à de nouveaux risques. Les criminels peuvent par exemple exiger un deuxième paiement pour débloquer les fichiers, ou utiliser les informations récupérées pour mener d’autres attaques.
Les statistiques inquiétantes du rapport
Le Rapport Hiscox 2022 a révélé que 43 % des entreprises qui ont payé une rançon ont été confrontées à des problèmes supplémentaires. Parmi ces entreprises, 36 % ont été victimes d’une nouvelle attaque, 29 % ont vu leurs données volées ou exposées et ont été confrontées à des problèmes de confidentialité.
Les autres options à envisager contre les ransomwares
Face à ces risques, il est important pour les entreprises de considérer d’autres options pour récupérer leurs données, comme la restauration à partir de sauvegardes ou l’utilisation d’outils de décryptage. Les entreprises doivent également mettre en place des plans de réponse à l’incident pour minimiser les dommages en cas d’attaque.
La prévention des ransomwares, toujours la meilleure solution
La meilleure solution reste cependant la prévention. Les entreprises doivent mettre en place des mesures de sécurité solides pour éviter les attaques de ransomware, comme la sensibilisation des employés, la mise à jour régulière des logiciels et la sauvegarde régulière des données.
En conclusion, le Rapport Hiscox 2022 souligne l’importance pour les entreprises de considérer les risques associés au paiement d’une rançon et de prendre des mesures pour minimiser ces risques. La prévention reste la meilleure solution pour protéger son entreprise contre les cyber-attaques et les ransomwares.
L’Emotet Bank Trojan est un malware bancaire qui a été découvert pour la première fois en 2014.
Depuis lors, il a continué d’évoluer et de se développer, devenant l’un des logiciels malveillants les plus coûteux et les plus destructeurs pour les secteurs public et privé, les entreprises et les particuliers.
Au cours de l’année dernière, les chercheurs en sécurité ont observé une augmentation de l’utilisation de techniques d’infection alternatives par les logiciels malveillants.
L’Emotet Bank Trojan en particulier, a été remarqué pour sa capacité à se propager par le biais d’e-mails de spam et à utiliser des formats d’adresse IP non conventionnels pour échapper aux radars de détection.
Carte bancaire stockées dans le navigateur Chrome
Le 6 juin dernier, les chercheurs de la sécurité de Proofpoint ont découvert un nouveau module d’Emotet Bank Trojan qui est capable de voler des données de carte bancaire stockées dans le navigateur Chrome.
Ces informations sont ensuite transférées aux serveurs de commande et de contrôle.
L’EMOT utilise des fonctionnalités similaires à celles utilisées par les vers pour se propager à d’autres ordinateurs connectés. Cela lui permet de mieux se propager et de rester caché aux programmes anti-malware.
Selon le département américain de la sécurité intérieure, l’EMOT est l’un des logiciels malveillants les plus chers et les plus destructeurs pour les entreprises, les particuliers et les secteurs publics et privés, et les coûts de nettoyage peuvent coûter plus d’un million de dollars.
Apparence d’un montant électronique légitime
Pour se propager, l’EMOT utilise principalement des e-mails de spam. Ces e-mails peuvent contenir un support de marque pour prendre l’apparence d’un montant électronique légitime.
L’EMOT peut essayer de persuader les utilisateurs de cliquer sur des fichiers malveillants à l’aide d’un discours visant à essayer l’utilisateur, avec « votre facture », « des informations de paiement », ou peut-être une prochaine livraison d’un package connu.
Différentes versions d’EMOT sont déjà sorties, utilisant des fichiers JavaScript malveillants et des documents qui prennent en charge les macros pour regagner la charge utile du virus des serveurs de contrôle et de contrôle (C&C) fabriqués par les cybercriminels.
Il est crucial pour les entreprises et les particuliers de se protéger contre l’EMOT et les autres logiciels malveillants en utilisant des programmes de sécurité efficaces et en étant conscient des e-mails et des fichiers suspects.
Les cyberattaques sont de plus en plus fréquentes et visent un large éventail de secteurs d’activité. En 2023, voici quelques exemples de domaines qui pourraient être particulièrement ciblés par les cybercriminels :
Les cyberattaques en 2023
Cyberattaques sur les PME PMI: Les entreprises de toutes tailles et de tous secteurs : que ce soit les grandes multinationales ou les PME, les entreprises sont des cibles de choix pour les cyberattaques en raison de la quantité de données sensibles qu’elles gèrent et de la valeur qu’elles représentent pour les criminels.
Systèmes de gouvernance et de sécurité: Les organisations gouvernementales et les services de sécurité : les cybercriminels peuvent tenter de s’en prendre aux systèmes de gouvernance et de sécurité d’un pays dans le but de compromettre la stabilité politique ou de voler des informations sensibles.
Autres cibles potentielles: Les infrastructures critiques : les systèmes de transport, d’énergie et de communication sont essentiels pour le bon fonctionnement de la société, ce qui en fait des cibles potentielles pour les cyberattaques.
Hôpitaux + pénuries de personnel et de budget: Les établissements de santé : les hôpitaux et autres établissements de santé gèrent des quantités importantes de données sensibles et sont souvent confrontés à des pénuries de personnel et de budget, ce qui peut rendre leur système de sécurité informatique vulnérable aux attaques.
Vous: Les individus : les cybercriminels peuvent cibler les particuliers pour voler leur identité, leur argent ou tout simplement pour perturber leur vie quotidienne.
Il est important de rester vigilant et de mettre en place des mesures de sécurité adéquates pour protéger son entreprise ou sa vie personnelle contre les cyberattaques.
Lorsque vous décidez de recycler ou revendre votre ordinateur, il est essentiel de penser à effacer correctement toutes les données qui y sont stockées. En effet, il est très facile de récupérer des fichiers même lorsqu’ils ont été « effacés » de manière classique, ce qui peut être très dangereux pour votre vie privée et votre sécurité.
Bien effacer vos fichiers avant de recycler votre ordinateur
Il existe plusieurs méthodes pour effacer correctement vos fichiers avant de revendre votre ordinateur. Voici quelques exemples :
La réinitialisation de l’ordinateur : cette méthode consiste à remettre votre ordinateur dans l’état où il était lorsque vous l’avez acheté. Toutes les données personnelles et les programmes installés seront effacés et votre ordinateur sera prêt à être utilisé par un autre utilisateur.
L’effacement physique : cette méthode consiste à détruire physiquement les disques durs de votre ordinateur. Cette solution est très radicale mais garantit que vos données ne seront jamais récupérables.
L’effacement logiciel : il existe de nombreux logiciels spécialisés dans l’effacement de données. Ces outils permettent d’effacer de manière sécurisée vos fichiers et de les rendre totalement irrécupérables.
La sauvegarde : avant de revendre votre ordinateur, vous pouvez également opter pour la sauvegarde de vos données sur un autre support (disque dur externe, clé USB, etc.). Cela vous permettra de conserver vos fichiers de manière sécurisée et de les retrouver facilement lorsque vous en avez besoin.
Il est important de choisir la méthode qui convient le mieux à vos besoins et à votre niveau de sécurité.
Titan-informatique et la destruction de données
Notre entreprise basée sur la Ville de la Crau vous propose des services de nettoyage et de sauvegarde informatique pour vous aider à effacer correctement vos fichiers avant de recycler votre ordinateur. Nous utilisons des outils professionnels pour sécuriser vos données et les rendre totalement irrécupérables, de manière à ce que vous puissiez recycler votre ordinateur en toute tranquillité.
Conseils pour la gestion de vos données
Notre équipe de techniciens expérimentés vous accompagne tout au long de la procédure de nettoyage et vous fournit des conseils et des astuces pour protéger votre vie privée et votre sécurité informatique. Nous proposons également des services de sauvegarde pour vous permettre de conserver vos données de manière sécurisée et de les retrouver facilement lorsque vous en avez besoin.
N’hésitez pas à nous contacter pour en savoir plus sur nos services de nettoyage et de sauvegarde informatique sur la Ville de la Crau.
Nous sommes à votre disposition pour répondre à toutes vos questions et vous aider à effacer correctement vos fichiers avant de revendre votre ordinateur.
Chez Titan-informatique, entreprise d’informatique pour professionnels basée à Hyères.
Nous sommes une entreprise spécialisée dans les solutions informatiques pour les professionnels de tous les secteurs. Nous proposons une gamme complète de services et de produits pour répondre à tous vos besoins en matière de technologie de l’information.
Expertise informatique
L’équipe d’experts en informatique est à votre disposition pour vous conseiller et vous accompagner dans vos projets informatiques. Une expertise est à votre disposition pour vous aider à optimiser vos processus de travail et à améliorer votre productivité.
Nous proposons également une gamme de produits informatiques de qualité pour équiper votre entreprise. Nous avons des ordinateurs de bureau, des ordinateurs portables, des imprimantes et des accessoires pour répondre à tous vos besoins en matière de matériel informatique.
Offres informatique
En plus de nos services et produits, nous proposons également des solutions de gestion de la sécurité informatique pour protéger votre entreprise des menaces en ligne.
L’entreprise propose également en mesure de vous fournir des solutions de sauvegarde de données pour assurer la protection de vos informations sensibles.
Titan-informatique, entreprise de services informatiques offre une gamme complète de services pour répondre à tous vos besoins en matière de technologie.
Que vous cherchiez de l’assistance pour votre ordinateur personnel ou pour votre entreprise, nous sommes là pour vous aider.
Nos techniciens qualifiés sont à votre disposition pour résoudre tous vos problèmes informatiques, de la réparation de matériel à la mise en place de solutions logicielles.
Nous proposons également des services de conseil et de formation pour vous aider à tirer le meilleur parti de votre technologie.
N’hésitez pas à nous contacter pour discuter de vos besoins en matière d’informatique et pour découvrir comment nous pouvons vous aider à améliorer votre entreprise.
Nous sommes impatients de vous aider à atteindre vos objectifs.
Des nouvelles récentes ont été riches en cyber-attaques « ransomware ». L’interdiction de payer les rançons peut-elle résoudre le problème?
En finir avec les Ransomware en interdisant le paiement de la rançon?
Les serveurs de votre entreprise refusent soudainement de travailler. Toutes les données (y compris vos sauvegardes) sont cryptées et que personne ne peut y accéder. C’est l’arrêt total de l’activité. Le diagnostic tombe rapidement: c’est un ransomware (ransomware). Les pirates vous appellent cryptos en échange d’un remède qui vous permet d’accéder à nouveau à vos données. De plus, les pirates menacent de commencer à révéler vos données si vous ne payez pas. SUITE
Bien que les cybercriminels soient différents, les cybercriminels se sont illégalement appropriés, les données personnelles d’une personne, la cybercriminalité (Ransomware, virus, etc…) sont un sujet très « topique », avec une augmentation sans précédent au cours des dernières années. Répondre en cas d’attaques et les bons réflexes de la cybersécurité à adopter afin de se protéger légalement.
Ransomware Comment réagir en cas d’attaque?
Contre Cybermen: Protection des données à caractère personnel et prévention des erreurs de sécurité L’Agence nationale de la sécurité informatique (ANSI) a traité 104 cas de ransomware ou de classement des attaques en 2021, soulignant l’importance d’adopter des systèmes informatiques sûrs pour limiter le risque d’attaques rapides. Un type d’attaque dont l’agence européenne du réseau et de l’informatique conteste-t-elle en majorité et faisant actuellement partie des 15 menaces les plus importantes.
Dans le cadre de la crise de la santé CVIV-19, nous avons pu observer une transition plus qu’une grande transition au numérique, ce qui a pour conséquence de faciliter pratiquement l’accès aux données à caractère personnel par l’un des cybercriminels.
La gravité de l’utilisation des systèmes informatiques n’a augmenté que le nombre d’attaques ainsi que leur gravité; Les attaquants saisissent cette occasion pour eux une occasion d’or de lancer des attaques ciblées sur des systèmes fragiles.
Compte tenu de l’augmentation impressionnante de la fréquence, mais également de la portée des cyberattaques depuis 2018, les gouvernements n’ont plus la possibilité de simplement ignorer ce sujet. En fait, la protection des données à caractère personnel ainsi que la prévention des erreurs de sécurité est devenue une priorité incontournable de toute forme d’organisations dans le monde entier.
Arrêt sur Image, Mediapart, l’ADN ou encore Reflets sont également attaqués par cette société.
L’effet Streisand désigne un phénomène médiatique involontaire. Cela survient lorsque nous voulons empêcher la divulgation d’informations que nous aimerions cacher – qu’il s’agisse d’une simple rumeur ou d’un fait véridique – nous déclenchons le résultat opposé.
MAJ:
Le 28 juin, les journalistes de Next INpact ont annoncé un papier sur la société Avisa Partners, désigné par Fakir et MediaPart pour une désinformation massive. Elle aurait transmis des articles pour une désinformation sur des sites alternatifs spécialisés et des blogs de médias bien connus tels que MediaPart et Les Échos.
Avisa Partners est un groupe de conseil français spécialisé dans la redatation électronique, la cybersécurité, l’intelligence financière, l’enquête et les relations publiques. Son siège social est situé à Paris et la société est présente dans sept autres pays.
Il est publiquement accusé de désinformation de plusieurs études journalistiques, en 2015 dans l’affaire des tribunes fantômes créée à l’occasion de l’OPA du clubMed et en 2022 dans le cadre des fichiers Uber pour avoir manipulé de grandes informations à l’échelle sur de nombreux médias en ligne ainsi que sur Wikipedia.
Avisa Partners n’aime pas que la presse enquête sur ses activités de lobbying et ses méthodes.
Les données récemment publiées, mettent en évidence la croissance des attaques de ransomware, selon cybermalveillance.gouv.fr.
Ransomware Les dépôts de plaintes ne sont pas encore au top!
Le 24/11/2021 Service statistique ministériel de la sécurité intérieure (SSMSI) publie pour la première fois une étude sur les attaques de classement des entreprises et des institutions. Les résultats présentés dans cette étude proviennent d’un premier travail exploratoire. La cyberdelinquance ne correspond pas à une infraction ou à l’un de l’indice d’état 4001 (série historique suivie du ministère de l’Intérieur), mesurant le phénomène développé.
Entre 2016 et 2020 enregistré des services de police et de la gendarmerie nationale entre 1.580 et 1.870 procédures relatives aux attaques de logiciels malveillants (classement d’une rançon d’un accès à l’accès aux données). Les entreprises et les institutions. Quelle que soit l’estimation conservée, la tendance est la même.
En particulier, conformément à l’estimation haute, le nombre de procédures ouvertes dans le cadre d’attaques de rang plus 3% par an jusqu’à 2019, avec une accélération entre 2019 et 2020 (+ 32%).
Bien que ce phénomène est en place, les procédures en rapport avec les attaques et les institutions des entreprises ne représentent que 15% des attaques sur les systèmes de traitement automatisé des données enregistrées entre 2016 et 2020.
Certains secteurs d’activité sont plus ciblés que d’autres. Le secteur industriel est particulièrement touché: Elle équivaut à 15% des victimes enregistrées contre 7% de la substance économique en France. De même, le secteur de l’administration publique, l’éducation, la santé humaine et de l’action sociale est surreprésenté: 20% des victimes de 13% des institutions en France.
A propos SSMSI. SSMSI est le service statistique responsable de la sécurité intérieure, le ministère de l’Intérieur. Sa mission est de produire et de rendre publics à la disposition des statistiques publiques et des analyses sur la sécurité intérieure et de la criminalité. Il compose avec l’Insee et 15 autres services statistiques du département service statistique public. En tant que tel, SSMSI respecte un certain nombre de règles pour maintenir la confiance dans les informations produites et diffusées, en particulier l’indépendance professionnelle, la fiabilité, la neutralité, la qualité des processus, la méthode solide, la disponibilité.
Comme les autres membres de services statistiques publics, son programme de travail fait l’objet d’une consultation de tous les utilisateurs du Conseil national de l’information statistique (CNIS), et son activité est évaluée par la statistique publique (ASP).
Avez-vous reçu un message douteux qui contient des pièces jointes ? Avez-vous trouvé une clé USB par hasard ? Prenez soin de ransomware ou rançongiciels ! Vos données peuvent être chiffrées et c’est le drame! Voici des conseils pour réduire les risques.
Conseils pour vous protéger des ransomwares
Qu’est-ce qu’un ransomware ou rançongiciels?
De plus en plus, vous recevez des messages douteux contenant des pièces jointes ou des liens qui vous invitent à les ouvrir. Il faut se méfier ! Malvey -Software appelé « rançon » ou « ransomware » peut s’y cacher. Leur objectif ? Cryptez (COD) vos données pour vous faire une rançon. Bien sûr, cela ne garantit pas la récupération de vos données. Il est donc préférable de vous protéger de ce type d’attaque.
Comment vous protéger des ransomwares?
Comment vous protéger des ransomwares?
Bonne attitude N ° 1: Faites des sauvegardes régulières de vos données (eCura.fr)
C’est la meilleure façon de couper l’herbe sous le pied des pirates qui veulent prendre vos données comme otages! Déplacez la sauvegarde physique de votre réseau (hors du réseau), placez-la dans un endroit sûr et assurez-vous qu’il fonctionne!
Bonne attitude N ° 2: N’ouvrez pas les messages dont l’origine ou le formulaire est discutable
Ne soyez pas trompé par un simple logo! Pire encore, le pirate a peut-être récupéré certaines de vos données plus tôt (par exemple, les noms de vos clients) et créer des adresses électroniques E qui ressemblent à un détail proche de vos interlocuteurs habituels.
Alors gardez beaucoup de vigilant! Certains messages semblent complètement authentiques.
Apprenez à identifier les emails E (ou d’autres formes de récupération de vos données) sur le site à l’Agence nationale pour les systèmes d’information (ANSSI).
Bonne attitude N ° 3: Apprenez à identifier les extensions douteuses
Vous recevez généralement des fichiers .doc ou .mp4 (par exemple) et le fichier de message que vous êtes dans le doute se termine par un autre type d’extension ? Ne les ouvrez pas ! Voici quelques exemples d’extensions douteuses: .pif, .com, .bat; .Exe, .vbs, .lnk, … Prenez soin de l’ouverture des pièces jointes du type .scr ou .cab. Comme l’agence nationale pour les systèmes d’information (ANSSI) se souvient, ce sont des extensions de compression des campagnes CTB-Locker qui rage entre les individus, les PME ou la mairie.
Bonne attitude N° 4 : mettez à jour vos principaux outils
On ne vous le dira jamais assez : traitement de texte, lecteur PDF, navigateur, mais aussi antivirus… Veillez à mettre à jour vos logiciels !
Si possible, désactivez les macros des solutions de bureautique qui permettent d’effectuer des tâches de manière automatisée. Cette règle évitera en effet la propagation des rançongiciels via les vulnérabilités des applications.
Considérez que, d’une manière générale, les systèmes d’exploitation en fin de vie, qui ne sont plus mis à jour, donnent aux attaquants un moyen d’accès plus facile à vos systèmes.
Bonne attitude N ° 5 : Utilisez un compte « utilisateur » plutôt qu’un compte « administrateur »
Évitez de naviguer à partir d’un compte administrateur. L’administrateur d’un ordinateur a un certain nombre de privilèges, comme effectuer certaines actions ou accéder à certains fichiers cachés sur votre ordinateur. Préférez l’utilisation d’un compte utilisateur. Cela ralentira, même, découragera le voleur dans ses actes malveillants.
Informations bancaires, papiers d’identité, adresses électroniques etc … Plus de 80 000 membres de l’assurance EMOA du Var piratées. Vous étiez ainsi parmi les personnes voyants leurs données personnelles fuiter sur Internet, rapporte libération ce vendredi. En mars 2022, des informations confidentielles avaient déjà été divulguées en ligne et la mutuelle avait informé les abonnés en question.
Données personnelles d’environ 80 000 membres de l’assurance Varoise mutuelle EMOA ont été piratées
Mais selon le journal, il y a eu une fuite encore plus massive en avril. La compagnie d’assurance mutuelle a été informée par le journal que des informations personnelles sur plus de 80 000 de ses membres étaient en ligne sur des plateformes cybercriminelles. Elle n’était pas au courant de la fuite de données. Devis installation informatique
Pour la plupart des victimes, seuls les noms et noms de famille, les dates de naissance, les codes postaux et les adresses e-mail E ont été révélées sur des sites illégaux. Les numéros de sécurité sociale de près de 3 000 membres ont été partagés sur le marché Internet noir. Pour une partie mineure, les photocopies de leurs passeports ou leurs coordonnées bancaires (Rib, Iban, BIC) trouvées en ligne, mises à disposition sur les forums cybercriminels. Enfin, des données sensibles liées aux employés mutuelles ou aux contrats clients ont également été volées. Une première fuite de données a eu lieu en mars 2022. Il existe alors un fichier de vente qui contient des informations personnelles sur 74 000 membres d’Emoa Mutual. Cette première attaque contre les serveurs a permis de collecter les noms des clients ainsi que de leur numéro d’adhésion, de leur adresse, de leur date de naissance et de leur e -mail. Mais les choses ont empiré. L’un des fichiers contient une certaine quantité de liens hypertextes qui rapportent aux contrats des membres. C’est alors une mine d’or pour le pirate qui s’ouvre. Sans protection, nous trouvons tous les documents qui vous permettent de vous inscrire à l’organisation de protection de la santé. Nous pouvons donc compter les côtes, des lettres sur la démission, des certificats d’assurance maladie (donc le numéro de sécurité sociale) et même des certificats d’enregistrement d’entreprise. Il y a encore pire… les copies d’une vingtaine de documents d’identité sont dans un accès gratuit absolu. Selon la libération qui a mené l’étude : « En réalité, sans même avoir le fichier vendu par les pirates, des outils simples fourniraient des étirements pour scanner l’endroit entier et réaliser facilement tous les précieux documents mal protégés. » Une erreur qui semblait refléter ce que l’on se demande comment une mutuelle pourrait la laisser partir pendant des années.
Six ans après le lancement, Europol vient de publier son évaluation de « No More Ransom« . Lancé en 2016 avec la police néerlandaise et les SSI/SOC, cette agence européenne, coordonnant les polices de l’Union européenne.
Dans son dernier communiqué de presse, Europol ne mentionne pas une estimation des économies autorisées par les décrypts. Cependant, lors d’une conférence de presse, cependant, l’agence a parlé d’un déficit potentiel d’environ 1,5 milliard de dollars, comme de nombreux euros. Une estimation basée sur une rançon rémunérée moyenne de 1 000 $.
« Plus de 188 partenaires publics et privés ont rejoint le programme et ont régulièrement fourni de nouveaux outils de décryptage pour les dernières tribus malveillantes », a déclaré Europol. L’Agence européenne met l’accent sur les débris en magasin contre Gandcrab ou Revil / Sodinokibi.
En 2021, 15 nouveaux décrypteurs ont été mis à disposition. Ces derniers mois, Emsisoft a par exemple publié à la fin décembre un outil contre NoWay. Cet éditeur a également publié des décrypteurs pour Diavol, Maze, Egregor et Sekhmet. La société Avast avait quant à elle sorti des parades à TargetCompany et à HermeticRansom. LIEN
La déstabilisation, l’espionnage, le sabotage et la demande de rançons constituent les principales menaces pour votre installation informatique.
Les principales menaces informatiques pour les entreprises
Réalisé par un grand nombre d’acteurs, de l’individu isolé aux organisations offensives d’État, les attaques sont rarement limitées à une seule technique. Si les tendances généralement observées sont plutôt attribuées à la déstabilisation (défigurations, informations sur les données et contrôle) aux hacktivistes, aux ransomwares et au phishing aux cybercriminels, à l’espionnage aux concurrents et aux États, nous notons également que les attaques simples peuvent être le fait d’états et d’attaques complexes en fait en fait groupes ou structures criminelles organisées. Les conséquences de l’attaque sont liées à une variété de questions. L’étendue financière dépasse loin des positions informatiques à remplacer ou des systèmes à reconsidérer entièrement. Département de service, défigurations, exfiltration et informations sur les données, contrôle d’un système informatique: La crédibilité de l’organisation de l’offre est en jeu … Ces quatre types d’attaques largement utilisés par les hacktivistes visent essentiellement à saper l’objectif de l’image. Très souvent, des attaques en temps réel sont nécessaires sur les réseaux sociaux ou les lieux spécialisés. La combinaison d’une attaque informative (utilisation des réseaux sociaux pour renforcer) avec une attaque informatique maximise cette recherche de dégâts d’image. S’ils sont souvent le résultat de hacktivistes, ces attaques sont parfois également engagées ou même organisées pour les mêmes raisons pour la recherche de dommages à l’image ou de discréditer leurs objectifs auprès de concurrents, d’employés malheureux ou même par des organisations. Pour atteindre leurs objectifs, les attaquants choisissent différents types d’attaques en fonction du niveau de protection de leurs objectifs et de leur contexte.
La télécommande d’un système informatique reste un objectif ou même une condition préalable pour de nombreuses attaques informatiques notées par eCura.fr. Dans le cas d’une révélation publique d’un tel événement, la participation à l’image et à la crédibilité est également préjudiciable à sa victime. L’attaquant exploite généralement des vulnérabilités bien connues ainsi que les faiblesses de la sécurité du système informatique: mauvaise configuration, échec à utiliser les mises à jour de l’éditeur. …, qui constitue une grande surface d’exposition pour l’attaque.
« En seulement quatre mois, le nombre d’entreprises attaquées par des ransomware est déjà égal à 50% de 2021. La menace de ransomware reste également élevée avec 35 à 40 groupes actifs », avertit Alban Ondrejeck, expert en cyberdéfense et co-fondateur de Anozr Way, une startup française spécialisée dans l’analyse des données exposées sur le Web, Darkweb et la protection des personnes à la lumière des cyber risques, à l’origine du baromètre. Son étude montre 1 142 attaques représentant 80 pays influencés par 42 groupes de ransomwares entre janvier et avril 2022.
Plus de 650 millions € de chiffre d’affaires perdu par les entreprises Françaises sur 4 mois.
Plus de 650 millions € de chiffre d’affaires perdu par les entreprises Françaises sur 4 mois.
Les autres points forts de la période sont le secteur de l’énergie, particulièrement ciblé par les cyberattaques dans le monde. En quatre mois, « il y a déjà +138% des sociétés énergétiques victimes de ransomwares par rapport à l’ensemble de 2021 ».
Les données de presque 170 000 Français rendu disponible sur internet suite aux attaques.
Les données de presque 170 000 Français rendu disponible sur internet suite aux attaques.
Toute la chaîne de production est affectée : les industries d’extraction, le transport, le stockage, la distribution.
Coût ? 128 000 € en moyenne par entreprise.
Coût ? 128 000 € en moyenne par entreprise.
Ransomware ou « Rançongiciel » en français est une technique d’attaque cybercriminel qui consiste à infiltrer l’appareil de la victime et à installer des logiciels malveillants qui interfèrent avec la fonction du système informatique et, à leur tour, les données. Seul le paiement d’une rançon de la victime de l’attaquant permettrait de faire déchiffrer la clé. L’impact financier des sociétés françaises est estimée à 660 millions d’euros de perte cumulative de revenus.
Une entreprise Française sur deux victimes de ransomwares est une TPE-PME.
Une entreprise Française sur deux victimes de ransomwares est une TPE-PME.
Les coûts comprennent la perte directe et indirecte de l’entreprise. Plus précisément, ceux correspondant au coût de la réponse à l’incident et à la gestion de la crise (ressources humaines supplémentaires pour répondre à l’attaque, aux frais juridiques, etc.), mais aussi indirectement liés à la perturbation des activités. Ce montant estimé n’inclut pas le paiement possible d’une rançon , qui peut représenter une moyenne de 128 000 € par entreprise. La France serait le troisième pays le plus touché de l’Union européenne. LIEN
Un projet conjoint sur Cybercampus avec plusieurs acteurs privés montre les attaques en Ukraine depuis le début de la guerre et propose de télécharger des fichiers pour éviter les attaques.
Une plate-forme française montre des cyber-menaces contre l’Ukraine
Nous pouvons parler d’une première initiative conjointe depuis le lancement de Cyber Campus en février. Une plate-forme de collaboration montre les cyber-menaces les plus importantes qui ont émergé depuis l’invasion de l’Ukraine de la Russie. Plus qu’un simple lieu d’information montre que ce portail est des rapports sur les derniers logiciels malveillants.
Encore mieux, tout gestionnaire informatique d’une entreprise peut télécharger des fichiers contenant des informations malveillantes utilisées en Ukraine pour sécuriser davantage le système de protection informatique. Par conséquent, un montant électronique ou un lien frauduleux utilisé auparavant dans le conflit peut être détecté par un logiciel, une fois mis à jour. Tous les rapports et fichiers à télécharger peuvent être trouvés dans la section Portal Share. LIEN
Des gangs de ransomware professionnels, des techniques appliquées principalement approuvées, qui comptent à la fois sur l’ingénierie sociale (convaincre une personne de faire une action ingénieuse dangereuse, comme cliquer sur un lien !!!) et l’utilisation de faiblesses de la entreprise affectée en raison d’infrastructures insuffisamment blindées.
Comment restreindre les risques des Ransomwares
Cert.be, une organisation qui dépend du Centre belge de Cyber sécurité, a publié un document d’accès gratuit réservé aux Ransomwares.
Le principe est simple mais efficace. Caché dans une pièce jointe, ce virus figure partiellement ou complètement les données informatiques, mais également celles partagées par les différents partenaires. Nous ne pouvons pas les ouvrir plus au travail.
Dès que l’infection a commencé, un message apparaît sur l’écran de l’ordinateur qui invite les gestionnaires d’entreprise (mais les individus sont également ciblés …) à payer le plus tôt possible une rançon (entre 500 et 3000 €). S’ils ne courent pas rapidement, le pirate avertit que les données seront perdues pour toujours. LIEN
Akka Technologies, un groupe d’ingénierie et de conseil français, a été frappé par une attaque de ransomware qui affectent une bonne partie de l’entreprise et les 21 000 employés.
Le groupe d’ingénierie français Akka est affecté par une attaque au ransomware
Akka est l’un des plus grands conseils technologiques et technologiques européens. Il vient d’être acheté par le groupe suisse Adecco, qui l’a retiré début mai à la Bourse. Adecco fusionnera l’entreprise avec sa filiale MODIS, qui se spécialise également dans l’ingénierie, pour créer un nouveau géant de service en technologie capable de rivaliser avec des acteurs plus importants dans le secteur tels que Cap Gemini.
Ingénierie, pour créer un nouveau géant de service dans une technique capable de concurrencer les plus grands acteurs du secteur en tant que Cap Gemini.
Il s’agit d’une attaque de ransomware où le pirate trouve les données sur sa victime et revendique une rançon pour donner les clés pour déchiffrer. Akka Technologies ne veut pas donner de détails sur l’étendue de l’attaque pour ne pas informer l’attaquant.
L’assurance cybersécurité est un élément essentiel d’une stratégie de gestion des risques saine qui vise à atténuer correctement les pertes (financières).
Assurance Cyber pour Grandes Entreprises
Tokio Marine HCC, propose une assurance cybersécurité qui offre une protection complète et innovante, y compris la prévention de l’incident, la réponse aux crises et à l’expertise après l’attaque.
Les PDF ci-dessous montre la types d’attaques standard pour chaque cyber-période. Étant donné que la nature d’une attaque cyber peut avoir une profonde influence sur une entreprise, intervenez rapidement!
Dans son dernier rapport annuel sur les cyberattaques, Tokio Marine HCC International (TMHCCI) a établi le classement des 10 plus grands hacks en 2021. La compagnie d’assurance estime que les dommages s’élèvent à 600 millions de dollars.
Lincoln College, une université américaine située dans l’État de l’Illinois, ferme ses portes ce vendredi après une cyberattaque de type ransomware qui a duré des mois maintenant. NBC News rapporte qu’il s’agit de la première université qui se termine en raison d’une attaque de ransomware. L’université prétend avoir enregistré un nombre record de l’inscription des étudiants à l’automne 2019. Cependant, la pandémie de covid-19 a provoqué une diminution significative de l’inscription, certains étudiants qui ont choisi de reporter leur entrée à l’université ou de faire une pause . Le Lincoln College – l’un des rares zones ruraux qualifiés en tant qu’établissement noir prédominant du ministère de l’Éducation – a déclaré que cela avait affecté sa situation financière.
En décembre 2021, l’université a subi une cyberattaque importante des ransomwares. Les pirates ont réussi à bloquer l’accès à tous les systèmes nécessaires aux efforts de recrutement, de fidélité et de collecte de fonds, et nécessitent une rançon pour débloquer la situation. Ce n’est qu’en mars 2022 de sortir de la situation. Mais il y a eu des déficits d’enregistrement importants qui ont besoin d’un don de transformation ou d’un partenariat pour soutenir le Lincoln College au-delà du semestre en cours.
Lincoln College est né il y a 157 ans en 1865. Il fermera donc ses portes le 13 mai 2022. L’université s’engage à aider les étudiants à passer à une nouvelle école. LIEN1/ LIEN2
Le renforcement du niveau de sécurité numérique du secteur de la santé est une priorité pour Ministère de la solidarité et de la santé. En ce qui concerne la sécurité opérationnelle, l’agence de La santé numérique joue un rôle central, d’autant plus que l’intégration de la santé cert à Inter-Fr en janvier 2021. Aujourd’hui plus que jamais, mobiliser tous les acteurs, les directions, les experts techniques et Les personnes de santé sont nécessaires pour faire face aux menaces de cybercriminalité intensifié dans un contexte général instable. 2021 ont été marqués par de nombreux incidents majeurs attachés à l’attaque par Ransomicial (CH de Dax, Villefranche-sur-Saône ou Arles), mais aussi à l’exfiltration massive de Données (AP-HP et toujours récemment CNAM1 ). Cependant, il n’y a pas eu d’attaque jusqu’à présent Les coordonnées visaient fortement à inorganiser le système de soins français. En 2021, CERT Health, qui a également obtenu la mission de prévention et d’alarme Les menaces de cybersécurité avec les services de santé et de médecine, administrées Déclarations à double événement (733) par rapport à 2020. Cette augmentation s’explique en partie par les incidents que les prestataires de services rencontrent (en particulier les hôtes) avec une part de marché importante. Des centaines de structures Ainsi, les secteurs de la santé et des médicosociaux (40% des événements signalés) ont été affectés. L’énoncé mensuel moyen de l’énoncé a également augmenté de 33% même s’il reste relativement bas en ce qui concerne le nombre de structures concernant cette obligation de annulation. La Déclaration des entreprises et services médicosociaux augmente fortement (multiplié par 4) par rapport à 2020, en particulier pour les entreprises qui accueillent les gens dans une situation avec Handicap qui atteste leur bonne compréhension de l’extension du système à leur secteur de l’activité. Avec Ségur You Digital Health and France Relatements, Ministère de la solidarité et de la santé, avec un soutien opérationnel de l’année et ANSSI a investi massivement dans l’amélioration de Sécurité des systèmes d’information sur la santé. Collaboration entre les années et ANSSI dans les questions Alerte et réponse à l’incident mis en évidence en 2021. Les deux agences travaillent à Synergi Pour aider les acteurs à gagner de la maturité et à atteindre un niveau de résilience collective Indispensable pour surmonter une attaque majeure. Depuis le début de 2022, CERT Health a renforcé son soutien et s’est amélioré Outils, Développer leur capacité à faire face à une menace de plus en plus complexe.
En France, le nombre d’attaques de ransomware a augmenté de 255% en un an, selon un rapport Anssi/BSI.
Ransomware, un service comme les autre?
La quatrième édition du rapport Anssi/BSI vient d’être publiée. Agence nationale de la sécurité des systèmes d’information (ANSSI)et Bundesamt Für Sicherheit In der InformationChnik (BSI) Rapport sur une intensification des attaques. Ainsi, entre 2019 et 2020 en France, leur nombre a augmenté de 255%.
La collectivité territoriale, les secteurs de la santé et les fournisseurs de services numériques ont été parmi les plus ciblés des ranesomwares au cours de la période.
«Initialement, Ransomwares était le plus souvent utilisé contre des utilisateurs individuels et les enquêtes sur Ransom étaient relativement faibles», souligne les auteurs de l’écrivain. Depuis lors, la cybercriminalité en tant que service (CCAAS ou cybercriminalité-AS-AS-SERVICE) entre en vigueur, notamment le ransomware en tant que service (RAAS) et l’utilisation des courtiers d’accès.
En outre, des groupes avec des compétences techniques élevées ciblent le réseau de grandes entreprises et d’institutions pour nécessiter une rançon significative ou même saboter leurs objectifs.
ANSSI et BSI alerte au niveau de la menace cyber en France et en Allemagne en relation avec la crise d’assainissement
Pour la 3ème édition du rapport Franco-Allemagne Signaler « Picture commune », l’Agence nationale des systèmes d’information (ANSSI) et son homologue, Bundesamt für Sicherheit in Der InformationChnik (BSI), en trouvant une très rapide augmentation du niveau de la cybertress en France et en Allemagne. Dans la continuité d’un cours initié en 2019, le nombre de cyberattaques a explosé: le nombre de victimes a été multiplié par 4 en un an. Ceci est particulièrement préoccupant, en particulier dans un contexte où chaque cyberattaque aura probablement une détérioration des effets en raison de la crise de la santé. L’absence de conscience des cyber-risques, de non-contrôle des systèmes d’information, de non-respect des mesures d’hygiène informatique, du manque d’experts en cybersécurité et dans une certaine mesure l’augmentation de l’attaque de surface due à la généralisation du travail à distance, toutes les faiblesses sont utilisées. par cybercriminels. Et cela a eu avec succès la campagne pour les attaques qui ont frappé la France et l’Allemagne en 2020, ont perturbé de nombreuses activités et ont entraîné des pertes financières importantes.
Dans le cadre de la crise d’assainissement, l’ANSSI et BSI sont particulièrement conscientes de toute cybercrattage pouvant affecter les systèmes de santé français et allemands ou les chaînes d’approvisionnement. Leur dépendance numérique, qui est leur attrait pour les cybercriminels, est prouvée. L’utilisation massive des services numériques externalisés, souvent moins sûres, est une pratique généralisée que les assaillants ne manquent pas d’exploiter.
Le ciblage du système de santé dans son ensemble et des chaînes d’approvisionnement est une grande menace. En fait, ces cyberattaques pourraient avoir des effets critiques sur notre capacité à faire face à la pandémie. La « photo d’emplacement commun » permet à ANSSI et BSI de revenir à ces menaces, dans le contexte spécial de la crise de la santé.
« Alors que Coronavirus arrête la transformation numérique et la cybercriminalité non aux frontières nationales. Par conséquent, une coopération étroite avec l’ANSSI, notre partenaire français est essentiel. Les secteurs de la santé français et allemand sont confrontés à un défi majeur: combattre la pandémie tout en protégeant des cyberattaques possibles. Hôpitaux, Les producteurs de vaccins et leurs chaînes d’approvisionnement sont de plus en plus ciblés par les attaquants. Les échelles ou les erreurs dans les soins de santé peuvent avoir des conséquences dévastatrices que nous ne pouvons pas nous permettre, en particulier lors d’une pandémie de cybersécurité, BSI a pris des mesures actives pour améliorer les mesures de la sécurité. Dans le secteur de la santé. Par exemple, au printemps, BSI a contacté les fabricants de vaccins pour sensibiliser le public aux cyber-risques. Nous travaillons également en étroite collaboration avec le gouvernement fédéral pour la protection des chaînes d’approvisionnement de vaccins. Cependant, les entreprises doivent contribuer à cet effort, par exemple en effectuant les investissements nécessaires à leur it-quoi Rhen « , explique Arne Schönbohm, président de BSI.
« L’augmentation éblouissante de la menace cybernale combinée à un espionnage numérique illimitée et de grands risques pour les systèmes critiques très efficaces nécessite plus que jamais la conscience. Nous devons agir à tous les niveaux et accroître la coopération internationale, comme elle entre l’Allemagne et la France », déclare Guillaume Poudard, directeur général de l’ANSSI.
Cybersécurité après Covid-19: priorités de l’ANSSI et BSIS Soulignant les premiers retours de la crise et est décisivement contre l’avenir, ANSSI et BSI ont donc défini quatre objectifs. Afin d’empêcher la croissance exponentielle de la cybercriminalité de masse. Deuxièmement, le développement de systèmes de communication sûrs, qui s’est révélé inadéquat à tous les niveaux de la pandémie. Ensuite, la prise de conscience des problèmes de sécurité de la chaîne d’approvisionnement, qui doit faire partie intégrante des évaluations de cyber-risques. Appelle enfin la deuxième et BSI pour l’intégration des problèmes de cybersécurité de la conception du produit.
Parmi les sujets auxquels nous sommes confrontés en 2022, il sera nécessaire de compter sur la prévalence et d’augmenter l’intensité des attaques de ransomware qui ont une partie monopolisée de la nouvelle en 2021. En fait, ce problème est loin d’être en phase de disparition. Ces menaces deviennent susceptibles de devenir plus dangereuses dans un contexte où les cybercriminels cherchent à avoir un impact maximal. Les attaques d’escalade via des chaînes d’alimentation sont une tendance importante et troublante. Les cybercriminels cherchent à générer une destruction massive.
Ransomware sur chaîne d’approvisionnement pour 2022
Nous devons nous attendre à un plus grand nombre d’attaques visant à la chaîne d’approvisionnement numérique en 2022, d’autant plus que la déficience actuelle des talents, elle pousse les entreprises à compter encore plus sur les plates-formes, les services et les outils logiciels tiers
Le problème est que les sauvegardes ne sont pas à la conception protégée contre le ransomware. Comment faire vos sauvegardes pour contrer les ransomwares? Une approche à plusieurs niveaux est essentielle pour les protéger.
Sauvegardes locales Les sauvegardes locales ont l’avantage d’être facilement accessibles en cas de besoin, mais elles sont également beaucoup plus vulnérables aux:
– Attaques informatiques qui se sont répandues sur le réseau de la société – Casse du support de sauvegarde – Incendie – Vol de votre matériel
Sauvegardes dans le cloud
Le cloud est un support très pratique, mais la copie de ses fichiers dans le cloud ne constitue pas une sauvegarde efficace, en particulier lorsqu’il s’agit de ransomware. En plus du problème de la souveraineté de vos données lorsque vous soumettez vos données aux GAFA(Google Drive, Amazon, Dropbox, Microsoft OneDrive …) utilisent souvent automatiquement la synchronisation des fichiers.
Ce qui signifie que lorsque vous êtes infecté par un ransomware, les fichiers cryptés peuvent être synchronisés de la même manière que des fichiers sains. Vous devez vous assurer de choisir une solution de sauvegarde réelle qui ne copie pas seulement des fichiers. Notez que plusieurs fournisseurs de sauvegarde Cloud offrent désormais un paramètre « Multi versions de fichiers » qui vous permet de récupérer une version antérieure de vos fichiers (avant le ransomware).
Sauvegardes cloud + accès Bien que des sauvegardes clouds ont l’avantage d’être beaucoup plus en sécurité. Il peut également être intéressant de faire des sauvegardes avec une option accès physique, c’est-à-dire des sauvegardes sur le cloud et complètement récupérable physiquement par le client, ainsi protégées de tout risque de ransomware.
Sauvegarde informatique Hyères
Dans tous les cas, la chose la plus importante est l’utilisation de nombreuses solutions en même temps et d’utiliser la règle 3-2-1 pour des sauvegardes: – 3 copies de vos données. – 2 supports différents. – 1 copie hors site.
Les rangées sont retournées à la catégorie des « Grandes personnes à la chasse ». L’importance de leur objectif continue de croître et des dommages dépassant la simple perte de données ou de paiement d’une rançon (productivité, revenus, réputation et responsabilité). Quels sont les outils légaux, les droits et les obligations de savoir?
L’entreprise et le ransomware
Par Me Pierre-Randolph Dufau Avocat à la cour, fondateur de la SELAS PRD avocats
Le juge français ne semble pas être déterminé à permettre aux entreprises, aux victimes d’une telle attaque, de tirer parti de la force majeure pour débarrasser leurs responsabilités contractuelles (Cour d’appel de Paris, le 7 février 2020). Au contraire, la tendance de la jurisprudence est d’exiger davantage de prévention, d’obligations et de responsabilités. SUITE ET LIEN
Face à l’explosion des données à traiter, comment gérer la situation. Le point de quatre grandes tendances de protection des données.
Les exigences de protection globales requièrent la localisation des sauvegardesVos données sont-elles protégées 83400 HyèresSauvegarde, protection et conformité 83400 Hyères
Vos données sont-elles sauvegardées? C’est une question souvent entendue à Hyères. En 2022, il est clair que cette question a évolué pour: «Comment pouvons-nous prouver que nos données sont en sécurité?». Au lieu de simplement vérifier une boîte indiquant qu’ils ont un système de protection, les organisations cherchent maintenant à optimiser le temps nécessaire pour restaurer les données en fonction d’un problème. En 2022, de plus en plus de grandes organisations commenceront à prendre sérieusement des dispositions de sauvegarde.
Centraliser les demandes de données De plus en plus d’organisations trouvent une demande accrue de leurs données CRM d’un plus grand nombre de systèmes – il en résulte une demande accrue de ressources d’API pour reproduire les données CRM.
Par exemple, les grands fournisseurs de télécommunications veulent reproduire leurs données toutes les 5 ou 15 minutes à d’autres magasins de données. Cela doit être intégré à une stratégie de données plus large. L’objectif général est d’accroître l’agilité de la société. Pour cela, les données CRM doivent répondre à de nombreuses exigences. Nous pouvons exploiter le fait que nous sauvegardons les données – ils peuvent en réalité être utilisés pour les processus commerciaux agiles. Les données peuvent être transférées sur d’autres plates-formes, en faisant deux coups. Nous pouvons offrir la possibilité d’utiliser des connecteurs externes, non seulement pour récupérer les données et les stocker, mais également pour réduire les demandes de son système CRM.
Plus le point final dans le système, plus désordonné et lentement. En centralisant une grande partie de ces demandes de données, vous pouvez profiter de votre solution de sauvegarde pour résoudre ce problème – et il sera incroyablement fort pour les grandes organisations – les rend enfin plus flexibles.
Exigence de confidentialité mondiale requiert l’emplacement La vie privée se poursuivra avec la mondialisation, tandis que de plus en plus de mise en œuvre et de stockage localisées sont nécessaires. En 2021, la Loi sur la protection de la vie privée chinoise (PIPL) a été adoptée avec une vitesse incroyable confirmant cette tendance. Le champ d’application des exigences deviendra plus claire lorsque les dispositions de la demande seront introduites en 2022. Cette nouvelle conscience doit aider les organisations à se conformer aux cadres gouvernementaux où ils se développent. Les gens doivent prouver leurs réseaux d’entreprise qu’ils ont une sauvegarde – ils ne peuvent pas supposer que le nuage donne tout. Ils doivent montrer que les données sont sûres et utiles et à quelle vitesse ils peuvent les restaurer.
Anonymisation des environnements de test (boîtes à sable) En 2022, comme en 2021, les organisations doivent protéger divers environnements – avec l’avènement du travail à distance, il existe un intérêt plus important de savoir qui a accès aux données. Par exemple, les gens évaluent les données de test dans l’équipe de développement et s’assurent qu’elles sont anonymes et en toute sécurité – améliorant l’ensemble du processus de développement. Anonymisé leurs environnements de test pour protéger le développement de leurs données. Ils constatent souvent qu’ils n’ont pas assez de données anonymes. Comment améliorer ce processus et ce processus? Ceci est une question ouverte en 2022.
Entre 2019 et 2020, les attaques de «Ransomware» destiné aux autorités publiques avec plus de 30% d’augmentation.
Au cours de cette période, des services nationaux de la police et de la gendarmeriet enregistrés entre 1 580 et 1 870 procédures relatives aux attaques de forages de rang. Ce sont des logiciels malveillants qui verrouillent des ordinateurs ou de l’ensemble du système informatique, puis demandent une rançon aux victimes. En cas de paiement, les victimes doivent recevoir une clé de déchiffrement pour reprendre l’accès aux données.
Selon l’estimation élevée, le nombre de procédures ouvertes en relation avec le ransomware a augmenté en moyenne de 3% de chaque année jusqu’en 2019, puis accéléré (+ 32%) entre 2019 et 2020. Néanmoins, cette étude, les procédures commerciales et les institutions ne représentent que 15%. d’attaques sur les systèmes de traitement de données automatisés enregistrés entre 2016 et 2020.
Le secteur industriel (qui représente 7% de l’économie française) est particulièrement touché: il représente 15% des victimes enregistrées. Les pouvoirs publics, l’éducation, la santé et l’action sociale sont surreprésentés: 20% des victimes, dont seulement 13% des institutions de la France. Dans ce secteur, les autorités locales sont particulièrement attaquées (85% des autorités publiques en 2020).
La rançon requise par les pirates hachistes deviennent plus importantes et demandées souvent à Cryptomonnaie, selon l’étude. La valeur médiane des montants enregistrés auprès de la police et de la gendarmerie a augmenté d’env. 50% par an entre 2016 et 2020, à 6 375 € pour 2020.
Panasonic a découvert qu’un pirate était déjà présent dans ses systèmes pendant des mois. La société a récemment découvert le problème et effectue l’étude.
Panasonic piraté, avec vole de données
Panasonic révèle avoir été piraté, les pirates informatiques ont pu infiltrer son réseau le 11 novembre. Ils ont été en mesure de collecter davantage de données, mais le groupe japonais spécialisé dans l’électronique ne sait pas vraiment quoi. Au moins officiellement.
Mais c’est une version très raffinée de faits. Dans une interview avec TechCrunch, un porte-parole de la société explique que le cambriolage a été découvert pour la première fois le 11 novembre. En pratique, le pirate informatique devait être présent dans les systèmes depuis le 22 juin. Le piratage aurait cessé le 3 novembre. Certains médias japonais évoquent également cette fois.
Il n’est toujours pas clair quel est l’effet précis du piratage et le nombre de données observées ou volées. Panasonic s’excuse pour l’incident, a déclaré avoir informé les autorités compétentes et la coopération avec un acteur externe afin d’examiner ce qui s’est passé.
Les chercheurs de la sécurité ont mis en évidence des personnes qui constituent une partie importante de l’écosystème de cybercrimination
Les intermittent de la cybercriminalité
Programmes de phishing, campagnes de logiciels malveillantes et autres opérations utilisent un nombre total de travailleurs ombragers. Pour leur offrir de meilleures opportunités de travail légitimes pourraient aider à réduire le crime?
Une collaboration de recherche avec l’Université technique tchèque à Prague et GoSecure et SecureWorks entreprises de sécurité Cyber a analysé les activités des personnes en marge de la cybercriminalité, les projets sous – jacents tels que la création de sites Web, finissent par être utilisés pour des attaques de phishing, les affiliés Systèmes pour diriger le trafic sur les sites Web compromis ou contrefaits ou écrire sur le code trouvé dans les logiciels malveillants.
Les gens sur l’origine de ces projets font parce qu’il est un moyen facile de gagner de l’argent. Mais faire ce travail, ils jettent les bases de campagnes malveillantes pour les cyber-criminels.
Un regard sur le web L’étude, Mass Effect: Comment Opporitistic travailleurs conduisent dans la cybercriminalité et présenté au Black Hat États-Unis, trouve ses origines dans une analyse de l’Université technique tchèque qui a révélé des roues geost, un botnet et une campagne de logiciels malveillants Android comme des centaines infectés de milliers d’utilisateurs. Ce travail a permis aux chercheurs d’examiner les journaux pour certaines des personnes impliquées.
Ils ont pu trouver des traces de personnes dans ces journaux sur des forums en ligne et d’autres plates-formes de discussion et avoir une idée de leurs motivations.
«Nous avons commencé à comprendre que même s’ils étaient impliqués dans la diffusion de programmes malveillants, ils n’étaient pas nécessairement cerveaux, mais plutôt des travailleurs informels, ceux qui travaillent sur de petits projets», a déclaré Masarah Forfait-Clouston, chercheur de sécurité à Gosécur.
Bien que ces personnes sont au bas de la hiérarchie, ils exécutent des tâches utiles pour les cyber-criminels à des sites d’utilisation et d’outils, ils créent des activités malveillantes, y compris le phishing et les logiciels malveillants communication.
« Ils essaient de gagner leur vie et peut – être le salaire du crime mieux, donc ils vont là – bas, » a déclaré Sebastian Garcia, professeur adjoint à l’Université technique tchèque, affirmant que nous devons accorder plus d’ attention aux personnes qui oscillent entre la cybercriminalité et l’ activité juridique.
« Il y a beaucoup de gens dans ces forums publics que les sociétés de sécurité ne se rapportent pas, mais ce sont ceux qui soutiennent la majorité du travail, la création de pages web pour les e – mails de phishing, l’ APK, le cryptage, les logiciels malveillants, mulet, » dit – il.
L’arbre qui dissimule la forêt « Si nous nous concentrons toujours sur des cerveaux » délinquants motivés « qui ont vraiment développé le Botnemetten et les moyens de gagner de l’argent avec tout cela, nous oublions les travailleurs », avertit M. Paquet-Clouston. « En tant que société, nous oublions souvent que beaucoup de gens sont impliqués et que ce n’est pas nécessairement des personnes très motivées, mais plutôt ceux qui finissent par faire l’activité », a-t-elle déclaré.
Mais cela ne signifie pas nécessairement que les personnes impliquées dans ces systèmes doivent être traitées comme des cybercriminels de vol élevé, en particulier lorsque certains ne savent même pas que leurs compétences sont utilisées pour la cybercriminalité.
En fait, il serait possible de donner à bon nombre de ces personnes la possibilité d’utiliser leurs avantages de compétences plutôt que de les utiliser pour l’aider à la criminalité.
Le début d’une nouvelle année n’a pas réduit la frénésie des cybercriminels qui n’ont jamais cessé de multiplier les actes frauduleux.
À la fin de 2020, les détections de menace enregistrées par Trend Micro ont montré une augmentation de 20% des attaques ciblant les organisations de télétravail et les employés par rapport à 2019. La PAC des 126 000 attaques par minute autour du monde a donc été atteinte.
Bien que la promesse d’accès au vaccin généralisé soit progressivement au niveau international, la pandémie reste un véritable levier pour les attaquants.
En effet, les menaces utilisant le nom du virus persist: Trend Micro a énuméré plus de 1,6 million au cours des trois premiers mois de l’année. Parmi les techniques d’attaques utilisées, les menaces liées à la messagerie dominante (92%) dans le Top 3, suivies d’URL frauduleuses (7%) et de fichiers infectés (1%). Les États-Unis seul représentent le plus grand nombre de détections d’attaque via des courriels et une URL frauduleuse à l’aide de CVIV-19 en tant que (+684 000 en mars 2021). Notant incroyable dans la pratique, lorsque les déclarations indiquent que le pourcentage de menaces de menaces transportées par courrier électronique a bombé de 107% dans un délai d’un mois.
Les attaquants restent également fidèles à certaines pratiques, les campagnes de logiciels malveillants liées à l’émotet, à Ryuk ou à Trickbot sont restées actives en mars dernier. Et cela, bien que les familles malveillantes ont enregistré un volume de détection (1,1 million) légèrement sur la période, à savoir – 8% par rapport au mois précédent.
Les entreprises continuent de construire des objectifs préférés, comme le montre le remède intensif auprès de Banking Malware Ramnit, dont les attaques ont augmenté de 21% au mois de mars. Attaques de SPOC, qui tendent à usurper l’identité dans les affaires, a augmenté de 6,4% entre février et 2021.
Au cours des dernières semaines, de nombreuses rancingres et de grandes cyber attaques, parfois dans le monde entier devenaient conscientes. Il oublierait presque les risques qui pèsent sur les individus et restent toujours très nombreux. De l’usure de l’identité à la phishing, passez à travers la ligne, pas de sécurité.
Menaces sur les internautes français depuis le début de la crise de la /du Covid
Les grandes attaques des grandes entreprises et l’exposition de 50 à 65 millions d’enregistrements ont un prix élevé, jusqu’à 401 millions de dollars.
Selon une étude IBM, le coût moyen d’une attaque est de plus de 4 millions de dollars.
Le coût des piratages professionnelles atteint un niveau record
Le coût moyen d’une attaque a maintenant dépassé le barreau fatidique de 4 millions de dollars et a atteint un niveau record en vertu de la crise de la santé. Dans un rapport publié mercredi d’IBM, Big Blue estime que, en 2021, coûte une violation de données typique des entreprises de 4,24 millions USD. Le coût est de 10% supérieur à 2020.
En France, les secteurs les plus touchés sont des services financiers, du secteur pharmaceutique ainsi que de la technologie. Au niveau international, aux secteurs de la santé et des services financiers qui enregistrent les violations les plus chères.
Logiciels malveillants et hameçonnage
IBM estime qu’environ 60% des entreprises se sont tournées vers «Cloud» pour poursuivre leurs activités, bien que le renforcement du contrôle de la sécurité n’ait pas nécessairement suivi. Lorsque l’utilisation de travaux distants a explosé, elle était la même pour les infractions de données dont les quantités ont augmenté de 1 million de dollars – les taux les plus élevés de 4,96 millions de dollars contre 3, 89 millions de dollars.
Le vecteur d’attaque le plus courant des victimes de données d’un transfert de données est un compromis sur les informations d’identification, soit extraits des souches de données soumises, vendues ou obtenues par une attaque de force brute. Une fois que le réseau est infiltré, les informations personnelles identifiables (IPI) sont devenues des clients, notamment des noms et des adresses électroniques, volées dans près de la moitié des cas.
En 2021, il a fallu un total de 287 jours pour détecter et contenir une violation de données ou 7 jours de plus que l’année précédente. Au total, une organisation moyenne n’enregistrera pas d’entrer dans les 212 jours. Il ne sera donc pas capable de résoudre complètement le problème avant que 75 jours supplémentaires soient passés.
Les infractions de données dans le secteur de la santé ont été les plus chères, avec une moyenne de 9,23 millions de USD suivi des services financiers – 5,72 millions de dollars – et des médicaments, avec 5,04 millions de dollars.
Selon IBM, les entreprises qui utilisent des solutions de sécurité sont basées sur des algorithmes d’intelligence artificielle (AI), l’apprentissage automatique, l’analyse et le cryptage, ont tous diminué le coût potentiel d’une violation qui permet aux entreprises. Économisez en moyenne entre 0,1 25 et 1,49 million de dollars.
« L’augmentation des infractions de données sont une autre dépense supplémentaire pour les entreprises en fonction des changements technologiques rapides lors de la pandémie », a déclaré Chris McCurdy, vice-président de la sécurité IBM. « Bien que le coût des infractions de données ait atteint un niveau record au cours de la dernière année, le rapport a également démontré des signes positifs de l’impact des tactiques de sécurité modernes, telles que l’AI, l’automatisation et l’adoption d’une approche de confiance zéro – qui pourrait être payée en réduisant coûte ces incidents plus tard. «
Un nouveau rapport de Intsights a mis en évidence le marché de l’accès aux réseau d’entreprise sur le Web.
Sur le web, le prix moyen d’accès à une d’entreprise 10 000 $
L’étude note que ces types d’accès continuent d’être utilisés dans des attaques de ransomware dans le monde entier. Des forums permettent la mise en œuvre d’un système décentralisé, où des cybercriminels moins qualifiés peuvent s’appuyer sur eux pour différentes tâches, permettant ainsi à la plupart des opérateurs de ransomware d’acheter un accès.
Sur les forums et les marchés, des cybercriminels donnes accès à un ensemble de logiciels malveillants, d’outils malveillants, d’infrastructures illicites et de données, de comptes et d’informations de carte de paiement compromis. La plupart des forums et des marchés les plus sophistiqués sont en russe, mais il existe également de nombreux forums en anglais, espagnol, portugais et allemand.
Parfois, les attaquants se rendent compte qu’ils sont dans un réseau sans données pouvant être volés ou vendus et décide de vendre l’accès aux groupes de ransomware.
L’éditeur logiciel Kaseya a refusé d’avoir payé une rançon pour un déchiffrement universel après plusieurs jours avec des questions sur la manière dont l’outil est atteint.
Le 21 juillet, la Société a annoncé qu’un outil de déchiffrement universel a été réalisé grâce à une «tierce partie» et a travaillé avec Emsisoft Security Company pour aider les victimes de l’attaque de Ransomware REvil.
Kaseya prétend avoir payé aucune rançon
Lundi, Kaseya a publié une déclaration qui refuse des rumeurs qu’elle aurait payé une rançon sur REvil, le groupe Ransomware, a lancé l’attaque. REvil a demandé à l’origine une rançon de 70 millions de dollars, mais l’aurait réduit de 50 millions de dollars avant que tous ses sites Web ne disparaissent le 13 juillet.
Theresa Payton, ancien directeur des informations de la Maison-Blanche et expert en cybersécurité, a déclaré que les accords non-informations après les attaques sont plus fréquents que vous ne pourriez penser, mais a noté que « demander un accord sur les non-renseignements aux victimes n’est pas une pratique quotidienne pour chaque incident ».
« Lorsqu’un incident affecte davantage de victimes, le conseiller juridique demande à signer un accord sur les non-renseignements pour que la solution du problème ne soit pas publiée », a déclaré Payton.
Payton a ajouté que les causes de la demande de contrat de non-publication ne sont pas toujours mauvaises et invitées à consulter leurs avocats avant de signer quelque chose.
La société et la manière dont l’outil de décryptage universel a été atteint? Selon la presse, la société a chargé un accord de non-publication aux entreprises souhaitant profiter de cet outil.
« Nous certifions clairement que Kaseya n’a pas payé la rançon, que ce soit directement ou indirectement à travers un tiers, pour obtenir du déchiffrement », déclare la déclaration de Kaseya.
« Bien que chaque entreprise devait prendre sa propre décision sur le paiement de RanSom, Kaseya a décidé après avoir consulté des experts, de ne pas négocier avec les criminels qui ont commis cette attaque et que nous n’arrêtions pas de cet engagement. »
Selon la Déclaration, l’équipe d’intervention des incidents d’Emsisoft et de Kaseya a travaillé tous les week-ends pour fournir un déchiffrement avec certaines des 1 500 victimes touchées par l’attaque, y compris une grande chaîne de supermarchés en Suède, de l’Université Virginia Tech et des ordinateurs gouvernementaux locaux à Leonardtown, dans le Maryland.
La société a déclaré qu’elle avait appelé à toutes les victimes de manifester et d’ajouter que l’outil « s’est avéré 100% pour déchiffrer les fichiers complètement cryptés lors de l’attaque ».
Si la nouvelle d’un décendrier universel a été accueillie par des centaines de victimes touchées, certains soulignent qu’il existait un accord de non-information que Kaseya audacieuse les entreprises à signer l’échange d’outils.
CNN a confirmé que Kaseya a exigé un accord de non-information (NDA) d’accéder au déchiffrement. Dana Liedholm, porte-parole de Kaseya et plusieurs sociétés de cyber-sécurité impliquées, ont déclaré à ZDN et qu’ils ne pouvaient pas commenter cet accord.
Parmi les victimes du groupe Lockbit, Accenture, mais l’entreprise garantit que l’attaque est sous contrôle.
Accenture et attaque de ransomware Tout est bon!
Accenture a été parmi les victimes du groupe Lockbit avec un compte à rebours dont les déclencheurs étaient programmés le 11/08/2021.
Dans une déclaration, un porte-parole a minimisé l’incident et a affirmé qu’il n’avait qu’une petite influence sur les affaires de la société. Accenture a réalisé un chiffre d’affaires de plus de 40 milliards de dollars l’an dernier et compte plus de 550 000 employés dans plusieurs pays.
De nombreux internautes interrogent le montant des données volées pendant l’attaque et note qu’il n’est pas susceptible que l’attaque vienne du groupe.
Accenture n’a pas répondu aux questions pour déterminer s’il s’agissait d’une attaque effectuée à l’aide d’un employé.
Dans un rapport d’accent publié la semaine dernière, la Société a déclaré que 54% de toutes les victimes de Ransomware ou d’APRESTORT étaient des entreprises dont le chiffre d’affaires annuel était compris entre 1 et 9,9 milliards de dollars.
Accenture propose un certain nombre de services à 91 des 100 meilleures sociétés de classification de la fortune et des centaines d’autres entreprises. Les services informatiques, les technologies de fonctionnement, les services cloudis, la mise en œuvre de la technologie et les conseils ne sont que quelques-uns des services que la société est basée en Irlande offre à ses clients. En juin, la société a acheté Umlaut, une entreprise d’ingénieurs allemands pour élargir sa présence dans le cloud, l’IA et la 5G. Elle a également acquis trois autres entreprises en février.
L’Australian Cyber Security Center a publié un résumé du vendredi indiquant que le groupe Ransomware Lockbit après une petite chute d’opération a été ravivé et intensifié ses attaques.
Selon l’Agence australienne, les membres du Groupe exploitent activement les vulnérabilités existantes dans les produits FORTITITINE FORMIPROXY identifiés par le lancement de la CVE-2018-13379 pour obtenir le premier accès aux réseaux de victimes spécifiques.
« La CCCAA est consciente de nombreux événements impliquant des verrouillements et son successeur » Lockbit 2.0 « en Australie depuis 2020. La majorité des décès connus de la CCAA ont été signalés après juillet 2021, ce qui indique une augmentation nette et significative des victimes nationales par rapport à d’autres variantes de ransomware, « Ajoute le communiqué de presse.
« La CCAA a observé des filiales de lockbit ont mis en œuvre avec succès des ranesomwares sur des systèmes d’entreprise dans divers secteurs, y compris des services professionnels, de la construction, de la fabrication, de la vente au détail et du régime alimentaire. »
En juin, l’équipe de l’intelligence de la menace Poina a publié un rapport qui enquête sur le bit de verrouillage de la structure RAAS et son inclinaison d’acheter un accès au protocole de bureau externe pour les serveurs en tant que vecteur d’attaque initial.
Le groupe exige généralement 85 000 $ en moyenne des victimes et si une tierce partie revient sur les opérateurs de la RAA. Plus de 20% des victimes d’un tableau de bord consulté par les chercheurs d’énergie appartenaient au secteur des logiciels et des services.
« Les services commerciaux et professionnels ainsi que le secteur des transports sont également très ciblés par le groupe Lockbit ».
À l’origine de telles attaques, l’argent est à nouveau et la principale motivation. Qu’il soit réclamé par une demande de rançon ou réalisée par la revente de données, il est toujours au cœur des préoccupations du commerce. Afin d’atteindre leurs objectifs, ce dernier doit donc utiliser une stratégie qui nécessite parfois plusieurs mois de préparation en fonction de la structure ciblée. Dans certains cas, les hackers cherchent à s’infiltrer très tôt et à mettre leurs programmes en dortoir à travers la gravité de l’offuscation. Ils peuvent effacer leurs morceaux et déclencher leurs attaques quelques semaines / mois plus tard.
Cyber attaques d’entreprises, plus chères que prévu!
Il sera nécessaire de s’habituer à ce que la numérisation croissante apporte avec ses nombreux problèmes, et parmi ceux-ci sont des cyberattaques. Leur puissance et leur structure varient selon l’objectif sélectionné, mais la conséquence est identique à toutes les victimes: une immobilisation totale ou partielle de l’appareil productif pour une période indéterminée. Suit une vraie galère pour les structures qui cherchent à se remettre de ces attaques.
Au cœur de la méthode d’une cyberattaque, la première étape consiste à reconnaître, il consiste à récupérer des informations maximales – courriels, téléphones, noms – sur une ou plusieurs de la société. Cette phase d’ingénierie sociale permet de trouver un point d’entrée qui, dans la plupart des cas, c’est l’e-mail. Que vous utilisiez la méthode de phishing, l’installation de logiciels malveillants ou des arnaques d’utilisateurs pour le président, l’objectif, une fois dans les systèmes d’information, effectuez des mouvements. Latérales qui permettent aux pirates d’infiltrer et de toucher d’autres éléments du réseau de la société. L’attaque implémente plus largement et capture ainsi davantage de données et paralysant les serveurs internes.
Le mode survie d’une entreprise
L’un des premiers réflexes pour les entreprises est de couper leurs systèmes d’information pour limiter la pause et empêcher l’attaque de la propagation de l’interne. Un réflexe de survie qui leur permet d’organiser une réponse et d’accélérer le retour à une situation normale. Si les instructions des systèmes d’information, pour les entreprises qui les possèdent sont sur le pied de la guerre, ils ne peuvent que voir les dommages causés.
Dans un processus de retour au processus normal, certaines entreprises peuvent décider de payer immédiatement une rançon en violation des autres essayant de résoudre le cambriolage de leur système d’information. Dans les deux cas, il n’est jamais certain que ce type d’attaque ne se reproduise plus. Il est donc utile de veiller à ce qu’il existe une stratégie de prévention en tant que plans de restauration de l’activité (PRA), qui sont déclenchés à la suite d’une catastrophe. Il investira également dans des solutions de protection des applications ainsi que ceux qui visent à découvrir des attaques et à les bloquer en amont. En bref, il n’est pas question de savoir si le système d’information sera touché, mais plutôt quand ce sera.
Les solutions contre les cyberattaque
Malgré toutes les dispositions technologiques prises, de nouvelles attaques de plus en plus puissantes et pervers seront en mesure de contourner les nombreux systèmes de sécurité créés par des entreprises. L’un des défis des années à venir est donc au niveau de la prévention de l’homme. L’idée d’un pare-feu humain n’est possible que si les employés de la société sont formés pour reconnaître les signes d’une cyberattaque. Cet aspect sera tout important car la transition numérique des entreprises s’est largement accélérée depuis la crise CVIV-19 et le nombre de cyberattaques multiplié par quatre entre 2019 et 2020 en France. Il est donc important et urgent d’introduire un système de responsabilité commune qui ne permettra pas de mieux faire du risque pour mieux préparer les entreprises aux futures attaques.
Et ceux-ci peuvent avoir un impact très important sur la production et conduire à une immobilisation pendant un certain temps. Les récentes cyberattaques ont assisté à un pipeline colonial, un grand réseau de pipelines pétroliers, qui porte près de 45% des combustibles de la côte est aux États-Unis et qui a provoqué un lieu de fourniture pendant plusieurs jours. Cela a généré des mouvements de panique dans la population, entraînant des lacunes dans certaines stations-service. En fin de compte, la société a dû payer près de 4,4 millions de dollars de rançon aux pirates. Des exemples tels que celui-ci montrent qu’une immobilisation de la production, voire de courte durée, peut entraîner des pertes financières importantes pour les entreprises touchées par les cyberattaques ainsi que pour les acteurs de leur écosystème.
L’écosystème des Ransomware as a service (RaaS) recrute pour forcer les victimes à payer.
Victoria Kivilevich, analyste du renseignement sur les menaces chez KELA, a publié les résultats d’une étude de tendance RaaS, affirmant que les attaques individuelles ont presque « disparu » en raison de la nature lucrative du système. Commerce de ransomwares criminels.
Les gains financiers potentiels des entreprises cherchant désespérément à déverrouiller leurs systèmes ont donné lieu à des spécialistes du chantage et ont également entraîné une énorme demande d’individus capables de prendre en charge le côté négociation d’une chaîne d’attaque.
Les ransomwares peuvent être dévastateurs non seulement pour les activités d’une entreprise, mais aussi pour sa réputation et ses résultats. Si des attaquants réussissent à toucher un fournisseur de services utilisé par d’autres entreprises, ils peuvent également être en mesure d’étendre rapidement leur surface d’attaque à d’autres appareils.
Dans un cas récent, des vulnérabilités zero-day dans des logiciels américains fournis par Kaseya ont été utilisées pendant le week-end férié américain pour compromettre les terminaux et exposer les organisations à un risque d’infection par ransomware. On estime actuellement que jusqu’à 1 500 entreprises ont été touchées.
Selon KELA, une attaque de ransomware typique comporte quatre phases : acquisition de code/malware, propagation et infection des cibles, extraction de données et/ou persistance de la maintenance sur les systèmes affectés et génération de revenus.
Il y a des acteurs dans chaque « domaine », et récemment, la demande de spécialistes de l’exploitation minière et de la génération de revenus a augmenté parmi les groupes de ransomware.
L’émergence de revendeurs en particulier dans le domaine de la monétisation est désormais une tendance dans l’espace RaaS. Selon les chercheurs du KELA, on assiste à l’émergence d’un grand nombre d’acteurs malveillants contrôlant l’aspect négociation, tout en augmentant la pression via les appels téléphoniques, les attaques par paralysie distribuée (DDoS) ou les menaces de fuite d’informations volées.
KELA suggère que ce rôle est dû à deux facteurs potentiels : le besoin pour les groupes de ransomware de s’en tirer avec une marge bénéficiaire décente et le besoin de personnes parlant anglais pour mener des négociations efficaces.
« Cette partie de l’attaque semble également être une activité externalisée, au moins pour certaines filiales et/ou développeurs », explique Kivilevich. « L’écosystème ransomware ressemble donc de plus en plus à une entreprise avec des rôles différents au sein de l’entreprise et des activités plus externalisées. »
Les courtiers d’accès initial sont également très demandés. Après avoir observé les activités du dark web et des forums pendant plus d’un an, les chercheurs affirment que le prix de l’accès aux réseaux compromis a augmenté. Certaines offres sont désormais 25 à 115% plus élevées que précédemment enregistrées, notamment lorsque le niveau administrateur de domaine a été accédé.
Ces intrus peuvent s’attendre à obtenir entre 10 et 30 % de la rançon. Il convient toutefois de noter que certains de ces courtiers ne fonctionnent pas du tout avec les ransomwares et ne se livreront qu’à des attaques ciblant d’autres cibles, telles que celles qui conduisent à la collecte de données de carte de crédit.
« Au cours des dernières années, les groupes de ransomwares ont évolué pour devenir des sociétés de cybercriminalité avec des membres ou des « employés » spécialisés dans différentes parties des attaques et différents services d’assistance », a commenté KELA. « La récente interdiction des ransomwares sur deux grands forums russophones ne semble pas affecter cet écosystème, car seule la publicité des programmes d’affiliation a été interdite sur les forums. »
La compagnie d’assurance Axa a annoncé qu’elle suspendait temporairement son option «cyber rançon», qui proposait de soutenir les entreprises victimes de ransomwares en payant une rançon. Une pratique qui ne fait pas l’unanimité.
L’assurance ne paie pas toujours la rançon!
Axa France ne paie plus de rançon: la compagnie d’assurance a annoncé la suspension de son dispositif de «cyber rançon», option proposée depuis mi-2020 aux entreprises souscrites à l’assurance cybersécurité proposée par Axa. Comme l’explique Axa France, ce revirement brutal est venu directement du discours du directeur de l’Anssi et du parquet de Paris à ce sujet lors d’une audition au Sénat. Guillaume Poupard avait mis l’accent sur le «jeu nuageux» des compagnies d’assurance, qui, en facilitant le paiement de la rançon, faisait donc des entreprises françaises les principales cibles des cybercriminels.
Les compagnies d’assurance en situation délicate Pour AXA France, qui proposait ce type de service, la déclaration a fait son effet. Comme l’explique un porte-parole de la compagnie d’assurance, «dans ce contexte, AXA France, qui avait fermé sa gamme avec une option dans ce sens, a jugé opportun de suspendre sa commercialisation jusqu’à ce que les conséquences en soient tirées. De ces analyses et que le cadre de l’intervention d’assurance soit clarifié. Il est important que les pouvoirs publics concrétisent leur position sur cette question afin de permettre à tous les acteurs du marché d’harmoniser leurs pratiques « .
Il précise néanmoins que cette suspension n’affecte pas le reste du contrat de cyber-assurance proposé par l’assureur, qui continuera à proposer à ses assurés le reste des services liés à ce contrat. La possibilité de cyber-rachat était offerte aux entreprises ayant mis en place une politique de sécurisation du système informatique et réservée aux «cas marginaux» où le paiement d’une rançon était considéré comme la seule solution disponible. De même, cette option était réservée aux entreprises ayant déposé une plainte. Et dans l’hypothèse où la plainte serait adressée aux services antiterroristes, AXA France déclare avoir alors refusé de rembourser le paiement de la rançon.
L’audience du Sénat a incité les compagnies d’assurance à prendre position sur cette question délicate. AXA France n’est pas le seul du secteur à proposer ce type de service: le mois dernier, la compagnie d’assurance Hiscox expliquait à L’Argus de l’Assurance que ce type de prestation faisait partie de leurs contrats, même si cette éventualité est toujours présentée comme «solution de dernier recours». D’autres acteurs de terrain, comme Generali, en revanche, sont radicalement opposés à ce type de pratique.
Paiements de rançon dans la ligne de mire A la suite de cette consultation, on apprend notamment que la Direction générale du ministère des Finances a confié au Haut Comité juridique de la Place des Finances de Paris la mise en place d’un groupe de travail sur la question du paiement de la rançon. Cela devrait conduire à une série de recommandations sur le sujet et clarifier la position des autorités sur la légalité de cette pratique.
L’interdiction des paiements de rançon est un problème difficile, mais qui se fait de plus en plus entendre au milieu des nouvelles technologies. Fin 2020, la société de cybersécurité Emsisoft a publié une colonne exhortant les gouvernements à interdire le paiement d’une rançon pour freiner les attaques de ransomwares. Dans le même temps, le département américain du Trésor a rappelé que le paiement d’une rançon à certains groupes pouvait entraîner des sanctions pour l’entreprise victime. Début 2021, l’ancien chef de l’agence britannique de cybersécurité a également appelé à une modification de la loi pour interdire à nouveau le paiement d’une rançon pour éviter de financer un écosystème criminel.
Les montants des rançons faisant l’objet d’un chantage à la suite d’attaques de ransomwares augmentent depuis plusieurs années. Selon une analyse de Palo Alto Networks, la rançon moyenne payée par les entreprises en 2020 a triplé, passant de 115.123 dollars en 2019 à 312.393 dollars en 2020, avec un montant record pouvant atteindre 30 millions de dollars. Cette croissance reflète le changement de tactique des cyber-attaquants qui augmentent le pouvoir de levier de leurs victimes et n’hésitent plus à attaquer les grandes entreprises susceptibles de payer une rançon plus importante.
Une nouvelle vulnérabilité de sécurité de type Spectre menace la sécurité de nos ordinateurs. Il affecte les derniers processeurs AMD et Intel au cours de la dernière décennie. Une solution entraînerait une baisse drastique des performances du processeur.
La faille de sécurité réside dans l’utilisation du cache micro-up. Ce dernier détecte des instructions simples afin que le processeur puisse les traiter facilement et rapidement pendant le processus d’exécution, ce qui entraîne une augmentation des performances du processeur.
Cette nouvelle vulnérabilité Spectre affecte donc tous les processeurs qui utilisent un micro-up cache, c’est-à-dire Références Intel depuis 2011 et références AMD depuis 2017.
En 2018, nous avons appris que des vulnérabilités affectaient de nombreux modèles de processeurs équipant nos PC. Ces séries d’erreurs sont appelées Spectre et Meltdown. Lorsqu’ils sont exploités, ils peuvent permettre aux attaquants de voler des données sur un ordinateur et d’en prendre le contrôle. Une nouvelle variante de Spectre a été récemment identifiée.
Les nombreux correctifs de sécurité et correctifs mis en œuvre après les premières révélations de la vulnérabilité de Spectre sont inefficaces dans ce cas, car les premières vulnérabilités ont agi tard dans le processus d’exécution spéculative, tandis que ce dernier agissait davantage à la source.
Comme d’autres spécifications de Spectre, cette vulnérabilité exploite l’exécution spéculative, qui permet au processeur de préparer et d’exécuter des tâches qui n’ont pas encore été demandées, afin qu’elles puissent s’exécuter rapidement en cas de besoin.
La vulnérabilité permet de tromper le CPU et de lui faire exécuter des instructions pour ouvrir un passage aux hackers vers le système et ainsi accéder à des données confidentielles.
Cependant, les chercheurs estiment que cette faille de sécurité est compliquée à exploiter et que sa correction entraînera nécessairement une diminution marquée des performances du processeur. Intel et AMD pourraient donc choisir de ne pas couvrir cette vulnérabilité.
Le score CVSS est utilisé presque systématiquement pour évaluer le danger des vulnérabilités. Mais savez-vous quel calcul se cache derrière le score sur 10?
Il faut dire que la cybersécurité regorge de termes spécifiques et autres acronymes (et anglophones, d’ailleurs) pour qualifier les scénarios d’attaque. On parle de RCE, XSS, de « web shell » ou même d’élévation de privilèges. Les balles d’avertissement sont le plus souvent destinées aux spécialistes et n’utilisent que du jargon. Ils soulignent rarement les risques concrets qu’une nouvelle vulnérabilité pose au public.
La police ukrainienne a arrêté le 9 février plusieurs membres d’un groupe de cybercriminels à l’origine de plusieurs attaques informatiques dans le monde, dont le quotidien Ouest France, la police et des sources proches ont raconté l’affaire ce jeudi.
Cette « opération internationale », menée en coordination avec les policiers français et ukrainiens ainsi qu’avec le FBI, a mis un terme à la diffusion du ransomware appelé « Egregor », décrit la police dans un communiqué.
Piratage informatique
Au moins 150 entreprises ont été attaquées, principalement aux États-Unis et en Europe, avec des pertes estimées à environ 66 millions d’euros, selon les premiers éléments de l’étude publiée par les services de sécurité ukrainiens (SBU). Selon une source proche du dossier, au moins trois personnes ont été arrêtées dans cet acte. Les domiciles des suspects ont été perquisitionnés et le matériel informatique saisi est « toujours utilisé » par les enquêteurs français envoyés sur les lieux, selon la police.
Les solutions de sécurité informatique Hyères
C’est un rapport d’Europol en septembre qui a conduit le parquet de Paris à ouvrir une enquête en France, remise à la sous-direction cybercriminalité (SDLC). Le groupe a pratiqué la technique de la « double extorsion »: d’une part le cryptage et le vol des données de l’entreprise ciblée, d’autre part la menace de publier ces données compromises sur un site internet si l’entreprise refusait de payer une rançon en bitcoins, le la plus célèbre des monnaies virtuelles.
Le ransomware s’est propagé par pré-intrusion « via l’envoi d’e-mails de phishing et un accès à distance Windows mal sécurisé au bureau », a déclaré la police française. Particulièrement sophistiqué, « Egregor » pourrait prendre le contrôle des imprimantes connectées aux ordinateurs infectés et imprimer la rançon, « amplifiant encore l’impact psychologique de l’extorsion », a déclaré la même source.
Plusieurs entreprises françaises ont été visées par «Egregor», dont le quotidien Ouest France, le transporteur Gefco et le géant du jeu vidéo Ubisoft. Deux attaques de ransomware ont été ciblées ces derniers jours contre des hôpitaux de Villefranche-sur-Saône (Rhône) et de Dax (Landes), mais elles ne portent pas la signature «Egregor». Il a travaillé sur le modèle du logiciel à la demande (Raas, Ransomware as a Service): ses créateurs l’ont mis à disposition d’autres hackers, «affiliés», qui ont pris la responsabilité des attaques avant de partager les bénéfices.
Les détenus font partie « plutôt que de l’équipe de conception et de production », a déclaré Catherine Chambon, directrice adjointe de la lutte contre la cybercriminalité à la magistrature centrale. Si Catherine Chambon qualifie l’opération contre «Egregor» de «démantèlement assez efficace», elle exhorte à rester «très prudente et modeste» sur ce qui ressemble à «un brouillard».
L’origine du mal
Selon l’Agence nationale de sécurité des systèmes d’information (Anssi), « Egregor serait lié à la fin de l’activité du groupe d’attaquants derrière le ransomware Maze », notamment à l’origine d’une attaque contre Bouygues Construction en janvier 2020. À son tour, » Egregor « pourrait-il renaître sous une autre forme? « Il est possible que ce soit la vie d’un ransomware », a répondu Catherine Chambon. «L’idée est de mettre progressivement en sécurité les cybercriminels afin qu’ils se sentent moins impunis. Même si, une fois qu’il y a un crime, il a peu de chances de disparaître ».
Socialarks, une entreprise chinoise, a subi une énorme fuite d’informations personnelles. Safety Detective, qui l’a découvert, rapporte que 214 millions de comptes Instagram, Facebook et LinkedIn sont concernés.
Socialarks
214 millions de comptes Facebook, Instagram et LinkedIn ont été compromis. Un détective de sécurité, dont la mission est d’identifier les vulnérabilités de sécurité des serveurs, a découvert que la société chinoise Socialarks était responsable d’une fuite massive de données personnelles. La société, spécialisée dans la gestion des réseaux sociaux et le développement de marques en Chine, a stocké les données de millions d’utilisateurs, plus de 400 Go, sur un serveur non sécurisé appartenant à Tencent. Dans son article, l’équipe de sécurité détective explique « que le serveur ElasticSearch a été exposé publiquement sans protection par mot de passe ni cryptage ». Plus précisément, le manque de sécurité a permis à chacun d’accéder aux informations sur les utilisateurs concernés. Selon Safety Detective, ceux-ci ont été récupérés grâce au « Datascrapping ». C’est l’ambition des données personnelles disponibles sur les réseaux sociaux. Si l’approche est légale et déjà utilisée par de nombreuses entreprises, c’est le manque de mesures de sécurité nécessaires pour protéger les données collectées qui pose problème. Ce n’est pas la première fois que Socialarkas est touché par une telle violation de données, car il avait déjà révélé les informations sur 150 millions de comptes en août de l’année dernière.
Données sensibles Parmi les données collectées par l’entreprise, on retrouve principalement des informations qui sont communiquées par les utilisateurs directement sur les différents réseaux sociaux. Ainsi, les noms, les noms des utilisateurs, les liens vers les profils, les surnoms des différentes plateformes, les photos de profil et la description des comptes dans le fichier sont saisis. D’autre part, Safety Detective a également remarqué qu’il y avait également des informations plus sensibles sur le serveur. En fait, pour Instagram, par exemple. 6 millions d’adresses e-mail d’utilisateurs ont été enregistrées, alors que ces informations n’avaient pas été diffusées sur les différentes plateformes par les internautes. Les experts ne peuvent expliquer leur présence.
Plus de 810 000 comptes Français concernés
Une telle fuite de données est forcément très dangereuse pour les utilisateurs concernés. L’exposition à ces informations les rend vulnérables aux attaques en ligne telles que le vol d’identité, la fraude financière sur d’autres plateformes, y compris les services bancaires en ligne. Les informations de contact de l’utilisateur peuvent également être utilisées pour envoyer des e-mails personnels. Nous devons donc accorder une attention particulière. .
Suite à l’invasion d’entreprises à travers le monde, on dit que le groupe de rançongiciels Ryuk a mis 150 millions de dollars dans la poche avec le paiement d’une rançon.
Les opérateurs de ransomware Ryuk auraient gagné plus de 150 millions de dollars en Bitcoin en payant de l’argent de piratage à des entreprises du monde entier.
c’est pas très clair!
La société de renseignement sur les menaces Advanced Intelligence (AdvIntel) et la société de cybersécurité HYAS ont publié jeudi une étude qui suit les paiements effectués sur 61 adresses Bitcoin, précédemment attribuées et liées aux attaques de ransomware de Ryuk.
« Ryuk reçoit une partie importante de la rançon d’un courtier bien connu qui effectue des paiements au nom des victimes du ransomware », affirment les deux sociétés. «Ces paiements s’élèvent parfois à des millions de dollars, mais ils se comptent généralement par centaines de milliers. «
AdvIntel et HYAS expliquent que les fonds extorqués sont collectés sur des comptes de dépôt, puis transférés au blanchiment d’argent. Ensuite, soit ils retournent au marché noir et sont utilisés pour payer d’autres services criminels, soit ils sont échangés dans un véritable échange de crypto-monnaie.
Mais ce qui a le plus attiré l’attention des enquêteurs, c’est que Ryuk a converti son Bitcoin en véritable monnaie fiduciaire à l’aide de portails de crypto-monnaie bien connus tels que Binance et Huobi – probablement via des identités volées. D’autres groupes de ransomwares préfèrent généralement utiliser des services d’échange plus obscurs.
Cette enquête met également à jour nos chiffres sur les activités de Ryuk. Les derniers chiffres étaient datés de février 2020, après que des collaborateurs du FBI se soient exprimés lors de la conférence RSA. À l’époque, le FBI affirmait que Ryuk était de loin le groupe de ransomware actif le plus rentable avec plus de 61,26 millions de dollars générés entre février 2018 et octobre 2019, selon les plaintes reçues par son «Internet Crime Complaint Center».
Cette nouvelle étude de 150 millions de dollars montre clairement que Ryuk a conservé sa place au sommet, du moins pour le moment.
Au cours de l’année écoulée, d’autres groupes de ransomwares – tels que REvil, Maze et Egregor – se sont également fait un nom et ont été très actifs et ont infecté des centaines d’entreprises. Cependant, à l’heure actuelle, aucun rapport ne permet d’estimer les sommes déclarées de ces groupes. L’enquête la plus récente de ce type était celle de la société de cybersécurité McAfee, publiée en août 2020, qui estimait que le groupe de ransomware Netwalker avait accumulé environ 25 millions de dollars de rançon entre mars et août 2020.
C’est l’une des plus grosses fuites, gigantesque, dangereuse dans les détails des données et très facile à obtenir.
Des fuites de données critiques détruisent la vie de presque tous les citoyens brésiliens
Il est difficile d’imaginer un pire désastre. Mardi 19 janvier, la société de sécurité PSafe a identifié une fuite très inquiétante car elle permettait d’accéder à des données plus critiques de plus de 220 millions de Brésiliens, plus que la population dans son ensemble (et pour cause: la base de données contient également des données sur les personnes décédées. ).
Trois jours plus tard, le site spécialisé Tecnoblog a découvert que non seulement un voleur avait découvert la fuite et téléchargé les données (en août 2019), mais qu’il les avait également postées sur un forum de vente accessible à tous. Certaines des données peuvent être téléchargées gratuitement, le reste peut être acheté au détail.
L’une des raisons pour lesquelles nous parlons de données critiques est que la base de données contient le « Cadastro de Pessoas Físicas » (CPF) des victimes et, dans certains cas, même une photocopie de la carte où ce numéro est écrit. En France, le CPF correspond au numéro fiscal, l’identifiant associé au paiement de la taxe. La simple présence de CPF suffit pour considérer le risque de fraude ou d’usurpation d’identité.
Mais en plus, il est livré avec un certain nombre de données terriblement précises. Respirez profondément, voici une liste non exhaustive de ce que contient la base de données pour chacun, ou presque:
Nom, prénom, date de naissance, nom des deux parents, état matrimonial, niveau de scolarité. Email, numéro de téléphone, adresse (nom exact de la rue, mais aussi coordonnées GPS). Plusieurs équivalents du numéro de sécurité sociale et détail de certaines prestations régulières correspondant aux caisses complémentaires familiales françaises. Détails sur le ménage: nombre de personnes, niveau de revenu. Informations sur l’emploi: nom légal et pièce d’identité de l’employeur, type d’emploi, statut d’emploi, date d’emploi, salaire, nombre d’heures par La semaine. Estimation du revenu: ce calcul prend en compte le salaire, le loyer ou encore l’encaissement d’une éventuelle rente. Ces données sont utilisées pour classer les personnes par niveau de classe sociale (faible, moyen, élevé) et par niveau de revenu. Toutes sortes de données financières: détails de la cote de crédit; le nom du débiteur et l’ID du statut de la dette de la banque du mauvais payeur. Avec tous ces éléments, le fichier, même au format texte, pèse plus de 14 gigaoctets. Dans le détail, il contient 37 bases de données distinctes, signe que l’auteur de l’infraction avait accès à l’ensemble du système d’une entreprise et pas seulement à une ou deux bases de données mal sécurisées.
Qui peut posséder une telle quantité de données critiques? Le détaillant a appelé le fichier « Serasa Experian », le nom d’une société de crédit brésilienne. Bien que la cybercriminalité ne puisse être tenue pour acquise, la base de données contient plusieurs calculs économiques utilisés par Seresa Experian, dont Mosaic, l’un de ses services de classification dédié au ciblage publicitaire. La société contrevenante a déclaré qu’elle avait ouvert une enquête mais n’avait jusqu’à présent trouvé aucune preuve de cambriolage dans son système.
En attendant d’en savoir plus sur les événements qui ont conduit à la fuite, le Brésil doit faire face à une crise nationale de cybersécurité et à une véritable crise de confiance dans les communications. La base de données est une opportunité en or pour les cybercriminels, petits et grands. Il permettra d’établir des hameçonnages massifs et de sélectionner les cibles les plus pertinentes parmi la quasi-totalité de la population. Plus précisément, les criminels peuvent cibler les personnes peu scolarisées, celles qui vivent dans une région particulière ou même s’attaquer aux revenus élevés. Pas besoin de chercher un moyen de les contacter, tout est dans la base de données. Ils peuvent repousser leur attaque par e-mail, téléphone ou lettre en fonction de leur cible.
D’autres utilisations peuvent avoir des conséquences encore plus importantes. Alors que la menace des ransomwares envahit les entreprises, ce type de fuite augmente considérablement le risque. Pour rappel, ce malware se propage aux victimes des systèmes d’entreprise et crypte tout ce qu’il trouve. Les logiciels d’entreprise (e-mails, progiciel bureautique, outils professionnels, etc.) deviennent inutilisables, tout comme les équipements informatiques (ordinateurs, copieurs, ports de sécurité, etc.) et les documents confidentiels ne peuvent plus être lus. C’est alors que les criminels exigent une rançon – allant de quelques centaines de milliers à des dizaines de milliers de millions d’euros – pour une promesse de lever le blocus des systèmes.
Pour pénétrer par effraction dans leur domicile, les intimidateurs ciblent les employés de l’organisation cible qui ont un niveau élevé de responsabilité et d’accès au réseau. L’objectif: infecter le patient zéro, qui infectera très probablement rapidement le reste du réseau. Ils créent donc des phishings sur mesure, qu’ils vivent de données collectées par eux-mêmes ou de fuites. C’est là que réside l’intérêt de la base de données attribuée à Serasa Experian. Il permet un ciblage direct des personnes d’intérêt telles qu’elles sont répertoriées comme telles dans le fichier. Mieux encore, il fournit plus que suffisamment de détails pour créer une arnaque de phishing très convaincante.
Bien que toutes les violations de données n’aient pas de conséquence, elles pourraient façonner les prochaines années avec la cybersécurité brésilienne.
Qu’elles soient intentionnelles ou opportunistes, les attaques de ransomwares créent le chaos. Concentrez-vous sur les faiblesses, les techniques utilisées et les réactions à adopter pour tenter de faire face au pire et limiter les dégâts.
Plus virulentes et professionnalisées que jamais, les cyberattaques provenant de ransomwares ciblant les entreprises ainsi que les administrations et les communautés sont un véritable fléau. Suite à la publication début septembre d’un guide signé par l’ANSSI et le ministère de la Justice passant en revue les moyens d’action et les réponses pour faire face à cette formidable menace, c’est au tour de l’Observatoire. la sécurité des réseaux et des systèmes d’information (OSSIR) pour jouer un rôle dans la lutte contre les ransomwares.
Dans le cadre de l’une des dernières visioconférences de l’association, Christophe Renard, Agent au sein de la direction responsable de la sous-direction des opérations de l’ANSSI, est intervenu dans le cadre d’un retour d’expérience sur l’anatomie des attaques de ransomware. Après avoir brièvement passé en revue le rôle de l’ANSSI dans la lutte contre les cybermenaces (prévention, réponse aux incidents et partage des connaissances), Christophe Renard a rappelé l’explosion des attaques ransomware (104 entre le 1er et le 1er janvier) (septembre 2020), qui a conduit à plusieurs incidents majeurs, qui combinait destruction de données et arrêt de production, comme cela a été le cas récemment avec Sopra Steria, avec un impact économique significatif.
Comment connaitre un ransomware
Dans la première partie de son retour d’expérience, Christophe Renard dresse un panorama des points d’entrée qui permettent à un pirate d’accéder à un système exposé. Généralement via un point d’accès accessible depuis Internet ou un poste de travail utilisateur via un email contenant un lien ou un document capturé. Il y en a un certain nombre allant de l’exploitation de grandes vulnérabilités (CVE-2019-11510 sur PulseSecure, CVE-2019-19781 sur Citrix et CVE-2019-0604 sur Sharepoint) à celles qui font l’objet d’analyses massives, à l’énumération de des mots de passe sur des services exposés sur Internet (RDS sur des serveurs de domaine, des VM de domaine, etc.) ou encore des résultats de campagnes de botnet (Emotet, Dridex, etc.).
« De temps en temps, les attaquants tentent d’étendre leur emprise », a déclaré Christophe Renard. Cette latéralisation peut alors emprunter plusieurs chemins, allant de la numérisation réseau à l’exploration système en montage RDP, RCP et SMB ou encore l’utilisation de trames standards offensives (powershell-Empire, Cobalt Strike, Metasploit, etc.). L’augmentation des privilèges fait bien sûr partie du plan d’attaque d’un hacker pour atteindre ses objectifs. Pour cela il peut essayer de réutiliser des mots de passe qui peuvent être communs entre admin et utilisateur, extrapoler les règles de production ou faire un décompte brutal des applications ou même pêcher dans le SI (mots de passe fichier excel, raccourcis de connexion avec mots de passe enregistrés …). Mais aussi attrapé par les «points d’eau» tels que les applications Web internes ou même le portail VPN en tant que tel. Pour protéger l’accès, des procédures peuvent être envisagées: comme la création de comptes privilégiés (AD, administrateurs locaux, etc.) ou l’ajout d’implants (RAT, webshell, tunnels inversés, etc.).
Anticipant et assurant l’effet maximal de son attaque, le hacker cherche à mettre en œuvre son ransomware le plus rapidement possible. Cela implique en particulier des étapes pour neutraliser l’antivirus, arrêter les processus serveur à la dernière minute ou s’assurer que les objectifs pertinents sont effectivement atteints. Par conséquent, il est préférable de porter une attention particulière à certains signaux susceptibles de se produire, tels que le suivi des virus, les pannes d’antivirus, les pannes de service inattendues ou les connexions de contrôleur de domaine. Dans le but de copier et d’exécuter son programme malveillant à grande échelle, l’utilisation de mécanismes d’administration est effectuée (Batch files de PsExec en série, création de tâches pour l’exécution d’instructions de GPO, utilisation de BITS …). Une fois implémenté, le code s’attaquera à plusieurs objectifs: supprimer les clichés instantanés, rechercher et crypter des fichiers, créer des messages d’invitation et de contact, ou même envoyer des informations de télémétrie pour estimer les attaques réussies.
Comprendre le timing d’un ransomware
Généralement, les campagnes de ransomwares sont menées après un timing qui rend plus difficile de les contrer (week-ends, vacances, etc.). Il est donc temps pour l’entreprise de se lancer avec les conséquences de la transition vers la crise, qui mobilisera des acteurs clés en interne (direction générale, experts sécurité, DSI, etc.), mais aussi en externe (sous-traitants, enquêteurs numériques …). Il est impératif à ce stade d’identifier les responsables et impliqués dans cette gestion de crise, et notamment leur rôle et leur périmètre d’intervention. Les premières actions visent à freiner la prolifération des réseaux (perturbation de l’accès Internet, filtrage réseau de niveau 2 ou 3, coupure des accès tiers, etc.), mais également des systèmes (arrêt des postes de travail, extension de la couverture antivirale et XDR, etc.) le piège tendu par les cyber-attaquants et la nécessité de redémarrer l’activité au plus vite pour éviter de lourdes pertes opérationnelles et financières, les entreprises doivent également initier un plan de communication (salariés, partenaires, médias, etc.) en n’oubliant pas l’essentiel: déposer une plainte auprès du autorités compétentes (police, gendarmerie …) et signaler l’incident (ANSSI, CNIL …).
Testez la restauration à l’avance
Dans une manipulation tendue et compliquée du cotext, les erreurs se produisent rapidement. Mais certaines sont à éviter, comme le rappelle Christophe Renard. « La crise des ransomwares est une crise stratégique; elle ne doit pas être gérée uniquement sous l’angle informatique. » De même, il est illusoire de croire qu’une solution peut être trouvée en quelques jours: « aucune crise de ransomware, comme je l’ai observé, n’a duré moins de 3 semaines […] nous devrons enquêter, reconstruire, mettre en œuvre des mesures temporaires, restaurer Personne n’a les équipes internes pour tout faire. »Attention à ne pas baser toute cette organisation de crise sur une seule personne:« personne ne garde 3 semaines de crises sans repos, un burn-out lors d’un incident survient », prévient Christophe Renard.
Revenir à la normale, après une attaque de ransomware
Pour revenir à la normale et après une étape corrective nécessaire, le processus de récupération est une étape clé qu’il ne faut pas sous-estimer. Il est également nécessaire que les sauvegardes et les applications puissent être restaurées en étant préalablement déconnectées et désynchronisées du SI maître. «L’expérience des tests Restore est précieuse: toutes les raisons pour ne pas les faire par temps calme sont exacerbées par un environnement dégradé et le stress», explique Christophe Renard. Le temps viendra alors de se faire un état des lieux (image, technique, économique, législatif et humain) et d’en tirer les conséquences pour améliorer la réponse aux incidents et mieux contrer les effets catastrophiques du prochain ransomware. Car s’il y a une chose à garder à l’esprit, c’est plus que jamais en termes de cybersécurité que l’on n’est jamais en sécurité une fois pour toutes.
Anssi a publié un nouveau rapport, cette fois axé sur l’activité ransomware de Ryuk. Particulièrement impliqué dans l’attaque de Sopra Steria en France, ce logiciel malveillant se distingue de la concurrence et ne se contente pas de dupliquer les méthodes de ses concurrents.
Ryuk LE ransomware 2020?
Ryuk est un ransomware actif depuis 2018 et dont les opérateurs sont particulièrement actifs. C’est ce qui a valu le titre de «ransomware le plus rentable» selon le FBI en 2018 et généré plus de 61 millions de dollars de rançon entre février 2018 et octobre 2019.
Cependant, Ryuk n’aborde pas les méthodes qui ont fait le succès de groupes malveillants comme Maze ou Revil: pas de chantage pour le vol de données, pas de place pour montrer les victimes ou les communiqués de presse ici. Pourtant, ce ransomware, qui est actif depuis deux ans maintenant, reste une menace majeure, et Anssi a publié un rapport de statut.
Ryuk est un ransomware dont le but est de crypter les données de la victime pour exiger une rançon. Anssi indique que les cibles privilégiées des opérateurs de ce ransomware sont les grandes entreprises capables de payer les grosses rançons requises, principalement aux États-Unis et au Canada. L’agence note également que les opérateurs de Ryuk ne réservent pas d’autres groupes vis-à-vis des établissements de santé: « en octobre 2020, Ryuk serait responsable de 75% des attaques sur le secteur de la santé qu’il attaquerait depuis le premier semestre 2019 ». Des dizaines d’hôpitaux américains ont été victimes d’une campagne de Ryuk au début d’octobre visant les services dans les hôpitaux de l’UHS. Le FBI et le CISA américain ont également mis en garde contre le risque de nouvelles attaques basées sur Ryuk dans un nouveau communiqué d’information publié fin octobre.
Trickbot, Emotet et le bazar Comme de nombreux ransomwares, Ryuk n’est que la dernière étape d’une chaîne d’infection multi-malware. Les auteurs du rapport indiquent que l’infection Trickbot, au moins jusqu’en septembre 2020, aurait été le point d’entrée privilégié des opérateurs Ryuk pour s’implanter dans les réseaux d’entreprise. Trickbot, avec Emotet et bien d’autres, est un malware de type chargeur qui se propage généralement via des campagnes de courrier électronique malveillantes pour infecter un appareil cible, puis se propager à travers le réseau interne d’une victime et se déplacer jusqu’à ce qu’il compromette un contrôleur de domaine. La dernière étape est la mise en œuvre du ransomware, le cryptage des machines et la demande de rançon. Et si ce type d’attaque prend généralement du temps, certains opérateurs Ryuk se démarquent par leur rapidité: Anssi indique ainsi que dans certains cas le temps de la première infection et du cryptage est réduit de quelques jours. (2 à 5) en trois heures ».
En 2020, cependant, les opérateurs de Ryuk semblent s’être progressivement tournés vers un nouveau chargeur, connu sous le nom de BazarLoader, actif depuis mars 2020. «Comme TrickBot, Bazar serait utilisé comme un accès en tant que service pour faire des compromis ou même qualifier un SI pour le compte d’autres groupes d’attaquants. On ne sait pas si BazarLoader, comme TrickBot, fonctionne également sur un modèle d’affiliation », précise l’agence, qui précise que le logiciel est principalement distribué par le groupe derrière Trickbot. D’autres chargeurs ont également été identifiés dans des attaques impliquant le malware Ryuk: Buer et Le logiciel Silent Night a également été utilisé dans l’attaque qui a implémenté Ryuk.
Raas ou pas Raas, c’est la question
L’un des points qui sépare Ryuk du reste de l’écosystème de la cybercriminalité des groupes de ransomware est la question du modèle commercial de Ryuk. Pour de nombreux ransomwares apparus ces derniers mois, le modèle économique utilisé est généralement celui de RaaS (Ransomware as a service): le groupe à l’origine des ransomwares commercialise ses logiciels sur des forums clandestins auprès d’autres groupes, qui s’assurent ensuite de les diffuser réseaux informatiques de leurs victimes.
Pour Anssi, Ryuk n’est « pas officiellement un RaaS »: l’agence déclare ainsi qu’elle n’a observé aucune promotion des opérateurs Ryuk sur les forums clandestins. Ryuk est néanmoins exploité par plusieurs acteurs malveillants, selon Anssi. S’il n’est pas vendu au public, il pourrait être mis à la disposition de partenaires de confiance par le créateur du code malveillant, ou il pourrait être exploité indépendamment par plusieurs groupes à l’aide d’outils et de formes de propagation communs. .
Il est donc difficile de savoir qui tire exactement les fils de Ryuk: le rapport de l’agence met en évidence le rôle central joué par deux acteurs malveillants, le groupe WizardSpider derrière Trickbot et le groupe identifié comme UNC1878. Selon FireEye, ce dernier groupe est responsable de 83% des attaques impliquant Ryuk. L’agence note également l’implication d’autres groupes tels que FIN6 dans la prolifération du ransomware Ryuk ainsi que du code et des méthodologies entre Ryuk et un autre ransomware connu sous le nom de Conti. Si Ryuk n’est pas «officiellement un RaaS», il n’en est pas moins un acteur profondément enraciné dans la sphère de la cybercriminalité et avec de nombreux liens avec des groupes tiers.
Dans un communiqué de presse publié cette semaine, le Cigref met en garde contre la montée des cyberattaques et la menace que cette hausse fait peser sur l’économie française. Et ce alors que de plus en plus d’entreprises en France sont concernées par les attaques de ransomwares.
Le Cigref s’inquiète de la reprise des attaques par ransomware
Un risque informatique pour les entreprises Francaises:
Depuis le début de l’année scolaire, les assaillants n’ont pas désarmé et l’épidémie de rançon commence à se manifester. Le Cigref, organisation qui regroupe un réseau de grandes entreprises et administrations françaises sur le thème du numérique, indique avoir adressé une lettre au Premier ministre l’avertissant de «l’augmentation du nombre et de l’intensité des cyberattaques» et de l’impact de cette situation sur l’économie française.
« Les pertes d’exploitation des centaines d’entreprises, grandes et petites, qui ont subi une cyberattaque ne sont plus anecdotiques, comme le montre trop souvent l’actualité », a déclaré Cigref dans son communiqué de presse. L’organisation reconnaît les efforts déjà consentis par l’Etat à travers Anssi, mais note «l’insuffisance des réponses de la communauté internationale et des Etats face à la réalité d’une menace qui se déploie à l’échelle mondiale.» Le Cigref saisit également l’occasion pour pour pointer du doigt les fournisseurs de systèmes numériques dont les pratiques sont jugées inadéquates: le Cigref appelle à une régulation de ces acteurs pour améliorer la sécurité globale des entreprises utilisant ces outils.
Covid + ransomware = pas bon!
Le contexte est en effet délicat pour les entreprises déjà touchées par la crise sanitaire et les mesures d’endiguement mises en place par le gouvernement. Mais la période a également été marquée par une vague d’attaques de ransomwares qui a frappé les entreprises françaises. Nous avions publié des retours de Paris Habitat, mais de nombreuses autres victimes d’attaques de ransomwares ont été touchées ces dernières semaines.
On peut citer le quotidien Paris Normandie, la société de services informatiques Umanis, Scutum ou encore Siplec. Il y en a beaucoup d’autres dont les attaques ont été revendiquées par des groupes de cybercriminalité mais non confirmées par les victimes. Et on ne parle que des victimes qui ont été déclarées depuis début novembre, mais beaucoup passent sous le radar et ne communiquent pas et espèrent que les assaillants ne communiquent pas non plus (ce qui est loin d’être évident).
Outre les entreprises, de nombreuses administrations et collectivités locales sont également touchées: les chambres d’agriculture du Centre-Val de Loire et de la Nouvelle-Aquitaine ont ainsi porté le poids de ces attaques, ainsi que Vincennes ou la ville de Bondy, qui rapporte avoir été touchée deux fois de suite. une attaque informatique en dix jours. Une nouvelle typologie des victimes préoccupe particulièrement Anssi, qui publie désormais un guide de sécurité pour les communes et envisage de profiter du plan de relance pour lancer un plan de sécurisation des systèmes informatiques des collectivités locales.
La tendance à la hausse des cyberattaques est observée depuis plusieurs mois maintenant: leMagIt avait réalisé un premier recensement des cyberattaques en septembre, laissant supposer avoir identifié des dizaines de victimes en France et plus de 700 dans le monde. . Cigref n’est donc pas déplacé pour rien: la facture (ou rançon) de l’économie française peut s’avérer salée.
La firme Paris Habitat confirme avoir été touchée par des ransomwares, ce qui a conduit à la paralysie de ses services pendant plusieurs jours. Cependant, Paris Habitat a refusé de payer la rançon et a reconstruit son système sur la base de sauvegardes.
Après près de trois semaines de silence radio, Paris Habitat fournit des détails sur la cyberattaque qui a paralysé ses services. Comme l’ont mentionné MagIT et plusieurs sources internes, c’est en fait un ransomware qui a affecté les services informatiques du bailleur social parisien. «L’attaque a eu lieu dans la soirée du 27 octobre et a été détectée par nos systèmes informatiques le 28 au matin», explique Marie Godard, directrice adjointe de Paris Habitat. «On pense que le vecteur d’intrusion est une attaque de phishing, mais notre enquête n’est pas encore terminée. Cependant, le groupe derrière l’attaque a été identifié comme étant Sodinokibi. «
Il y a donc eu une demande de rançon, mais Marie Godard explique que « la question ne s’est pas posée. On s’est rendu compte que nous avions des sauvegardes audio remontant au mardi 27 octobre, ce qui nous a évité d’avoir à envisager de payer une rançon. » Paris Habitat garantit qu’il n’y a pas eu de perte ou de vol de données. Quinze jours après la première attaque, Sodinokibi n’a en fait publié aucune donnée sur son site Internet Paris Habitat, suggérant que les données des utilisateurs n’ont pas été effectivement volées.
Pour limiter l’attaque, la direction a choisi d’arrêter tout son système informatique mercredi avant de redémarrer progressivement les systèmes à partir de vendredi. « Nous avons immédiatement alerté nos partenaires directs de la situation », a déclaré le directeur adjoint. Paris Habitat héberge en effet un data center à Paris, qui héberge également AP-HP et Eau de Paris. Mais «la partition entre les différents SI a permis de limiter le risque de reproduction», assure Marie Godard.
En reconstruction
La continuité du service a été assurée en s’appuyant sur le réseau de gardiens d’immeubles de Paris Habitat: le site internet sur place a ainsi référé les locataires à leur concierge ou à un numéro de téléphone unique permettant l’Information. Un site Internet du personnel a également été mis en place pour leur fournir des informations sur le redémarrage des systèmes et les mesures à mettre en œuvre pour le confinement. Lorsque l’attaque a été déclarée quelques jours avant l’annonce du confinement, il valait mieux tuer deux oiseaux d’une pierre. «Le problème maintenant est de récupérer en s’assurant que tout est fiable», a déclaré le directeur adjoint, qui a déclaré que le groupe travaillait avec Frame IP pour remettre les systèmes en marche.
«Nous devons nous assurer que toutes les données sont fiables et que les machines des employés le sont également. Au total, donc, plus de 1 500 ordinateurs portables doivent être ciblés pour s’assurer qu’ils ne sont pas compromis. Selon le directeur adjoint, il y a déjà eu plus de 1 200 unités. Elle explique que les services sont progressivement redémarrés, puisque le site doit être de nouveau en ligne « avant la fin de la semaine ». Le groupe a déposé une plainte et BEFTI et OCLCTIC sont chargés de l’enquête. Un rapport a également été fait à la CNIL. Paris Habitat explique également avoir prévenu Anssi de l’attaque.
Sodinokibi ou Revil fait référence à un groupe de cybercriminalité particulièrement actif, spécialisé dans les attaques de ransomwares. Apparu en avril 2019, ce ransowmare fonctionne sur le modèle de RaaS (Ransomware as a Service), ce qui signifie qu’il loue ses malwares à des groupes tiers, «affiliés», responsables de la réalisation des attaques, alors que les créateurs du malware sont normaux responsable de la négociation et de la récupération de la rançon puis de la redistribution des gains. Revil est un groupe connu pour télécharger et revendre les données qu’il vole à ses victimes via un site dédié. Mais jusqu’à présent, le groupe n’a pas revendiqué la responsabilité de l’attaque ou téléchargé des données appartenant à Paris Habitat.
Scutum, Sopra Steria, Mairie de Vincennes, Mairie d’Alfortville, Software AG, le Groupe ENEL … En France, comme partout en Europe, les grandes entreprises et les administrations voient leur activité très perturbée pendant de nombreux jours après des attaques de ransomwares.
Une situation qui inquiète évidemment les pouvoirs publics. La semaine dernière, la commission sénatoriale des affaires étrangères, de la défense et des forces armées a interviewé Guillaume Poupard, directeur de l’ANSSI (Agence nationale pour la sécurité des systèmes d’information).
« Le crime organisé a pris le cyber-outil pour s’occuper des victimes », a expliqué Guillaume Poupard aux sénateurs, notant une explosion de crimes graves et d’attaques de ransomwares. L’ANSSI n’intervient que sur des événements ayant un impact fort sur la sécurité nationale ou la sécurité économique. Mais Guillaume Poupard note que «nous étions à 54 attaques à la fin de 2019, et il y en avait 128 par. 30 septembre cette année. Au cours d’une année, il triple ou quadruple constamment, donc c’est quelque chose de particulièrement inquiétant, et je ne vois aucune raison pour que cela change à court terme. «
Le schéma est toujours le même: une attaque (souvent du phishing) qui conduit à une intrusion informatique suivie d’un cryptage qui bloque les données des victimes et une extorsion pour débloquer la situation. Rançon qui coûte cher: «On parle aujourd’hui de millions ou dizaines de milliers d’euros», assure Guillaume Poupard.
En septembre, une patiente en Allemagne est décédée après qu’une opération vitale qu’elle devait subir n’a pas pu avoir lieu après une paralysie informatique à l’hôpital universitaire de Düsseldorf causée par un ransomware.
Fin septembre, le géant hospitalier UHS (Universal Health Services) a également été victime des effets disruptifs des ransomwares.
Fin octobre, le FBI a émis une alarme prétendant disposer d’informations concrètes sur les préparatifs d’une vague d’attaques de ransomwares contre le système hospitalier et les prestataires de soins de santé américains.
Interrogé sur ces événements en pleine crise sanitaire et les attentats contre les hôpitaux français, Guillaume Poupard a précisé que « les attentats n’ont pas explosé, ils n’ont pas augmenté en volume ou en virulence » avant d’ajouter que « les grands groupes criminels ont publié un communiqué au début de La crise de dire qu’ils ont temporairement suspendu les attaques contre les hôpitaux (…) et s’y sont effectivement collés. « . Grands groupes peut-être, mais à en juger par les événements en Allemagne et aux États-Unis, certains groupes n’ont eu aucune inquiétude.
Il note également que les attentats ne cherchent plus à « jeter un large filet », mais sont de plus en plus ciblés et ciblés principalement sur « les victimes sous pression et qui peuvent se permettre de payer ».
Il a défendu le passage de Sopra Steria et leur a même donné comme exemple des entreprises qui ont su réagir rapidement et ont réussi à limiter l’impact de l’attaque ransomware dont elles ont été victimes: «Ils ont pu pour détecter l’attaque, qui n’a touché très tôt que quelques dizaines d’ordinateurs, et la bloquer. Ils ont pris soin d’arrêter complètement les grands systèmes pour ne pas faciliter son expansion et polluer leurs clients ». Guillaume Poupard note également que parmi certaines victimes fortement touchées par les ransomwares d’ici 2020, «nous arrivons désormais avec des prestataires privés intégrés dans l’équation pour réparer les systèmes en quelques jours, au plus quelques semaines pour un redémarrage complet. a parlé il y a un an pendant des semaines et des mois ».
En revanche, Guillaume Poupard n’a pas caché ses inquiétudes quant aux risques supplémentaires que comporte le télétravail. «Nous sommes encore assez préoccupés par toutes les violations que la pratique rapide du télétravail a ouverte dans les systèmes d’information. Le risque est que nous nous en rendions compte dans quelques mois», souligne Guillaume Poupard. Avant, nous encourageons les entreprises à introduire plus de contrôle et de surveillance autour du libre accès pour permettre la pratique à distance. LIEN
Les attaques par ransomwares sont en hausse. Voici les façons dont l’attaque initiale est susceptible de commencer.
Les façons dont les ransomwares pénètrent dans vos systèmes
L’impact des ransomwares continue de croître. Les ransomwares sont le problème de sécurité le plus courant en 2020. Ces attaques représentaient plus d’un tiers des cas jusqu’en septembre de l’année dernière.
Et c’est ainsi que les attaquants pénètrent dans vos systèmes d’information: dans près de la moitié (47%) des cas de ransomware, les pirates ont utilisé l’outil ouvert RDP (Remote Desktop Protocol). qui a été utilisé par de nombreuses entreprises pour aider le personnel à travailler à domicile, mais qui peut également permettre aux attaquants d’entrer s’ils ne sont pas correctement sécurisés.
Plus d’un quart (26%) des cas ont été attribués à des e-mails de phishing, et un petit nombre a utilisé des vulnérabilités spécifiques (17%), y compris – mais sans s’y limiter – Citrix NetScaler CVE-2019- 19781 et Pulse VPN CVE-2019- 11510.
Trois secteurs ont été particulièrement touchés cette année: les services, la santé et les télécommunications. Cela contraste avec les données récentes d’IBM, qui suggéraient que l’industrie manufacturière, le secteur des services professionnels et le secteur public étaient les plus susceptibles d’être touchés.
Ryuk, Sodinokibi et Maze sont les trois variantes de ransomwares les plus problématiques en 2020 et représentent 35% de toutes les cyberattaques. Les ransomwares ont tendance à passer par des périodes d’activité avant de redevenir silencieux, les développeurs chiffrant pour le mettre à niveau avant de reprendre le piratage.
De nombreuses variantes de ransomwares volent désormais les données d’entreprise et menacent de les publier: en particulier en téléchargeant entre 100 Go et 1 To de données privées ou sensibles pour maximiser la pression pour payer la rançon. 42% des cas portant sur une variante connue de ransomware étaient liés à un groupe de ransomwares qui exfiltre et publie des données sur les victimes.
Ransomware de la semaine- octobre 2020 – Des hôpitaux assiégés
Cette semaine, nous avons assisté à une attaque concertée contre le secteur de la santé par des groupes de piratage utilisant le ransomware Ryuk. En outre, nous avons vu certaines grandes entreprises bien connues souffrir d’attaques de ransomwares, qui ont affecté leurs activités commerciales.
La plus grande nouvelle cette semaine est que le gouvernement américain a averti le secteur de la santé qu’il existe « des informations crédibles sur une menace accrue et imminente de cybercriminalité pour les hôpitaux et les prestataires de soins de santé américains ». À la suite de ces attaques, nous avons vu six hôpitaux ciblés cette semaine, dont l’hôpital Wyckoff, l’Université du Vermont Health Systems, le Sky Lakes Medical Center et St. Louis. Lawrence Health System.
Nous avons également été informés d’attaques de ransomwares contre des sociétés bien connues, telles que le fabricant de meubles SteelCase, la société de conseil informatique française Sopra Steria et la société d’électricité italienne Enel Group.
Enfin, un représentant de REvil connu sous le nom de UNKN a déclaré qu’ils avaient gagné 100 millions de dollars en un an et que le tristement célèbre gang de labyrinthe avait commencé à fermer son opération de ransomware.
Maintenant que le week-end approche, il est important que toutes les entreprises surveillent les activités suspectes sur leur réseau Windows et leurs contrôleurs de domaine et réagissent de manière proactive si quelque chose est découvert.
Les contributeurs et ceux qui ont livré de nouvelles nouvelles et histoires sur les ransomwares cette semaine incluent: @PolarToffee, @VK_Intel, @struppigel, @BleepinComputer, @malwrhunterteam, @malwareforme, @ demonslay335, @jorntvdw, @Seifreed, @FourOctets , @, @Ionut_Ilascu, @DanielGallagher, @fwosar, @MarceloRivero, @Malwarebytes, @Amigo_A_, @GrujaRS, @ 0x4143, @ fbgwls245, @siri_urz, @Mandiant et @IntelAdvanced.
Le Trésor américain traite les victimes de ransomwares comme des collaborateurs
Dans une directive émise par le département du Trésor américain, le gouvernement déclare que des sanctions peuvent être envisagées pour les entreprises qui paient une rançon après une attaque de ransomware. L’idée de sanctionner les paiements de rançon gagne du terrain outre-Atlantique.
Tout le monde déconseille fortement de payer la rançon, mais beaucoup le font. Aux États-Unis, un rappel du département du Trésor américain pourrait encore refroidir les entreprises ciblées contre les ransomwares: l’OFAC (Office of Foreign Access Control) a publié une directive sur le paiement d’une rançon, déclarant que les entreprises qui acceptent de céder à l’extorsion de groupes de cybercriminalité, dans certains les cas pourraient également être sanctionnés par les autorités américaines.
Cette nouvelle mesure ne s’applique pas à tous les paiements de rançon: la directive publiée par l’OFAC explique que seuls les paiements aux groupes concernés par des sanctions prononcées par l’OFAC sont concernés par cette mesure. Le document répertorie plusieurs acteurs bien connus du monde du ransomware qui ont été visés par les sanctions de l’OFAC: le créateur du ransomware Cryptolocker Eugene Bogachev, les deux développeurs iraniens du ransomware Samsam, les groupes nord-coréens Lazarus, Bluenoroff et Andariel et enfin Evil Corp groupe, connu pour avoir développé le malware Dridex et plusieurs ransomwares toujours actifs.
Pour l’OFAC, le paiement d’une rançon à ces groupes ou à leurs affiliés peut soumettre les victimes à une enquête pour contourner les sanctions gouvernementales. Les entreprises publiques, mais aussi les partenaires qui ont participé au processus de réaction à l’incident ou qui ont réalisé l’opération, pourraient donc être concernés. L’OFAC demande aux entreprises concernées par ce scénario de contacter ces équipes avant de payer une rançon. «Les paiements de rançon profitent aux acteurs malveillants et peuvent saper les objectifs de sécurité nationale et de politique étrangère des États-Unis. Pour cette raison, les demandes de licence impliquant des rançons requises du fait d’activités malveillantes rendues possibles par le numérique seront examinées par l’OFAC au cas par cas avec présomption de refus », précise l’OFAC dans sa communication.
L’affaire de piratage Garmin, qui aurait accepté le paiement d’une rançon de 10 millions de dollars en crypto-monnaie à des personnes affiliées au groupe Evil Corp, a peut-être demandé à l’OFAC d’émettre le rappel. Comme le rapporte ZDNet.com, plusieurs journalistes ont posé la question au département du Trésor américain au moment de l’annonce du paiement de Garmin.
La rentrée scolaire a été marquée par un nombre sans précédent de cyberattaques connues impliquant des ransomwares. Le fruit de la connexion entre plusieurs facteurs. Et ceux-ci ne suggèrent aucun règlement réel.
Ransomware: Septembre 2020 sans précédent
En septembre, nous avons enregistré près de 270 attaques de ransomwares dans le monde, une explosion par rapport aux mois précédents, alors que juin et août ont déjà été marqués par une activité intense des cybercriminels. Mais attention aux trompe-l’œil.
En France, nous avons dénombré 10 cas confirmés, auxquels s’ajoute un cas suspect, mais non confirmé à ce moment, vers le 8 août et à peu près le même en juillet. Les attaques confirmées sont répertoriées sur la chronologie que nous mettons à jour régulièrement. Sur Intrinsec, Cyrille Barthélemy rapporte 13 cas «en crise» en septembre contre 10 en août.
Et de préciser que sa capacité d’intervention n’était évidemment pas la même en plein été qu’en début d’année scolaire. Chez I-Tracing, Laurent Besset a noté 9 interventions sur le mois dernier contre 4 en dessous de la précédente. Chez Advens, Benjamin Leroux fait 3 interventions majeures et moins de 5 interventions plus petites. Mais toujours 150 détections de menaces qui pourraient conduire à une détonation de ransomware, principalement Emotet.
Début septembre, l’Agence nationale de sécurité des systèmes d’information (Anssi) a rapporté avoir traité 104 attaques de ransomwares depuis le début de l’année contre 54 sur l’ensemble de 2019. Et bien sûr, cela ne prend pas en compte les cas hors de son champ d’application.
Concernant la plateforme Cybermalveillance.gouv.fr, le directeur général de GIP Acyma, Jérôme Notin, a encore signalé 1.082 signalements de ransomwares début septembre depuis le lancement de la plateforme le 4 février, avec 44% d’entreprises ou d’associations et 10 % d’administrations ou de communautés. En septembre, Jérôme Notin a enregistré 131 demandes d’assistance, contre 104 en août et 122 en juillet.
En France, à ce stade, il semble difficile de parler d’une explosion. Mais si la tendance à la hausse semble moins prononcée que pour le reste du monde, la menace semble sans doute rester à un niveau élevé.
Il y a au moins deux explications possibles de la situation, qui suggèrent que la menace ne diminuera probablement pas dans un proche avenir. Nous les développons ci-dessous le long de la chronologie.
La rentrée scolaire a été marquée par un nombre sans précédent de cyberattaques connues impliquant des ransomwares. Le fruit de la connexion entre plusieurs facteurs. Et ceux-ci ne suggèrent aucun règlement réel.
L’été meurtrier 2 (toujours pas le film), un ransomware.
En septembre, nous avons enregistré près de 270 attaques de ransomwares dans le monde, une explosion par rapport aux mois précédents, alors que juin et août étaient déjà marqués par une activité intense des cybercriminels. Mais attention aux trompe-l’œil.
En France, nous avons dénombré 10 cas confirmés, auxquels s’ajoute un cas suspect, mais non confirmé à ce moment, vers le 8 août et à peu près le même en juillet. Les attaques confirmées sont répertoriées sur la chronologie que nous mettons à jour régulièrement. Sur Intrinsec, Cyrille Barthélemy rapporte 13 cas «en crise» en septembre contre 10 en août.
Et de préciser que sa capacité d’intervention n’était évidemment pas la même en plein été qu’en début d’année scolaire. Chez I-Tracing, Laurent Besset a noté 9 interventions sur le mois dernier contre 4 en dessous de la précédente. Chez Advens, Benjamin Leroux fait 3 interventions majeures et moins de 5 interventions plus petites. Mais toujours 150 détections de menaces qui pourraient conduire à une détonation de ransomware, principalement Emotet.
Début septembre, l’Agence nationale de sécurité des systèmes d’information (Anssi) a rapporté avoir traité 104 attaques de ransomwares depuis le début de l’année contre 54 sur l’ensemble de 2019. Et bien sûr, cela ne prend pas en compte les cas hors de son champ d’application.
Concernant la plateforme Cybermalveillance.gouv.fr, Jérôme Notin, PDG de GIP Acyma, a encore signalé début septembre 1.082 signalements de ransomwares à ce jour depuis le lancement de la plateforme le 4 février, avec 44% d’entreprises ou d’associations et 10 % d’administrations ou de communautés. En septembre, Jérôme Notin a enregistré 131 demandes d’assistance, contre 104 en août et 122 en juillet.
En France, à ce stade, il semble difficile de parler d’une explosion. Mais si la tendance à la hausse semble moins prononcée que pour le reste du monde, la menace semble sans doute rester à un niveau élevé.
Il y a au moins deux explications possibles de la situation, qui suggèrent que la menace ne diminuera probablement pas dans un proche avenir. Nous les développons ci-dessous le long de la chronologie.
les groupes de hackers modifient leurs objectifs et les prix
Les groupes de hackers de ransomware améliorent de plus en plus leur stratégie. Ainsi que le profil de leurs victimes potentielles, comme le souligne IBM.
Les attaques de ransomwares continuent de croître, ce qui, selon IBM, suggère que les gangs exigeant une rançon augmentent leurs demandes de rançon et deviennent plus sophistiqués sur la façon dont ils calculent la rançon qu’ils tentent de faire chanter. Le nombre d’attaques de ransomwares auxquelles l’équipe dédiée d’IBM est confrontée a triplé au deuxième trimestre 2020. Il représente désormais un tiers de tous les incidents de sécurité auxquels IBM est confronté entre avril et juin 2020.
Rien qu’en juin, un tiers de toutes les attaques de ransomware traitées par l’équipe IBM jusqu’à présent cette année se sont produites. Le rapport indique que les demandes de rançon augmentent rapidement, certaines atteignant 40 millions de dollars, révélant en outre que les attaques de Sodinokibi représentent un tiers des demandes de rançon auxquelles IBM Security X-Force a répondu au cours de l’année. Pour IBM, l’industrie a radicalement changé au cours des derniers mois.
La rançon frappe le plus durement l’industrie manufacturière, représentant près d’un quart de tous les incidents recensés par IBM aujourd’hui, suivi du secteur des services puis du secteur public. « Les attaques contre ces trois secteurs suggèrent que les acteurs de la menace recherchent des victimes avec une faible tolérance aux temps d’arrêt », a déclaré le personnel du groupe américain. « Les organisations qui nécessitent une disponibilité élevée peuvent perdre des millions de dollars chaque jour en raison de la fermeture de l’entreprise. En conséquence, elles peuvent être plus susceptibles de payer une rançon pour retrouver l’accès aux données et reprendre leurs activités. Des activités », note également. la direction d’IBM. LIEN
Selon la US Insurance Coalition, les attaques de ransomwares représentent 41% des réclamations depuis le début de l’année. Bitdefender rapporte une multiplication par 7 des rapports sur un an. LIEN
Les cybercriminels ont fait près de 700 victimes dans le monde depuis le début de l’année. Nous avons identifié plusieurs dizaines de cas en France. Mais la transparence semble encore très limitée.
Ransomware: une menace majeure avec de nombreuses inconnues
Comment déterminer l’importance de la menace? Quelques exemples épars, plus ou moins frappants, suffisent-ils à éveiller la conscience? Rien n’est moins sûr. Mais il n’y a aucun doute: la menace des ransomwares augmente.LIEN
Le tribunal de Paris a été victime d’une cyberattaque en envoyant de faux courriels à plusieurs juges et avocats, dont certains sont associés à des affaires très sensibles. Une première enquête remise aux services de renseignement internes a été ouverte pour déterminer les causes de l’incident et ses auteurs.
LA JUSTICE SE MODERNISE ?
Le tribunal de Paris a été victime d’une attaque informatique, révèle le Journal du Dimanche (JDD) le 6 septembre. Une première enquête sur les «attaques contre des systèmes automatisés de traitement de données contenant des données à caractère personnel mis en œuvre par l’État» a été ouverte pour déterminer les causes de l’incident et ses auteurs. Il a été remis à la direction générale de la sécurité intérieure (DGSI), chef du renseignement français, compte tenu de la sensibilité de l’affaire.
Cette institution judiciaire est composée de quatre unités: le siège, le parquet de Paris, le parquet national (PNF) et le parquet national contre le terrorisme. C’est la juridiction qui traite la plupart des affaires en France, dont certaines sont très sensibles comme l’affaire Sarkozy-Kadhafi.
ENVOYER DE FAUX EMAILS Cette cyberattaque consistait à envoyer de faux courriels à plusieurs juges et avocats. Pierre Cornut-Gentille et Jean-Marc Delas, avocats en droit pénal des affaires, ont reçu des messages sous forme d’échanges entre les deux collègues ou entre les cabinets des cabinets. Pierre Cornut-Gentille a été prévenu par « la fausse adresse ». Méfiant, l’avocat a décidé de « ne pas cliquer ». «Du coup je n’ai pas été joint, comme l’a confirmé mon informaticien», raconte-t-il. De son côté, Jean-Marc Delas a vu que son activité avait été fortement perturbée par l’attaque suite à l’ouverture d’un mail contaminé. «En fin de compte, je me suis retrouvé dans une situation où je n’avais plus accès à mon ordinateur», explique-t-il.
Aude Buresi, juge d’instruction à la place financière responsable du financement illégal de l’ancienne affaire ONU et Kerviel, a également été victime de l’attaque. Elle a dû revoir le calendrier de ses examens. Les invocations d’il y a plusieurs semaines ont été reportées. Selon des sources judiciaires, elle n’est pas la seule juge à avoir payé le prix de cet incident. Rémy Heitz, le procureur de la République, a également été visé. Il estime que le piratage informatique doit être pris très au sérieux en ce qui concerne les personnes concernées et les données potentiellement volées par les cybercriminels.
LE SERVICE POUR L’INTÉRIEUR, AUSSI! Mais selon Le Figaro, cette cyberattaque ne se limite pas au tribunal de Paris. Dimanche après-midi, le ministère de l’Intérieur a déclaré qu’il était « actuellement victime d’une campagne d’attaques de courrier ». Il a bloqué la réception par email des fichiers au format .doc « pour éviter les risques de contamination ». Il est impossible de savoir pour le moment si les deux attaques sont liées.
Le Tribunal de Paris vient s’ajouter à la longue liste des organisations victimes d’une cyberattaque. Côté public on retrouve le conseil de quartier d’Eure-et-Loir, le CHU de Rouen, l’Agence nationale de l’éducation des adultes (Afpa), les services administratifs du Grand Est, le groupe AP-HP … Quant aux entreprises privées, Bouygues Construction victime d’un ransomware ainsi que de la filiale «Transport et logistique» du groupe Bolloré. Et cette tendance est partagée par la plupart des États du monde. Aux États-Unis, pas moins de 50 collectivités locales ont été touchées par un incident de sécurité depuis janvier 2020. LIEN
Le début d’année a été clairement lucratif pour les ransomwares en France. L’Anssi et la plateforme Cybermalveillance le soulignent. Surtout, ce n’est qu’un début!
L’Agence nationale de sécurité des systèmes d’information (Anssi) et la Direction des affaires criminelles et des grâces (DACG) du ministère de la Justice viennent de publier un guide visant à sensibiliser les entreprises et les collectivités à la menace des ransomwares.
Et il semble qu’il y ait plus qu’une simple urgence: depuis le début de l’année, Anssi dit avoir traité 104 attaques de ransomwares, contre 54 en 2019 dans son ensemble. Et l’agence souligne que « ces chiffres ne donnent pas un aperçu complet des ransomwares actuels affectant le territoire national ». Comme nous le signalait le CERT de Capgemini sur Twitter – «il faut compter toutes [les attaques] gérées par les équipes du CERT en dehors d’Anssi» – mais aussi une confirmation que les cas connus, même dans les médias, ne représentent pas qu’une fraction des cyberattaques avec un ransomware. Et pourtant, ne serait-ce que pour la France, la liste des incidents connus peut déjà paraître très longue.
Concernant la plateforme Cybermalveillance.gouv.fr, Jérôme Notin, PDG de GIP Acyma, rapporte 1.082 signalements de ransomwares à ce jour depuis le lancement de la plateforme le 4 février, auprès de 44% d’entreprises ou d’associations et 10% d’administrations ou de collectivités. Hélas, plusieurs éléments convergent pour suggérer que la vague est loin d’être terminée.
La publication de ce guide par Anssi et DACG constitue un premier indice: il n’y aurait guère de raison de l’être si l’agression des cybercriminels semble être en déclin. Il est évident qu’il s’agit d’une tentative des autorités pour empêcher que la chute ne s’aggrave qu’une source déjà perceptible par rapport à fin 2019.
Trop de systèmes vulnérables
Deuxième indice: certains messages semblent encore avoir du mal à passer, laissant des routes ouvertes aux attaquants. Cela commence par un patch, en particulier pour certains équipements sensibles. Le moteur de recherche spécialisé Onyphe a récemment identifié 15 systèmes Citrix Netscaler Gateway pour les entreprises du Fortune 500 touchées par la vulnérabilité CVE-2019-19871 exposées à Internet, mais aussi 659 Cisco ASA affectés par la CVE-2020- 3452, tous les mêmes 5 serveurs VPN Pulse Secure ou près de soixante systèmes SAP affectés par la vulnérabilité CVE-2020-6287.
Au cours de l’été, nous avons même observé un groupe affecté par une attaque de cyber-ransomware exposant un système affecté par l’une de ces vulnérabilités, malgré des messages et des rappels qui ont duré plusieurs semaines. Et cela sans prendre en compte les services RDP disponibles en ligne sans authentification de la couche réseau (NLA). Autant de points d’entrée sans même parler de phishing.
Les attaques de ransomwares actuelles et la cybercriminalité économique empruntent plus généralement aux APT, a souligné Ivan Kwiatkowski des équipes de recherche et d’analyse de Kaspersky dans nos colonnes début février. Concrètement, cela signifie que l’attaque s’étend très profondément dans le système d’information jusqu’à ce qu’elle obtienne des privilèges dignes d’un administrateur et fournisse un accès très large aux données de l’entreprise compromise.
Passer d’une cible à une autre
Cela donne lieu à un premier risque: le risque de propagation – immédiate ou ultérieure – de l’attaque à des tiers en dehors de la victime d’origine, des clients ou des partenaires. Il existe un soupçon de connexion entre la cyberattaque de Maze contre Xerox et HCL Technologies, sur laquelle aucune des parties ne souhaite commenter. Mais en 2019, la start-up Huntress Labs a détaillé trois incidents dans lesquels des ordinateurs de clients de fournisseurs de services gérés ont été compromis par un ransomware via des outils de gestion à distance. Et ça ne s’arrête pas là.
Les données volées par les cybercriminels avant que leur ransomware ne soit déclenché peuvent être une mine d’or pour les futures campagnes de phishing hautement ciblées … et faciliter l’utilisation d’informations authentiques récupérées lors de l’attaque précédente. Une seule liste de milliers d’adresses e-mail avec quelques éléments personnels supplémentaires peut être un formidable point de départ.
À la mi-juillet, Brett Callow d’Emsisoft a attiré notre attention sur un cas aussi suspect: Nefilim a revendiqué la responsabilité d’une attaque contre Stadler en mai; NetWalker en a revendiqué un sur Triniti Metro début juillet; l’une des captures d’écran de ce dernier était un dossier nommé … «lettres Stadler». Pour l’analyste, «ces composés semblent trop souvent être des coïncidences». Et ce, même si NetWalker fait confiance aux «partenaires», alors que Nefilim opérerait plutôt dans le vide. Car rien ne dit qu’un des partenaires NetWalker n’a pas regardé les données que Nefilim a précédemment publiées pour les utiliser dans le cadre de l’attaque sur Triniti Metro …
Un espoir: la limitation des ressources disponibles Récemment, de nouveaux groupes de cybercriminalité sont apparus qui combinent le cryptage et le vol de données avec la menace de divulgation pour soutenir leurs efforts d’extorsion. Mais la capacité des cybercriminels à exploiter toutes les pistes qu’ils obtiennent n’est pas illimitée. Des appels aux «partenaires» ont lieu régulièrement sur les forums qu’ils visitent. Et les profils recherchés ont un haut niveau de compétence: bien que les outils disponibles gratuitement ne manquent pas, la phase de reconnaissance manuelle avant la mise en œuvre et la détonation du ransomware nécessite une certaine expertise. Cependant, rien ne garantit que certains spécialistes des étapes intermédiaires des attaques n’interviendront pas pour différents groupes.
De toute évidence, toutes ces voies ne doivent pas être exploitées en même temps: la lenteur de nombreuses organisations à fermer les portes d’entrée qu’elles laissent ouvertes sur Internet n’aide que les cybercriminels. Attention donc: un répit peut donner l’impression de se retirer de la menace, du moment qu’il ne s’agit que d’une illusion. Et une chose semble certaine: il n’est pas temps de se détendre.
Le gendarme européen de la cybersécurité a été alerté en début d’année sur la sécurité informatique dans les hôpitaux. Liste des recommandations à suivre pour assurer la sécurité de leur réseau informatique.
L’UE fournit dix conseils pour protéger les hôpitaux contre les cyberattaques
Les hôpitaux deviennent une cible de plus en plus tentante pour les cybercriminels. D’autant moins depuis la crise sanitaire, qui place le réseau hospitalier et le marché de la santé au premier plan des risques croissants de cyberattaques.
La taille des réseaux hospitaliers, l’importance vitale du parc de PC dans les réseaux qui restent opérationnels, car la manière dont une grande partie des systèmes informatiques liés à la santé fonctionnent sur des systèmes d’exploitation non pris en charge signifie que la protection des hôpitaux contre les cyberattaques devient de plus en plus compliquée tâche aujourd’hui.
Les pirates informatiques en profitent, soit pour distribuer des ransomwares, soit pour tenter de voler des informations personnelles sensibles aux patients. Pour lutter contre ces menaces croissantes, l’ENISA, l’agence européenne de cybersécurité, a publié en début d’année une liste de recommandations destinées aux responsables informatiques des hôpitaux. Bien que cette liste s’adresse principalement au secteur de la santé, la plupart des recommandations émises par Bruxelles ont une portée plus large.
« Protéger les patients et assurer la résilience de nos hôpitaux est une partie essentielle du travail de l’Agence pour rendre le secteur européen de la santé cyber-sûr », a déclaré Juhan Lepassaa, PDG de l’ENISA, entre autres. Le document intitulé «Directives pour la passation de marchés pour la cybersécurité dans les hôpitaux» recommande dix bonnes pratiques pour rendre le secteur de la santé plus résilient aux cyberattaques.
Impliquer le service informatique dans les achats
Cela semble évident, mais impliquer l’informatique dans l’approvisionnement dès le départ garantit que la cybersécurité est prise en compte dans toutes les phases du processus d’approvisionnement technologique. Ce faisant, des recommandations peuvent être faites sur la manière dont les nouvelles technologies s’intègrent dans le réseau existant et quelles mesures de sécurité supplémentaires peuvent être nécessaires.
Mettre en place un processus d’identification et de gestion des vulnérabilités
Nous vivons dans un monde imparfait, et il existe des produits qui contiennent des vulnérabilités, connues ou non encore découvertes. Avoir une stratégie en place pour faire face aux vulnérabilités tout au long du cycle de vie d’un appareil peut aider l’équipe de sécurité à se tenir au courant des problèmes de sécurité potentiels.
Développer une politique de mise à jour matérielle et logicielle
Les chercheurs en sécurité découvrent souvent de nouvelles vulnérabilités dans les appareils et les systèmes d’exploitation. Cependant, le réseau informatique de l’hôpital a toujours été incapable de garantir l’utilisation des correctifs – et c’est l’une des raisons pour lesquelles le ransomware WannaCry a eu un tel impact sur le NHS, le service public de la santé à travers le canal.
Le document, publié par Bruxelles, recommande donc aux services informatiques de déterminer le moment le plus approprié pour appliquer les correctifs dans chaque segment du réseau, ainsi que de déterminer des solutions pour les machines qui ne peuvent pas être réparées, par ex. Segmentation.
Renforcez les contrôles de sécurité pour la communication sans fil
L’accès aux réseaux hospitaliers doit être limité par des contrôles stricts, ce qui signifie que le nombre d’appareils connectés doit être surveillé et connu afin que tout appareil inattendu ou indésirable essayant d’y accéder soit identifié. Le document publié par les autorités européennes recommande que le personnel non autorisé n’ait pas accès au Wi-Fi et que les mots de passe réseau soient conçus pour être forts et difficiles à déchiffrer.
Création de politiques de test plus strictes
Les hôpitaux qui acquièrent de nouveaux produits informatiques devraient établir un ensemble minimum de tests de sécurité à effectuer sur les nouveaux appareils ajoutés aux réseaux – y compris des tests de pénétration, une fois ajoutés au réseau, pour prendre en compte les tentatives des pirates. abuser.
Créez des plans d’affaires pour la continuité
Des plans de continuité des activités doivent être élaborés chaque fois qu’une défaillance du système menace de perturber les services hospitaliers de base – qui dans ce cas sont les soins aux patients – et le rôle du prestataire dans ces cas. doit être bien défini.
Prendre en compte les problèmes d’interopérabilité
La capacité des machines à transmettre des informations et des données est essentielle au bon fonctionnement des hôpitaux, mais elle peut être compromise en cas de cyberattaque ou de temps d’arrêt. L’hôpital doit avoir des plans de sauvegarde au cas où cette opération serait compromise.
Autoriser le test de tous les composants
Les systèmes doivent être testés régulièrement pour s’assurer qu’ils offrent une bonne sécurité en combinant convivialité et sécurité – par exemple, le service informatique doit s’assurer que les utilisateurs n’ont pas changé des mots de passe complexes pour des mots de passe plus simples. Tout cela doit être pris en compte lors des tests, explique le document fourni par l’ENISA.
Autoriser l’audit des réseaux informatiques La conservation des journaux des tests et de l’activité du réseau permet de suivre plus facilement ce qui s’est passé et comment les attaquants ont accédé au système en cas de compromission, ainsi que d’évaluer quelles informations ont été compromises. «La sécurisation des journaux est l’une des tâches de sécurité les plus importantes», explique le document.
Coveware collecte des données mondiales sur les ransomwares et la cyber-extraction pour minimiser les coûts et les temps d’arrêt associés.
Une réponse professionnelle et transparente aux incidents de ransomware. Lorsque le ransomware arrive et que les sauvegardes échouent.
Coveware vous aide à vous concentrer sur votre récupération en interne, tandis que les équipes de professionnels de Coveware gèrent le processus de négociation de cyber-chantage et de récupération de données cryptées par le ransomware. Laissez les experts ransomware guider votre entreprise pour une récupération sûre, compatible et rapide des ransomwares.
Quatre ans après son lancement, l’initiative No More Ransom a permis à plus de 4 millions de victimes d’attaques de ransomwares de récupérer leurs fichiers gratuitement.
650 millions d’euros économisés grâce à l’initiative No More Ransom
Au cours des quatre premières années de l’initiative No More Ransom d’Europol, plus de 4 millions de victimes d’attaques de ransomwares ont évité de payer plus de 650 millions d’euros en réponse aux demandes d’extorsion de groupes de cybercriminels.
Lancé pour la première fois en 2016 avec quatre membres de base, No More Ransom fournit des outils de décryptage gratuits pour les ransomwares et n’a cessé de croître depuis. Aujourd’hui, il compte 163 partenaires dans les domaines de la cybersécurité, de la police, des services financiers et autres. Ensemble, ils ont mis des outils de décryptage gratuits à la disposition de plus de 140 familles de ransomwares, téléchargés plus de 4,2 millions de fois.
Les principaux contributeurs au projet incluent Emisoft, fournisseur de 54 outils de décryptage pour 45 familles de ransomwares; membre fondateur de Kaspersky, qui a fourni 5 outils à 32 familles de ransomwares; et Trend Micro, qui a fourni 2 outils de décryptage à 27 familles de ransongware. Parmi les autres sociétés de cybersécurité qui ont participé à No More Ransom, figurent également Avast, Bitdefender, Check Point, ESET et le membre fondateur McAfee.
Un outil populaire
No More Ransom est désormais disponible en 36 langues et accueille des invités de 188 pays à travers le monde. Les visiteurs sont principalement situés en Corée du Sud, aux États-Unis, au Brésil, en Russie et en Inde.
«No More Ransom est l’association entre tous les partenaires clés et les forces de l’ordre du monde entier, et tout le monde évolue dans la même direction. Comme tout le monde contribue à cette menace, nous trouvons des mesures concrètes pour lutter contre les ransomwares en tant que mesure préventive », explique Edvardas Šileris, directeur du Centre européen de cybercriminalité d’Europol, dans un entretien avec ZDNet.
«En fin de compte, ce n’est pas combien d’argent ils économisent qui compte, mais plutôt combien de personnes récupèrent leurs fichiers gratuitement. Il est tout aussi important pour un parent de restaurer les photos de ses proches que pour une entreprise de restaurer son réseau », ajoute-t-il.
La menace grandit
Bien que No More Ransom se soit avéré utile aux victimes de ransomwares, Europol lui-même ajoute que la prévention reste le meilleur moyen de se protéger contre les attaques. D’autant plus aujourd’hui que la nature en constante évolution des ransomwares signifie qu’il existe de nombreuses formes de logiciels malveillants qui ne disposent pas d’outils de décryptage gratuits … et peut-être pas. jamais.
Europol recommande plusieurs mesures de précaution, telles que la sauvegarde hors ligne de fichiers importants. Ainsi, en cas d’attaque, ils peuvent être récupérés immédiatement, qu’un outil de décryptage soit disponible ou non. L’organisation recommande également aux utilisateurs de ne pas télécharger de programmes à partir de sources suspectes ou d’ouvrir des pièces jointes provenant d’expéditeurs inconnus pour éviter d’être victimes d’une attaque de phishing.
Malgré les efforts de No More Ransom et d’autres initiatives de cybersécurité, les ransomwares restent très efficaces pour les cybercriminels, qui parviennent souvent à gagner des centaines de milliers, voire des millions, de dollars en une seule attaque. Cependant, l’application de mises à jour et de correctifs de sécurité aux PC et aux réseaux peut contribuer grandement à arrêter ces types d’attaques. LIEN
Malgré l’augmentation du nombre d’attaques pendant l’enceinte de confinement, un sur cinq admet qu’il n’a pas pu accéder à une sauvegarde de ses données en cas de besoin
Ransomware: les entreprises européennes sont-elles prêtes?
Ontrack, leader mondial des services de récupération de données, dévoile les résultats d’une enquête européenne sur les ransomwares. Quatre entreprises sur dix (39%) n’ont pas de plan d’urgence contre les ransomwares ou ne savent pas s’il en existe un. Et cela malgré un nombre sans précédent de ransomwares enregistrés au cours des 12 derniers mois1.
Les cyberattaques et les violations de données peuvent avoir de graves conséquences pour les entreprises en termes de temps d’arrêt, de dommages financiers et de réputation de l’entreprise. Les attaques de ransomwares visant à chiffrer les données d’une victime et à réclamer des frais pour les récupérer continuent d’être fréquentes. Malheureusement, les blessures peuvent être graves et généralisées. La plus grande attaque à ce jour – WannaCry – aurait touché plus de 200 000 ordinateurs dans 150 pays différents. Les ransomwares sont courants aujourd’hui et ont été exacerbés par la tendance actuelle du travail à domicile.
Un sur cinq (21%) a déclaré avoir été victime d’une attaque de ransomware et plus d’un quart (26%) a reconnu ne pas avoir pu accéder à une sauvegarde de son ordinateur après l’attaque. . Même lorsque les entreprises pouvaient accéder à une sauvegarde fonctionnelle, 22% d’entre elles ne pouvaient récupérer qu’une partie ou la totalité des données.
Dans la plupart des pays, les employés ont travaillé pendant quelques mois avec des paramètres complètement différents, où les nouveaux risques de sécurité sont élevés et où les cybercriminels trouvent de nouvelles façons d’exploiter les faiblesses qu’ils peuvent trouver.
« Nous avons constaté une augmentation significative du nombre de cas de ransomwares depuis le début du confinement », a déclaré Philip Bridge, président d’Ontrack, LLC. «Malheureusement, nous sommes à un moment où l’augmentation des distractions à la maison a conduit à une plus grande complaisance du personnel. Par exemple, en cliquant sur des liens infectés par des ransomwares, ils ne cliqueraient pas s’ils étaient au bureau. «
Bien que les avantages soient nombreux, le travail à distance observé pendant le confinement peut rendre le réseau et les systèmes informatiques d’une entreprise vulnérables. Il ajoute un grand nombre de points de terminaison aux entreprises où il n’y en avait pas auparavant. De plus, nombre d’entre eux sont considérés comme des « Shadow IT » (systèmes / solutions informatiques utilisés par un (des) employé (s), non autorisés ou pris en charge par l’organisation informatique de l’entreprise) et ne sont pas validés par l’employeur.
« La menace des ransomwares n’a jamais été aussi grande. Le fait que 39% des répondants à notre enquête disposent d’un plan d’urgence pour les attaques de ransomwares est inquiétant. Ils jouent avec leurs données et leurs clients. Il est impératif de s’assurer que les entreprises a mis en place des processus et des procédures pour atténuer l’impact de toute cyberattaque et protéger les données sensibles « , a ajouté M. Bridge.
Dans le cadre de cette étude, Ontrack a interrogé 484 entreprises en France, en Allemagne, en Italie, en Espagne, au Royaume-Uni et aux États-Unis.
Une étude décrit l’anatomie d’une attaque d’un ransomware, de l’infection à la demande de rançon. Un exemple à retenir pour les DSI.
Les chercheurs en sécurité ont révélé l’anatomie d’une attaque de rançongiciel pour illustrer comment les cybercriminels ont accédé à un réseau pour installer un rançongiciel, le tout en seulement deux mois. Des chercheurs de la firme de sécurité technologique Sentinel One ont enquêté sur un serveur utilisé par des cybercriminels en octobre 2019 pour transformer un petit trou de sécurité dans un réseau d’entreprise en une attaque basée sur le ransomware Ryuk.
Selon cette précieuse étude, le réseau a été initialement infecté par le malware Trickbot. Après que des logiciels malveillants aient traversé le réseau, les pirates ont commencé à analyser la zone pour savoir à quoi ils avaient accès et comment en tirer parti. « Au fil du temps, ils creusent le réseau et essaient de le cartographier et de comprendre à quoi il ressemble. Ils ont un but et leur but est de monétiser les données, le réseau pour leur gain illégal », a déclaré Joshua Platt, un Sentinel Un chercheur, interviewé par ZDNet.
« Ils comprennent déjà qu’il existe un potentiel pour gagner de l’argent et cherchent à étendre cet effet de levier », explique le chercheur en détaillant leurs motivations. Une fois que les pirates ont décidé d’exploiter la brèche dans le réseau, ils utilisent des outils tels que PowerTrick et Cobalt Strike pour sécuriser leur emprise sur le réseau et l’explorer davantage, à la recherche de ports ouverts et d’autres appareils auxquels ils pourraient accéder.
Un ransomware particulièrement virulent
Ce n’est qu’à ce moment-là qu’ils décident de passer à la phase des besoins de solution. Selon Sentinel One, il a fallu environ deux semaines pour passer de la première infection TrickBot au profilage réseau, puis aux attaques de logiciels malveillants Ryuk. « Sur la base de l’horodatage, nous pouvons deviner l’attente de deux semaines », explique la société. Pour rappel, Ryuk a été vu pour la première fois en août 2018 et était responsable de plusieurs attaques dans le monde, selon le communiqué du National Cybersecurity Center au Royaume-Uni l’année dernière.
Il s’agit d’un logiciel de rançon ciblé: la rançon est fixée en fonction de la capacité de paiement de la victime, et il peut s’écouler plusieurs jours voire plusieurs mois entre la première infection et l’activation de la rançon. ransomware car les pirates ont besoin de temps pour identifier les systèmes réseau les plus critiques. Mais le NCSC a déclaré que le retard donne également aux défenseurs une fenêtre d’opportunité pour empêcher les ransomwares de lancer l’attaque s’ils peuvent détecter la première infection.
Selon le FBI, Ryuk est un projet extrêmement lucratif pour ses promoteurs criminels, générant environ 61 millions de dollars de rançon entre février 2018 et octobre 2019. Le fait que Ryuk ait réussi à forcer les entreprises à payer une rançon signifie que les escrocs ont un coffre de guerre arrondi qu’ils peuvent affiner leurs attaques. « Bien sûr, cela va augmenter; ils ont maintenant plus d’argent et plus de capacité pour embaucher encore plus de talents », prévient Joshua Platt.LIEN
Les ransomwares peuvent filtrer une personne pour l’endettement ou faire couler une entreprise. Se protéger d’eux est un gros problème, d’autant plus que les cybercriminels développent des versions toujours plus virulentes et convaincantes de leurs outils.
«Les ransomwares représentent actuellement la menace informatique la plus grave pour les entreprises et les institutions. Cet avertissement vient de l’ANSSI, l’agence française à la pointe de la cybersécurité. Il faut dire que si les ransomwares (ou ransomwares en anglais) sont utilisés depuis plusieurs décennies pour extorquer quelques centaines d’euros aux particuliers, ils attaquent de plus en plus les grandes entreprises. En conséquence, les cinq principaux gangs concentrent l’attention des médias sur leurs principales opérations, mais le ransomware d’identification du site de référence présente plus de 800 ransomwares différents, dont la majorité sont des individus ciblés.
Lorsqu’ils contaminent avec succès un système, les cybercriminels ont besoin d’une rançon pour être restaurés. Il s’élève à plusieurs centaines d’euros pour les particuliers et peut dépasser dix millions d’euros pour les grands groupes.
Ces opérations sont rentables avec un bénéfice annuel estimé à 2 milliards de dollars. Sur la base de ce succès, les principaux gangs contrôlant les ransomwares sont désormais en mesure de « lancer des attaques avec un niveau de sophistication équivalent aux opérations d’espionnage informatique gérées par l’État », a expliqué l’ANSSI.LIEN
Le courrier électronique était autrefois la principale méthode de distribution des ransomwares. Maintenant, de nouvelles formes de ransomware l’utilisent à nouveau.
Les attaques de ransomwares par e-mail sont à nouveau en hausse, avec plusieurs nouvelles familles de ransomwares récemment distribuées via des messages de phishing.
Le courrier électronique a été le moyen le plus productif d’infecter les victimes avec des rançongiciels pendant un certain temps, mais ces dernières années, les attaquants ont réussi à utiliser des ports RDP externes, des serveurs publics non sécurisés et d’autres vulnérabilités de réseau d’entreprise pour crypter des réseaux entiers – ce qui nécessite souvent des centaines de milliers de dollars pour accéder à nouveau aux données.
Ces dernières semaines, cependant, les chercheurs de Proofpoint ont constaté une augmentation du nombre d’attaques de ransomwares distribuées par e-mail. Certains escrocs ont envoyé des centaines de milliers de messages chaque jour. Les attaques par e-mail utilisent une variété de leurres pour inciter les gens à les ouvrir, y compris les lignes d’objet liées au coronavirus.
L’une des plus grandes campagnes de messagerie électronique est celle d’un nouveau ransomware appelé Avaddon: en une semaine en juin, ce ransomware a été distribué dans plus d’un million de messages, ciblant principalement des organisations aux États-Unis. Avaddon utilise une technique assez basique comme leurre, avec des lignes de sujet prétendant se rapporter à une photo de la victime, attaquant la vanité ou l’insécurité potentielle de la victime. Si la pièce jointe est ouverte, elle télécharge Avaddon à l’aide de PowerShell.
Les ordinateurs infectés mettent une rançon qui nécessite 800 $ en bitcoins en échange d’un « logiciel spécial » pour décrypter le disque dur.
Les gens à la croisée des chemins
L’attaquant derrière Avaddon offre une assistance 24h / 24 et 7j / 7 pour garantir que les victimes disposent des outils nécessaires pour payer la rançon et avertit que si les utilisateurs tentent de récupérer leurs fichiers sans payer, ils risquent de les perdre pour toujours.
Une autre campagne de ransomware par e-mail, détaillée par des chercheurs, a été baptisée « Mr. Robot ». Il cible les entreprises de divertissement, de fabrication et de construction à travers les États-Unis. Les messages prétendument émanant du ministère de la Santé ou des Services de santé utilisent des sujets liés aux résultats du test Covid-19 dans le but d’encourager les victimes à cliquer sur un lien pour afficher un document.
Si la victime clique dessus, un ransomware est installé et les attaquants ont besoin de 100 $ pour récupérer les fichiers. C’est une petite quantité par rapport à de nombreuses campagnes de rançongiciels, ce qui suggère que ce malware cible les utilisateurs à domicile plutôt que les entreprises.
Mais non seulement les organisations en Amérique du Nord sont confrontées à un nombre croissant d’attaques par ransomware de messagerie: elles visent également l’Europe.
Les chercheurs notent que le ransomware de Philadelphie – qui revient après une aberration de trois ans – est destiné aux entreprises alimentaires et de fabrication allemandes avec des leurres de langue allemande qui prétendent provenir du gouvernement allemand.
Les e-mails prétendent contenir des informations sur la fermeture éventuelle de l’entreprise en raison de la pandémie de Covid-19 et exhortent la victime à cliquer sur un lien: s’ils le font, le rançongiciel Philadelphie est installé, avec une note en anglais exigeant le paiement de 200 $.
Alors que le nombre d’attaques par ransomware par courrier électronique est encore faible par rapport à 2016 et 2017, lorsque Locky, Cerber et GlobeImposter étaient massivement distribués, le récent pic des attaques par courrier électronique montre à quel point les cybercriminels peuvent être flexibles.
«Il est raisonnable de dire que les attaques de ransomwares basées sur les e-mails sont laissées dans l’esprit des acteurs malveillants. Ils ont tendance à être flexibles et agiles dans leur travail », a déclaré Sherrod DeGrippo, directeur principal de la recherche et de l’enregistrement des menaces chez Proofpoint.
«Ils veulent se concentrer sur ce qui donne le plus de gain financier et changer de tactique pour obtenir les meilleurs résultats. Cela peut être un simple test d’eau pour voir quels taux de réussite sont disponibles avec cette méthode », a-t-elle ajouté.
L’une des raisons pour lesquelles certains attaquants ont pu revenir au courrier électronique est le nombre de personnes travaillant à distance et la dépendance à l’égard du courrier électronique qu’il implique. « Le courrier électronique permet aux acteurs malveillants de s’appuyer sur le comportement humain pour réussir en un seul clic », a déclaré DeGrippo.
Dans de nombreux cas, il est possible de se défendre contre les ransomwares – et autres attaques de logiciels malveillants – en s’assurant que les réseaux sont corrigés avec les dernières mises à jour de sécurité, empêchant les attaquants d’exploiter les vulnérabilités logicielles connues.
Cependant, les entreprises doivent également prévoir de tenir compte du fait qu’à un moment donné, quelqu’un cliquera par erreur sur un lien malveillant dans un e-mail de phishing.
« Les entreprises doivent supposer que quelqu’un de leur organisation cliquera et développera toujours une stratégie de sécurité qui protège d’abord les gens », a déclaré DeGrippo.
« Les entreprises doivent veiller à évaluer la vulnérabilité des utilisateurs finaux et à tirer des enseignements des menaces actuelles en leur fournissant des compétences utiles pour se protéger au travail et dans leur vie personnelle. »
Une campagne de rançongiciels, appelée Hakbit, cible les employés de niveau intermédiaire en Autriche, en Suisse et en Allemagne avec des pièces jointes Excel malveillantes fournies par le célèbre fournisseur de messagerie GMX.
La campagne de spear-phishing est de faible volume et a jusqu’à présent ciblé les secteurs pharmaceutique, juridique, financier, des services aux entreprises, du commerce de détail et des soins de santé. Les campagnes à faible volume, parfois appelées attaques de spam en raquettes, utilisent plusieurs domaines pour envoyer des rafales relativement petites de faux e-mails pour contourner la réputation ou le filtrage du spam en fonction du volume.
« La plus grande quantité de messages que nous avons observés a été envoyée aux secteurs de la technologie de l’information, de la fabrication, de l’assurance et de la technologie », ont écrit les chercheurs de Proofpoint dans une analyse lundi. Ils ont noté que << la majorité des rôles ciblés dans les campagnes Hakbit concernent les clients, les coordonnées des individus étant divulguées publiquement sur les sites Web et / ou les publicités du cabinet. Ces rôles comprennent les avocats, les conseillers à la clientèle, les directeurs, les conseillers en assurance, les PDG. et chefs de projet. «
Les e-mails de spear phishing originaux utilisent un leurre financier avec des lignes d’objet telles que « Fwd: Steuerrückzahlung » (Traduit: Tax Payment) et « Ihre Rechnung (Translated: Your Bill) ». Les e-mails sont fournis par un fournisseur de services de messagerie gratuit (GMX) qui dessert principalement une clientèle européenne.
«C’était une campagne à faible volume. GMX est largement utilisé et bien connu en Europe germanophone, il a donc confiance dans la reconnaissance des noms », a déclaré à Threatpost Sherrod DeGrippo, directeur principal de la recherche sur les menaces chez Proofpoint. « Il s’agit d’un service de messagerie gratuit, il est donc difficile de suivre et de menacer les joueurs susceptibles de générer plusieurs comptes. »
Les pièces jointes aux e-mails sont supposées être de fausses factures et remboursements de taxes. Une adresse e-mail prédit 1 & 1, une entreprise allemande de télécommunications et d’hébergement Web, indiquant à la victime que la pièce jointe à un e-mail, par exemple, est une facture.
Lorsque les pièces jointes Microsoft Excel sont ouvertes, elles demandent ensuite aux victimes d’activer les macros. Il télécharge et exécute à nouveau GuLoader. GuLoader est un compte-gouttes largement utilisé qui compromet les cibles et fournit des logiciels malveillants de deuxième étape. Il est constamment mis à jour tout au long de 2020 avec de nouvelles techniques d’évitement de sandbox sportif binaire, des fonctionnalités de randomisation de code, un cryptage URL de commande et de contrôle (C2) et un cryptage supplémentaire de la charge utile.
sous les projecteurs plus tôt en juin, après que les enquêteurs ont affirmé qu’une entreprise italienne avait vendu ce qu’elle décrit comme un outil de cryptage légitime – mais qu’il a en fait été utilisé comme package de malware pour GuLoader.
Dans cette campagne, lorsque GuLoader est en cours d’exécution, il télécharge puis exécute Hakbit, un utilitaire bien connu qui chiffre les fichiers à l’aide du chiffrement AES-256. Hakbit existe depuis au moins 2019 et a fait plusieurs victimes confirmées, y compris des utilisateurs à domicile et des entreprises aux États-Unis et en Europe, selon Emsisoft. On pense que Hakbit est lié au ransomware Thanos – Dans une analyse récente du ransomware Thanos, les chercheurs de Record Future ont évalué « en toute confiance » que les exemples de ransomware suivis pendant que Hakbit étaient construits à l’aide du constructeur de ransomware Thanos développé par Nosophoros (basé sur la codabilité, la réutilisation rigoureuse, l’extension du rançongiciel et le format des notes de rançon).
Lorsque Hakbit crypte les fichiers des victimes, il publie une note exigeant un paiement de 250 euros en bitcoin pour déverrouiller les fichiers cryptés et donne des instructions sur la façon de payer la rançon.
Ransomware HackBit. Au 16 juin 2020, les chercheurs ont déclaré n’avoir trouvé aucune transaction montrant le paiement d’une rançon pour le portefeuille Bitcoin. Threatpost a atteint Proofpoint sur le nombre d’entreprises ciblées par Hakbit – et sur le nombre de ces cibles qui ont été compromises.
Quoi qu’il en soit, les chercheurs affirment que la campagne provient uniquement de plusieurs campagnes de « ransomware » à faible volume et souvent « boutique » qui ont frappé les victimes depuis janvier 2020.
« Les chercheurs de Proofpoint ont récemment identifié un changement dans le paysage des menaces avec une campagne de rançongiciels Avaddon à grande échelle qui était conforme aux récents rapports des fournisseurs open source », ont-ils déclaré. « Hakbit illustre une campagne de ransomware centrée sur les personnes, adaptée à un public, un rôle, une organisation et une langue maternelle spécifiques à l’utilisateur. » LIEN
Beazley a observé une explosion de cyber-attaques de ransomwares l’année dernière. Hiscox estime que le nombre d’entreprises touchées par un incident de cybersécurité a diminué. Mais que les pertes induites ont considérablement augmenté.
Publié au début d’avril de l’année dernière, Beazley Breach Briefing 2020 a signalé une augmentation de 131% des attaques signalées contre les clients des assureurs l’année dernière. Le rapport s’appuie sur les données de 775 incidents de cybersécurité liés aux ransomwares. Et pour Beazley, c’est une véritable explosion: en 2018 et 2017, il n’avait enregistré qu’une augmentation de 20% et 9% respectivement pour ce type de cyberattaque. Et pour aggraver les choses, « les montants exigés par les cybercriminels ont également augmenté de façon exponentielle avec des demandes à sept ou huit chiffres, ce qui n’est pas inhabituel ».
Mais cette tendance à la hausse de la rançon n’est pas spécifique à l’année écoulée. Pour Katherine Keefe, chef des Services d’intervention en cas de violation de Beazley (BBR), «les opérations de ces délinquants sont couronnées de succès et elles ont été détournées». Et pour souligner qu’ils « sont également intéressés par des choses comme la taille de l’organisation et la façon dont ils se présentent sur leur propre site Web. En général, plus l’organisation est grande, plus la demande est grande ». rançon partagée: de l’ordre de dizaines de milliers de dollars pour les petites structures, jusqu’à plus de dix millions de dollars pour les grandes organisations.
Le rapport de Beazley ne dit pas combien de clients ont choisi de faire du chantage car l’éditeur ne divulgue pas ces informations. Mais lorsqu’un client choisit de payer, Beazley travaille avec Coveware. Début mai, ce dernier a déclaré un montant moyen par Incident de 111605 $ au premier trimestre 2020, 33% de plus qu’au dernier trimestre 2019.
Dans un article de blog, le consultant a attribué cette augmentation au fait que « les distributeurs de ransomware ont de plus en plus ciblé les grandes entreprises et ont réussi à les forcer à payer une rançon pour récupérer leurs données ». Si le constat apporte peu d’indicateurs rassurants sur les garanties de ces grandes entreprises, Coveware a assuré que « les gros versements de rançons constituent une minorité en volume ». Mais ils ont donc remonté la moyenne.
Sur la base du nombre d’échantillons soumis sur le service d’identification des rançongiciels ID Ransomware, Emsisoft a estimé début février que ce malware avait coûté un peu plus de 485 millions de dollars en France en 2019 – pour la rançon uniquement. Depuis Hexagon l’an dernier, plus de 8 700 échantillons ont été déposés à des fins d’identification. Compte tenu de l’interruption d’activité, Emsisoft a estimé le coût de ces attaques pour les organisations françaises à environ 3,3 milliards de dollars.
Hiscox, dans son récent rapport annuel sur la gestion des cyberrisques, montre que 18% des entreprises françaises qui ont été agressées tant paient une rançon. Ainsi, sur l’ensemble de l’échantillon, outre la France uniquement, « les pertes ont été presque trois fois plus importantes pour les entreprises victimes d’une attaque par rançongiciel que pour celles qui ont subi un [simple] malware » soit 821 000 € contre 436 000 € … et que la rançon ait été payée ou non. Mais en France, 19% des victimes de ransomwares affirment avoir pu récupérer leurs données « sans avoir à payer la rançon ». Cependant, cela suggère la possibilité que les autres se soient repliés devant leurs assaillants.
En fait, lorsque Hiscox parle de logiciels malveillants, il couvre également ceux qui peuvent être utilisés pour insérer des ransomwares. Pour l’assureur, « les chiffres montrent l’importance de la détection avant qu’un malware ne devienne un ransomware ». Et souligner que les attaques se déroulent souvent en plusieurs étapes, ce qui laisse du temps pour la détection. SentinelOne a ainsi observé une attaque impliquant TrickBot avant d’installer le rançongiciel Ryuk: entre les deux, deux semaines se sont écoulées. Pour Hiscox, c’est très simple: « Les entreprises disposant de bonnes capacités de détection peuvent arrêter une attaque pendant ce temps et ainsi subir des désagréments moins durables, avec un coût global moindre et moins d’impact sur les affaires ».LIEN
Le ransomware est un malware qui crypte les données sur les machines qu’il infecte. Les personnes ou entités à l’origine de l’attaque demandent alors le paiement d’une rançon en échange de la clé de déchiffrement des systèmes concernés. La conférence organisée par le Cyber Club par EGE le mardi 20 mai 2020 avait pour objectif de jeter les bases d’une gestion de crise pour une entreprise victime d’un tel processus. Béatrice Ghorra, ingénieure avant-vente spécialisée dans les produits de sécurité des centres de données et de l’environnement cloud au CISCO et enseignante à la School of Economic Warfare, était la modératrice de cette conférence.
ransomware
En juin 2017, Wannacry a fait la une des ransomwares pour tous les médias. Ce fut l’attaque informatique la plus massive de l’histoire du domaine. La publicité sur l’incident est un tournant pour le monde de la cybersécurité et les problèmes qui en découlent car ils sont mis en avant. Le discours des professionnels de la discipline est alors légitimé là où ils avaient déjà eu du mal à entendre. Le ransomware, pour le désigner avec le terme français, représente toujours une menace de premier ordre. Selon le CERT France, il s’agit même du risque le plus grave pour les entreprises. La crise actuelle associée à COVID-19 et le succès des campagnes malveillantes liées à l’essor du télétravail en témoignent: particuliers, professionnels, PME ainsi que multinationales, personne n’est à l’abri.
Il est nécessaire de bien comprendre comment ces attaques fonctionnent et les mentors des attaquants pour mieux gérer le risque et la crise si nécessaire. Depuis l’avènement de ce mode de fonctionnement dans les années 80, les attaquants ont affiné leurs techniques et méthodes d’accès aux systèmes d’information. On voit que l’attaquant cherche toujours des portes dérobées. Ils ne veulent pas attaquer le système de front, mais contourner autant que possible les couches de sécurité. En particulier, parmi les vecteurs qui permettent l’infection figurent:
Campagnes de phishing, désormais précédées d’opérations d’ingénierie sociale pour personnaliser les e-mails et optimiser la pénétration.
L’annonce erronée ou « téléchargement en voiture » qui vous permet de démarrer des téléchargements instantanés via des fenêtres contextuelles qui redirigent vers d’autres pages.
Ils ont oublié ou dépassé des machines dans un système d’information. Il existe de nombreuses plates-formes que vous pouvez acheter des informations d’identification pour vous connecter à l’équipement d’une multitude d’entreprises à des prix élevés.
Les fameux périphériques USB, mais non moins efficaces, ont été perdus.
À titre d’exemple, voici le mode de fonctionnement de Loki, une solution qui est apparue pour la première fois en 2013:
Un fichier PDF est capturé et envoyé en pièce jointe à un e-mail soigneusement conçu afin que le destinataire ne se méfie pas d’eux et n’ouvre pas le fichier. Cette action exécute un extrait de code trouvé dans la pièce jointe qui ouvre un canal de communication vers un serveur de commande et de contrôle (C2) sous le contrôle de l’attaquant. Ce serveur télécharge instantanément un ransomware et une clé de cryptage. Le logiciel analyse ensuite méthodiquement le disque dur de l’utilisateur et crypte tous ses fichiers. Ensuite, l’ordinateur est crypté. Un message et un compte à rebours apparaissent sur l’écran montrant les instructions de paiement, souvent associées à la crypto-monnaie, ce qui rend le suivi difficile, permettant aux données de la machine cryptée d’être restaurées.
Certains ransomwares tentent également de se propager latéralement, c’est-à-dire vers toutes les stations voisines pour paralyser complètement un maximum d’équipements. Il a fallu environ sept minutes à NotPetya pour chiffrer l’intégralité du système d’information de Maersk, la plus grande société de transport de conteneurs au monde.
Cependant, les entreprises sont de moins en moins susceptibles de payer la rançon, ce qui équivaut à des montants vertigineux, nous parlons de dizaines de millions de dollars pour les plus importantes. Sophos estime qu’il est toujours plus rentable pour l’entreprise de ne pas payer car les dommages sont déjà présents et qu’il n’y a aucune garantie que l’attaquant tiendra sa parole et fournira la clé de déchiffrement. Ces derniers se sont donc adaptés et procèdent désormais à l’extraction des données par l’entreprise pour obtenir un effet de levier supplémentaire en menaçant leurs victimes de la diffusion des informations ainsi collectées en public.
Les attaquants à l’origine de la campagne de rançongiciels Maze, qui a vu le jour en novembre 2019, maintiennent ainsi un site Web sur lequel ils publient des informations d’entreprises qui refusent de payer la rançon. Maze a également la particularité d’être au cœur d’une attaque dite à long cycle. Une fois qu’une machine a été infectée, une semaine est consacrée à la reconnaissance et à la collecte d’informations utiles sur l’architecture réseau de l’entreprise, les employés et leurs informations d’identification, les comptes d’utilisateurs, etc. La semaine suivante est consacrée aux mouvements latéraux et au filtrage des données à installer dans autant de machines que possible et à maximiser les chances de paiement. Enfin, au cours de la troisième semaine de la campagne, les attaquants tentent de transiger avec Active Directory (serveur central et critique qui donne à la personne en contrôle ce qu’elle veut au sein du système d’information) et implémentent le labyrinthe sur toutes les machines infectées.
Il est important de réaliser que chaque ransomware observé est spécialisé dans ses modes d’attaque. Les canaux d’entrée et de sortie sont très différents. Certains profitent d’erreurs logicielles non corrigées, d’autres préfèrent les vulnérabilités liées aux navigateurs Web ou à certains protocoles de communication. Cette gamme d’opportunités est très bien représentée dans le marché des ransomwares en tant que service (RaaS) qui s’est développé à un rythme rapide ces dernières années. Les développeurs de ce logiciel ont en fait eu la brillante idée de vendre leur logiciel en échange d’une partie du correctif qui a été soulevé. Par conséquent, l’expertise en développement n’est plus nécessaire pour la création d’une campagne de ransomware ciblée! Il s’agit d’un changement très important car il élargit la portée des attaquants potentiels.
gestion de crise
L’impact d’une attaque de ransomware réussie est énorme pour une entreprise. Cela n’endommage pas seulement le système d’information d’une entreprise. Tout son écosystème est affecté. La confiance que nous lui accordons s’évapore, ses parts de marché chutent, ses partenaires, parties prenantes et fournisseurs en souffrent également, l’impact économique qui en résulte étant parfois fatal à la victime qui pourrait tomber sous le coup du RGPD dont les données personnelles sont filtrées. C’est pourquoi il est important de bien gérer une telle crise si elle survient pour permettre à l’entreprise de se remettre sur pied, de contrôler et d’atténuer les dommages causés.
Avant la crise, l’entreprise doit anticiper au maximum les difficultés. Définir une feuille de route ainsi qu’un Business Continuity Plan (BCP), l’adapter au contexte et au développement des attaquants, ce qui implique de surveiller la menace. Déterminer qui fait partie de la cellule de crise, quelle est la responsabilité de chaque membre ou même définir où cette cellule doit être créée? Autant de questions auxquelles il est possible et souhaitable de répondre avant la crise.
De plus, l’utilisation de certaines meilleures pratiques peut limiter l’exposition ou l’impact de l’attaque si nécessaire. Parmi ces bonnes pratiques, citons l’utilisation et les tests réguliers des sauvegardes pour éviter de perdre toutes les données chiffrées. Cela a sauvé Maersk lors de l’attaque de NotPetya, une combinaison de circonstances qui leur a permis de garder une sauvegarde intacte. Cette sauvegarde a complètement empêché la perte de tout le contenu de leur système d’information. D’un autre côté, une analyse régulière des risques vous donne une bonne idée des produits importants que l’entreprise souhaite protéger à tout prix. Il s’agit du point de départ d’actions qui rendront l’accès des tiers à ces ressources beaucoup plus difficile. La surveillance des canaux d’information tels que le courrier électronique et Internet, en particulier via le filtrage DNS et l’utilisation de solutions comme SIEM, vous permet de contrôler les flux qui transitent par l’entreprise. Désactivez les services obsolètes ou inutiles, mettez à jour les systèmes régulièrement, effectuez des tests de pénétration, toutes ces pratiques contribuent à assurer la résilience des entreprises résilientes en cas d’attaque réelle. Le plus élémentaire de tous, cependant, continue de placer les utilisateurs au cœur du processus de sécurité car ils sont le premier matériel de défense de l’entreprise. Les bons réflexes des employés font souvent la différence entre une crise maîtrisée qui cause des dommages tangibles et une catastrophe qui menace la vie d’une entreprise.
Cependant, si cette attaque se produit, la priorité est de déclencher l’alarme et de contenir l’attaque pour empêcher sa propagation en isolant la partie infectée du reste du système d’information. Un bon réflexe à avoir est de documenter l’ensemble du processus pour faciliter les étapes suivantes. Prenez des photos d’écrans, de messages reçus, d’adresses spécifiées, tout ce qui peut constituer un chemin vers l’attaquant doit être enregistré et notifié. Notez qu’il n’est pas recommandé de désactiver les ordinateurs infectés pour les mêmes raisons pour une enquête plus approfondie. Préférez simplement les déconnecter du réseau et assurez-vous qu’ils ne communiquent pas avec le reste du système d’information.
À ce stade, et si l’entreprise n’a pas les compétences, il est impératif qu’elle obtienne l’aide et l’assistance d’entreprises spécialisées dans l’atténuation de l’attaque. Une fois de plus, l’expérience de Maersk sert d’exemple dans ce domaine. Leur communication de crise a permis à leurs partenaires et autorités compétentes de les aider à se remettre le plus rapidement possible. Les experts contactés par l’entreprise pourront appliquer les corrections nécessaires aux systèmes qui en ont besoin, s’assurer que le reste de l’infrastructure ne risque pas d’être réinfecté et pourra assurer la transition vers l’analyse médico-légale.
Cette dernière partie de la gestion de crise vise à déterminer l’origine de l’attaque, à documenter son mode de fonctionnement et tous les aspects techniques s’y rapportant pour établir un post-mortem de la situation et un retour d’expérience. Cette documentation est d’autant plus précieuse qu’elle peut servir de guide à d’autres entreprises et éventuellement les aider à se remettre de la crise qui pourrait les affecter. De plus, cette analyse ainsi que l’expérience de l’entreprise doivent être utilisées. Il est impératif d’apprendre de ce qui s’est passé et de mettre en œuvre les mesures qui serviront à vous protéger à l’avenir.
En conclusion, il existe de nombreuses façons de le gérer, bien qu’il soit impossible d’être insensible aux risques associés aux ransomwares. La préparation joue un rôle important comme nous l’avons vu. Il est donc conseillé de se donner les moyens techniques, organisationnels et humains pour rester au courant et pouvoir réagir rapidement et efficacement si nécessaire. Une bonne préparation vous permet de vous concentrer sur l’essentiel au cœur de la crise. Cependant, communiquer correctement sur le test est important car il vous permet de rechercher une aide extérieure pour obtenir des ressources et des compétences que l’entreprise peut ne pas avoir en interne. Enfin, une victime de ransomware devrait être en mesure de tirer des leçons de ce qui lui est arrivé pour prévenir plus efficacement ce risque à l’avenir.LIEN
Le ransomware de « Big game hunt » diffère de ses prédécesseurs qui ont combattu sans distinction. L’activité la plus courante dans les ransomwares reste l’arnaque non sophistiquée qui cible une très grande échelle. Mais de plus en plus de cybercriminels ont les ressources pour développer des campagnes beaucoup plus sophistiquées et du temps pour pénétrer profondément dans les systèmes d’information, planifier et identifier les ressources les plus précieuses, puis tout détruire uniquement après avoir rentabilisé leur investissement.
Ces attaques de rançongiciels de «gros gibier» peuvent représenter un danger moins fréquent mais beaucoup plus grave pour la victime. Pour cette raison, la détection préventive est devenue extrêmement importante pour les entreprises. Cet article explique pourquoi:
Les vagues précédentes étaient différentes
Les anciennes campagnes de rançongiciels comme Locky étaient critiques et n’avaient pas la sophistication des attaques modernes. Leurs auteurs ont ciblé le plus grand nombre, souvent dans le cadre de vastes campagnes de phishing. Les destinataires non acceptants ont cliqué sur un lien malveillant. Les ransomwares pourraient alors gagner de l’espace jusqu’à ce que les fichiers chiffrés soient stockés sur leur machine ou dans le cas des entreprises de leur centre de données. C’était généralement suffisant pour collecter des sommes importantes en très peu d’efforts.
L’attaque bien documentée de WannaCry a marqué le début d’une nouvelle vague de ransomwares. Cependant, la propagation sans discrimination s’est avérée plus dangereuse car elle exploitait les vulnérabilités de manière plus sophistiquée. WannaCry et NotPetya se sont propagés de pair à pair et hors des frontières de l’entreprise, infiltrant des systèmes non corrigés et prenant à la fois des données et des otages de données. Bien que les cybercriminels n’aient pas nécessairement obtenu des fortunes en échange de leurs efforts, ces attaques ont été dévastatrices et ont offert un avenir troublant.
Que pouvez-vous attendre d’un ransomware de gros gibier?
Les ransomwares manquent toujours de subtilité. Loin de saper de petites quantités régulières ou d’espionnage discret des communications d’entreprise, ils s’apparentent davantage à des vols à main armée. Le but est d’être vu, effrayé et payé. Les ransomwares ne sont pas non plus très furtifs, surtout lorsqu’ils ont commencé à chiffrer des fichiers ou à désactiver des systèmes.
Inversement, le ransomware «chasse au gros gibier» infecte discrètement de nombreux systèmes sur le réseau de la victime avant de faire du bruit et de rester silencieux jusqu’au stade de la destruction.
L’énorme télétravail introduit pendant la crise du COVID-19 a permis à de nombreux attaquants d’infiltrer plus facilement les réseaux et de prendre le temps de se préparer à des attaques plus sophistiquées … comme nous le verrons peut-être dans les mois à venir.
Active Directory, l’épine dorsale des nouvelles attaques de ransomwares
Nous avons récemment étudié un nouveau type de ransomware appelé Save the Queen, qui se propage à partir des serveurs Active Directory de la victime (contrôleurs de domaine).
Les contrôleurs de domaine ont les clés du monde numérique. Presque tout autre système s’y connecte, ce qui le rend très important et en fait une cible principale pour la distribution de ransomwares. En raison de leur importance, la manipulation des serveurs Active Directory nécessite des droits d’accès étendus, exactement ce dont les cybercriminels bénéficient dans ce cas. L’ANSSI s’intéresse – et est au courant – depuis longtemps sur ce sujet et vient de publier une collection sur AD Security: https://www.cert.ssi.gouv.fr/uploads/guide -ad.html
L’accès est l’une des raisons pour lesquelles les ransomwares de gros gibier sont si troublants. Pour les cybercriminels, infiltrer un réseau est un jeu d’enfant. Ils peuvent facilement accéder à des applications de niveau supérieur ou à des comptes administratifs. Ils peuvent également utiliser leur propre infrastructure contre leur victime. Les auteurs de Save the Queen l’ont fait.
Avec tous ces accès, l’attaquant peut accéder à des données extrêmement sensibles: informations financières, propriété intellectuelle, monétiser ces informations confidentielles, copier des fichiers importants avant de les chiffrer pour menacer de les publier. Il faudrait être naïf pour penser qu’ils n’ont pas réussi à s’en éloigner et le phénomène est suffisamment grave pour mériter d’être inversé. Certains cybercriminels peuvent ne pas vouloir s’embêter à chercher quand ils peuvent se contenter d’une entrée et d’une introduction rapide, efficace et facile. Mais plus ces groupes sont organisés et efficaces pour gagner de l’argent sur la propriété de quelqu’un d’autre, plus ils sont susceptibles de ne laisser aucune miette à leurs victimes.
Quatre étapes pour protéger votre entreprise * Sachez où les données de propriété intellectuelle, les informations financières, les données personnelles et les e-mails sensibles sont stockés avant que les cybercriminels ne tentent de les voler, de les transmettre ou de les chiffrer. Limitez l’accès à ceux qui en ont absolument besoin pour réduire la surface de l’attaque. * Identifiez la période pendant laquelle l’indisponibilité d’un système ou de données aura les pires conséquences, par exemple, les jours précédant la semaine la plus occupée de l’année. Les cybercriminels sont intéressés par ce type d’informations sur leurs victimes. Mieux vaut avoir élaboré un plan d’affaires pour la continuité / reprise plutôt que d’avoir à improviser sous pression. * Une grande partie de la prévention des ransomwares repose sur les sauvegardes. Bien qu’évidemment important, le défi consiste à décider lesquels restaurer, en particulier en ce qui concerne les fichiers. Sans suivi de l’activité du système de fichiers, de nombreuses entreprises doivent saisir une rançon pour savoir ce qui a été chiffré et quand. Si le registre d’activité de fichier n’existe pas, il doit être créé. Cela fournit ensuite des informations sur les activités des utilisateurs infectés. * Profitez de l’automatisation. Des journaux d’activité et d’analyse adéquats permettent de détecter et d’arrêter les attaques potentielles avant qu’elles ne se propagent. Hiérarchisez et analysez les activités des ensembles de données et les systèmes critiques tels que les grands entrepôts de données, Active Directory et d’autres données télémétriques qui peuvent alerter lorsqu’un cybercriminel est entré sur le réseau.
Actuellement, les fournisseurs de télécommunications offrent un moyen simple d’accéder aux ressources, notamment en raison des capacités de recherche et de filtrage offertes par les outils de collaboration utilisés. Dans le même temps, la plupart des entreprises ne sont pas prêtes à détecter une activité inhabituelle générée par ces utilisateurs externes. Le but principal de toute entreprise est de détecter les cybercriminels qui tentent d’en profiter pour neutraliser leurs activités le plus rapidement possible.LIEN
Le réseau informatique interne de la ville, son site Internet et le réseau judiciaire ont été paralysés pendant des heures. « Les systèmes d’information suivent actuellement les protocoles recommandés. Cela comprend la fermeture des serveurs, de nos connexions Internet et des PC. Veuillez ne pas vous connecter au réseau ni utiliser des applications informatiques pour le moment », ont averti des courriers électroniques reçus par des autorités locales.
Plus de 50 autorités locales ont été affectées par des ransomwares depuis janvier.
Les réseaux informatiques de la ville américaine de Knoxville, dans le Tennessee, ont été attaqués par des ransomwares, rapporte les médias locaux WVLT dans un article publié le 11 juin 2020. Knoxville est la 134e ville des États-Unis par la taille de sa population, avec 188 000 habitants. C’est également le 51e État ou municipalité des États-Unis à être touché par les ransomwares cette année, selon les déclarations de Brett Callow, chercheur au sein du cabinet de sécurité Emsisoft, à Ars Technica.
La ville de Knoxville, dans le Tennessee, a été victime d’une rançon qui a paralysé son réseau informatique, son site Internet et le réseau judiciaire. C’est la 51ème autorité locale des États-Unis à être victime de ransomware depuis le début de l’année.
Ils ont depuis été récupérés, bien que l’attaque puisse encore occasionner des inconvénients mineurs. Les services d’urgence tels que la police, les pompiers et la ligne d’assistance 911 n’ont pas été affectés lorsqu’ils fonctionnaient sur des systèmes distincts. De plus, aucun serveur de sauvegarde n’a été atteint, grâce auquel les services de la ville pouvaient rapidement revenir à la normale.
David Brace, directeur exécutif et maire adjoint, a déclaré que le Bureau des enquêtes du Tennessee et le Bureau fédéral des enquêtes (FBI) soutiennent la ville dans la résolution de cet incident. Alors que les enquêteurs n’ont pas encore trouvé l’étendue des rançongiciels, David Brace dit qu’aucune donnée sur la cybercriminalité n’a été volée.
Ces pièces jointes sont incluses en millions de dollars
Ces attaques informatiques sont parfois très coûteuses. Deux des incidents les plus connus se sont produits en 2018 à Atlanta et à Baltimore, entraînant des coûts de 12,2 millions de dollars et 18 millions de dollars, respectivement. Il est donc temps pour les villes de réaliser que le coût de leurs réseaux coûtera toujours moins cher qu’une attaque informatique. LIEN
Selon une enquête réalisée par Veritas, la responsabilité personnelle des dirigeants d’entreprise a été remise en cause en cas d’attaque de ransomware, selon 40% des 12 000 consommateurs interrogés dans le monde. Les Français, cependant, lancent d’abord des pierres sur les cybercriminels devant les dirigeants.
La responsabilité personnelle des dirigeants d’entreprise remise en cause.
Très souvent, lorsque des cyberattaques ont lieu, RSSI est en première ligne. A la fois pour éteindre le feu et prendre les précautions nécessaires pour éviter le pire, mais parfois même lorsqu’il s’agit de se trouver «responsable». S’ils s’avèrent plus ou moins exposés, les RSSI ne sont pas les seuls désignés, c’est également le cas des dirigeants de l’entreprise elle-même, à savoir leur PDG. Selon une enquête réalisée par Veritas, pour laquelle 12 000 consommateurs dans 6 pays (États-Unis, Royaume-Uni, Allemagne, France, Japon et Chine) ont été interrogés en avril 2020, 40% pensent même qu’ils sont personnellement responsables lorsque les entreprises sont compromises par attaques de rançongiciels.
Les administrateurs ne sont pas épargnés par les dommages subis et les jugements attendus sont aussi divers que surprenants. 42% exigent que les PDG s’excusent publiquement pour les ransomwares, tandis que 35% veulent qu’ils paient une amende. 30% des répondants vont jusqu’à déclarer que les PDG en question ne devraient plus pouvoir diriger une entreprise à l’avenir, tandis que 27% demandent leur démission, 25% une baisse de salaire et 23% demandent même sur la prison.
Les consommateurs français plus indulgents envers les PDG «En tant que consommateurs, nous acquérons de plus en plus de connaissances sur les ransomwares, nous ne pardonnons donc pas aux entreprises qui ne le prennent pas aussi au sérieux que nous», a déclaré Simon Jelley, vice-président des produits chez Veritas. . Cependant, il semble que les Français soient les répondants les plus indulgents des pays interrogés, avec moins d’un quart (24%) voulant blâmer les chefs d’entreprise, un peu plus de la moitié (55%) dans la conviction que seuls les criminels peuvent être accusés. pour les attaques de ransomwares, et seulement un tiers (36%) prévoient de se passer des services d’une entreprise attaquée. LIEN
Questions sur les attaquants chez Honda et Enel (alerte spoiler) Le télétravail!
Les deux groupes ciblés par le ransomware d’Ekan, également appelé Snake, ont exposé d’anciens services RDP directement sur Internet. Mais ils avaient également des systèmes Citrix NetScaler affectés par la vulnérabilité CVE-2019-19871.
Honda et Enel ont récemment reconnu avoir été la cible de cybercriminels. Très rapidement, deux échantillons du ransomware d’Ekan, également connu sous le nom de Snake, sont apparus, suggérant que ses opérateurs avaient en fait tenté d’attraper le constructeur automobile d’un côté et la société énergétique italienne. , d’autre part. Mais où les attaquants ont-ils réussi à s’inviter, ne serait-ce que de manière relativement limitée, aux systèmes d’information de ces deux cibles?
Le chercheur Germán Fernández a très rapidement rapporté qu’un service RDP était exposé sur Internet par un système lié au nom de domaine honda.com, ainsi qu’un de ces services … mais faisant référence à Enel. Et de s’interroger naturellement sur la possibilité d’un lien entre ces services exposés directement en ligne et les attaques menées contre les deux groupes.
Mais une passerelle potentielle a été identifiée par Troy Mursch du rapport Bad Packets: systèmes Citrix affectés par la vulnérabilité CVE-2019-19781, également connue sous le nom de Shitrix. Sur Twitter, il a déclaré qu’un « serveur Citrix VPN (NetScaler) utilisé par Honda » avait été identifié comme vulnérable lors de sa première campagne de recherche de systèmes affectés. Et ajoutez que cela s’applique également à Enel. Pour ces derniers, les systèmes affectés n’ont également tué l’utilisation des correctifs « que quelque part entre le 31 janvier et le 14 février 2020 ».
Vitali Kremez souligne que « les cybercriminels continuent de rechercher des passerelles VPN d’entreprise exploitables comme premier vecteur de violation », et en particulier les systèmes Citrix / Netscaler affectés par la vulnérabilité CVE-2019-19781. En réponse, Troy Mursch se souvient avoir identifié plusieurs victimes de ransomware qui exposaient de tels systèmes: Chubb, Conduent et Pitney Bowes, par Maze, mais aussi ISS World, par Ryuk ou encore Brittany Telecom, par DoppelPaymer.
Selon les chercheurs en sécurité, les réseaux de contrôle industriels sont exposés à un certain nombre d’attaques de rançongiciels. Cet avertissement fait suite à une expérience qui a révélé la vitesse à laquelle les pirates détectent les vulnérabilités des infrastructures critiques.
Des chercheurs en sécurité avaient mis en place un leurre pour surveiller la progression de l’attaque … qui ne tarda pas à venir.
Mise en place du leurre
L’entreprise de sécurité Cybereason a construit un leurre conçu pour ressembler à une entreprise d’électricité opérant en Europe et en Amérique du Nord. Le réseau a été conçu pour paraître authentique afin d’attirer des attaquants potentiels en incluant des environnements informatiques technologiques et opérationnels ainsi que des systèmes d’interface humaine.
Toutes les infrastructures sont construites en tenant compte des problèmes de sécurité communs aux infrastructures critiques, en particulier les ports des stations distantes connectées à Internet, les mots de passe de complexité moyenne et certains contrôles de sécurité habituels, y compris la segmentation du réseau.
Le leurre a commencé plus tôt cette année et il n’a fallu que trois jours aux attaquants pour découvrir le réseau et trouver des moyens de le compromettre – y compris une campagne de ransomware qui a infiltré des parties du réseau et qui a réussi à récupérer les informations de connexion.
Le cours de l’attaque
« Très peu de temps après le lancement du » pot de miel « , la capacité du ransomware a été placée sur chaque machine compromise », explique Israel Barak, chef de la sécurité informatique de la cyber-raison chez ZDNet.
Les pirates ont placé des ransomwares sur le réseau à l’aide d’outils de gestion à distance pour accéder au réseau et déchiffrer le mot de passe administrateur pour se connecter et contrôler le bureau à distance.
À partir de là, ils ont créé une porte dérobée pour un serveur compromis et utilisé des outils PowerShell supplémentaires, y compris Mimikatz, qui ont permis aux attaquants de voler des informations de connexion, permettant un mouvement latéral sur le réseau – et la possibilité de compromettre encore plus de machines. L’attaquant a effectué des analyses pour trouver autant de points d’accès qu’ils le souhaitaient et collecté des identifiants au fur et à mesure.
Double peine
En fin de compte, cela signifie qu’en plus de déployer un rançongiciel, les attaquants ont également la possibilité de voler des noms d’utilisateur et des mots de passe qu’ils pourraient exploiter comme un levier supplémentaire en menaçant de révéler des données sensibles si la rançon n’était pas payée.
« Ce n’est qu’après la fin des autres étapes de l’attaque que le ransomware se propage simultanément à tous les terminaux compromis. C’est une caractéristique commune des campagnes de ransomware à plusieurs étapes visant à amplifier l’impact de l’attaque sur la victime », explique Israël Barak.
Réseau compromis
Les attaques de ransomwares provenant de diverses sources ont souvent révélé le piège, et beaucoup ont essayé d’autres attaques, tandis que d’autres pirates informatiques étaient plus intéressés par la reconnaissance du réseau – comme c’était le cas dans une précédente expérience d’oiseau de leurre.
Même si cela ne semble pas aussi dangereux, à première vue qu’une rançon, les attaquants qui tentent d’exploiter le réseau de ce qu’ils croient être un fournisseur d’électricité peuvent finalement avoir des conséquences très dangereuses.
Néanmoins, il semble que les ransomwares soient devenus l’une des principales méthodes par lesquelles les attaquants tentent d’exploiter une infrastructure qu’ils peuvent facilement compromettre, que le rapport décrit comme un «barrage constant» d’attaques contre le secteur. Et le risque devrait s’intensifier.
Renforcer la sécurité de la prévention
Heureusement, ces attaques contre un leurre ne feront aucun mal.
L’expérience montre cependant que les réseaux qui prennent en charge les infrastructures critiques doivent être suffisamment résilients pour résister aux intrusions indésirables en concevant et en exploitant des réseaux pour la résilience – en particulier lorsqu’il s’agit de séparer les réseaux informatiques de la technologie opérationnelle.
Même des améliorations relativement simples, telles que la protection des réseaux avec des mots de passe complexes et difficiles à deviner, peuvent aider, tandis que des initiatives de sécurité plus complexes peuvent aider à renforcer la protection. LIEN
Une application masquée comme un décryptage de ransomware DJVU / STOP a été identifiée par un chercheur en sécurité. Cela crypte les données des victimes qui pensaient avoir trouvé une solution à leur problème.
Face à une attaque de ransomware, le remède peut parfois s’avérer pire que la maladie. Ainsi, un chercheur en sécurité a rapporté la semaine dernière un nouveau programme malveillant se faisant passer pour un décrypteur de ransomware DJVU / STOP, un ransomware très actif, et destiné aux particuliers. Michael Gillespie, chercheur indépendant en sécurité spécialisé dans la lutte contre les ransomwares, a attiré l’attention sur les malwares dans un tweet à la fin de la semaine dernière. Ce programme malveillant, appelé Zorab, se présente sous la forme d’un décrypteur: un type de programme qui exploite les erreurs logicielles dans la conception d’un ransomware pour décrypter les fichiers de la victime sans que la victime ait besoin de récupérer la clé de cryptage pour les attaquants.
Zorab ne vous sortira pas de l’affaire, au contraire: le chercheur explique qu’il crypte les données de la victime une seconde fois, et met sur l’ordinateur une note demandant à l’utilisateur de payer une rançon pour décrypter les fichiers en question. Pour la victime, il s’agit donc d’une double peine: il a dû payer une première fois pour décrypter les données rendues indisponibles par le ransomware Zorab, puis une deuxième fois pour décrypter le cryptage DJVU / STOP. Le groupe derrière DJVU / STOP attire moins d’attention que des acteurs malveillants comme Maze ou Dopplepaymer, mais ce ransomware est l’un des plus actifs aujourd’hui. Selon Emisoft, fin 2019, Stop / DJVU représentait plus de 56% des fichiers téléchargés sur la plateforme ID Ransomware, se plaçant en tête du classement. Comme l’explique Bleeping Computer, les opérateurs de ce ransomware sont plus susceptibles d’attaquer des individus et de demander des montants entre 500 $ et 1000 $ pour obtenir la clé de déchiffrement.
Double peine
Les cybercriminels derrière Zorab ont soigneusement choisi leurs cibles: plusieurs déchiffreurs sont en fait proposés par des sociétés de sécurité pour déchiffrer les fichiers chiffrés par les anciennes versions du rançongiciel DJVU / STOP. En mars, Emsisoft a publié plusieurs décrypteurs pour aider les victimes de cette rançon. Mais le jeu du chat et de la souris dure depuis des mois: lorsque les éditeurs publient un décryptage, les auteurs du ransomware distribuent une nouvelle version de leur ransomware. Dans cette jungle, il est donc facile pour un tiers de profiter de la multiplication des décrypteurs pour distribuer son propre ransomware en le transmettant comme un outil de déverrouillage de fichier.
Pour obtenir des outils de décryptage, il vaut mieux être prudent: nous pouvons recommander l’initiative NoMoreRansom mise en œuvre par Europol et plusieurs sociétés antivirus pour centraliser les outils de décryptage et anti-ransomware. Vous pouvez également accéder directement aux sites Web officiels d’éditeurs antivirus connus, tels que Kaspersky ou Emsisoft. Des décrypteurs pour les anciennes versions de DJVU / STOP sont disponibles, mais des analyses sont toujours en cours pour développer des outils similaires pour Zorab. Bien sûr, la meilleure solution est d’avoir des sauvegardes mises à jour, mais c’est souvent plus facile à dire qu’à faire.
Le but initial du créateur du virus « I Love You » n’était pas de créer des logiciels malveillants dangereux mais de surfer gratuitement sur Internet.
L’écrivain de code informatique, qui a causé des milliards de dollars de pertes au début des années 2000, vit maintenant une vie modeste et à faible kilométrage à Manille, selon la BBC.
Le 4 mai 2000, le virus « I Love You » s’est propagé à travers le monde de manière fulgurante. En quelques jours, il a frappé les systèmes informatiques du Pentagone, de la CIA et de grandes entreprises comme L’Oréal, Siemens et Nestlé. Ce petit morceau de code a infecté des dizaines de milliers d’ordinateurs, ce qui en fait l’un des virus les plus virulents de l’histoire.
L’auteur a été identifié quelques jours plus tard: un Philippin de 24 ans nommé Onel de Guzman. Il ne sera pas inquiet, car à cette époque, la législation de son pays ne contient pas ce type d’infraction. Vingt ans après l’incident, un journaliste britannique l’a trouvé à Manille, la capitale, et l’a interrogé sur ses motivations dans un reportage publié le 4 mai sur le site Internet de la BBC.
Selon l’auteur du virus « I Love You », son objectif initial n’était pas de créer des logiciels malveillants dangereux, mais simplement de surfer gratuitement sur Internet. À ce moment-là, vous pouviez vous connecter au réseau à partir de différentes lignes téléphoniques avec le mot de passe et l’ID de quelqu’un d’autre. On dit que De Guzman a envoyé une version initiale de son virus à quelques cibles pour récupérer leurs codes, des personnes avec lesquelles il avait l’habitude de socialiser dans les salles de chat en ligne.
Recherche dans le carnet d’adresses
C’est plus tard que le jeune homme arme son virus pour qu’il se propage automatiquement et fouille dans les ordinateurs infectés à la recherche du carnet d’adresses du logiciel de messagerie Outlook et s’envoie ensuite à des dizaines de correspondants. De Guzman a l’idée de nommer son virus LOVE-LETTER-FOR-YOU.TXT.VBS. « Je pensais que beaucoup de gens veulent une petite amie, ils veulent de l’amour », a-t-il déclaré à la BBC aujourd’hui.
Beaucoup de gens cliquent sur ce message qui, si vous regardez trop vite, regarde un fichier texte « TXT » mais se révèle être un morceau de code informatique « VBS » si vous intervenez pour lire son nom jusqu’au bout. Agressif infecte la mémoire de l’ordinateur en remplaçant les photos ou les morceaux de musique qu’il détruit au cours du processus. « I Love You » est responsable de dommages estimés à 10 milliards de dollars.
Onel de Guzman a aujourd’hui 44 ans. Interrogé par la BBC, il a regretté les dégâts causés. «Je n’aurais jamais imaginé que le virus irait aux États-Unis et en Europe. Cela m’a surpris », dit-il maintenant. Il va même jusqu’à confesser … souffrant de sa renommée. «Parfois, ma photo apparaît sur Internet. Mes amis me disent: « Mais c’est toi! » Je suis une personne timide, je ne veux pas. «
Un petit atelier
Un discours qui contraste avec celui qu’il a prononcé quand il était plus jeune. En 2000, quelques mois à peine après la création du virus, le jeune homme a déclaré au New York Times: « Je pense que je fais partie de l’histoire des Philippines. Il ne peut pas être supprimé. À l’époque, la blessure ne lui causait pas autant d’émotion. De Guzman souligne la responsabilité de Microsoft de commercialiser des «produits vulnérables».
Le jeune homme imagine même un avenir en tant que concepteur de logiciels inviolables. Selon lui, de nombreuses sociétés informatiques ont tenté de le pousser dans les semaines qui ont suivi la publication du virus, mais Onel de Guzman ne trouve pas de travail lorsque son avenir juridique se précise quelques mois plus tard.
Il n’obtient pas non plus son diplôme universitaire après avoir rejeté sa thèse finale. Cette thèse a été reproduite avant la date fatidique du 4 mai, décrivant un programme informatique proche du virus « I Love You ». Son professeur l’a ensuite rejeté avec la déclaration « C’est illégal. Nous ne formons pas de voleurs ».
Onel de Guzman gère maintenant un petit atelier pour téléphones portables avec un comptoir étroit et désordonné. C’est là que la BBC l’a trouvé après une longue enquête à travers des forums obscurs dédiés à l’internet souterrain philippin, puis des dizaines d’ateliers à Manille. LIEN1 LIEN2
Charles Delingpole, PDG et fondateur de ComplyAdvantage
Ces derniers mois, les attaques lancées par le crime économique se sont multipliées. Mais au-delà des ennemis habituels, les ransomwares soulagés par COVID-19 restent une activité criminelle insuffisamment combattue.
Les ransomwares ou ransomwares offrent aux criminels un environnement particulièrement favorable pour lancer des attaques contre des systèmes médicaux qui sont plus importants que jamais et qui sont généralement des proies faciles pour les malwares.
Il est envisagé qu’en 2021, une attaque contre rançon contre une nouvelle entreprise soit lancée toutes les 11 secondes, sachant que nombre de ces attaques seront menées à grande échelle par des criminels cherchant à exploiter des vulnérabilités logicielles connues.
Des attaques de rançongiciels ont été imposées sur la scène internationale en mai 2017 lors de la tristement célèbre attaque appelée WannaCry. L’incident, qui a exploité un bogue dans le système d’exploitation Windows, a empêché les utilisateurs d’accéder aux systèmes médicaux et a pris la date en otage.
L’une des principales raisons de l’attaque de WannaCry était que les ordinateurs ciblés n’avaient pas été mis à jour depuis plusieurs années. Et bien que de nombreuses entreprises soient bien protégées de ces exploits, elles sont loin d’être le seul vecteur d’attaque qui nécessite une rançon. Combinées à d’autres techniques d’ingénierie sociale, les attaques de phishing et de spear phishing sont en fait des moyens très efficaces qui permettent aux criminels de violer la sécurité et d’accéder aux données.
Les ransomwares sont au mieux un fléau pour la communauté. Et lors d’une pandémie, elles pourraient avoir un effet catastrophique. Les hôpitaux et les sociétés médicales ont été avertis par Interpol qu’ils pourraient être la cible d’attaques de rançon pendant cette période de panique et de communication accrue. Ajoutez à cela le système d’information qui est connu pour être obsolète, et aujourd’hui les établissements de santé sont susceptibles d’utiliser des logiciels qui contiennent des vulnérabilités qui ne demandent qu’à être exploitées.
Mais pourquoi est-il si important pour les institutions financières et autres entités qui traitent l’argent? Parce que ces attaques empêchent souvent les utilisateurs d’accéder aux données jusqu’à ce qu’une rançon ait été payée sous la forme d’un paiement numérique pour restaurer l’accès aux données. Cependant, les rançonneurs disposent désormais d’une grande quantité d’argent numérique, souvent en bitcoins, qu’ils doivent convertir en espèces avant de les transférer sur leurs comptes. Et pour ce faire, ils doivent recourir au système financier.
Par conséquent, les institutions financières et les entreprises du secteur doivent veiller à ne pas faciliter le paiement de la rançon. Dans certains cas, il s’agit de lutter contre une certaine forme de blanchiment d’argent, mais aussi d’éviter la violation des sanctions.
Ransomware et violations des sanctions Le ransomware est un outil traditionnellement utilisé par certains pays sanctionnés pour obtenir des fonds. Il s’agit d’une pratique particulièrement utile pour les nations sanctionnées sur plusieurs fronts et effectivement coupées de l’économie mondiale. La Corée du Nord a été accusée à plusieurs reprises de l’utiliser, en particulier lors de l’attaque de WannaCry.
Il s’agit d’une activité très lucrative, surtout lorsqu’elle est réalisée au niveau national. Les cyberattaques lancées depuis Pyongyang sont innovantes, efficaces et représentent 2 milliards de dollars. En prenant du recul, il n’est guère surprenant qu’une entité sanctionnée utilise des cyberattaques pour lever des capitaux lorsqu’elle est exclue du marché mondial.
Depuis le début de la pandémie, les attaques de logiciels malveillants et les rançons ont demandé peu de couverture dans la presse spécialisée. Mais comme le paiement d’une rançon peut désormais être interprété comme une violation des sanctions dans un contexte bien précis, les institutions financières doivent désormais être plus vigilantes à cet égard.
Les institutions financières doivent toujours préparer un rapport d’activité suspecte lorsqu’elles pensent avoir affaire à un paiement de rançon ou faire face à une demande de rançon. Ils doivent également coopérer avec l’unité d’intelligence économique ou de conformité financière appropriée. Une application généralisée de cette pratique éviterait d’atténuer ces informations et faciliterait l’identification des criminels. Mais autoriser cette transaction en premier lieu est rarement une question simple.
Faciliter le paiement d’une rançon en soi peut rendre une institution financière responsable de la violation des sanctions. Deux personnes basées en Iran et sanctionnées sur la liste des ressortissants spécialement désignés créée par l’OFAC ont facilité la conversion des fonds d’une attaque par rançongiciel en 2016. Les auteurs de cette attaque ayant été sanctionnés et les adresses des portefeuilles numériques en question correspondaient bien aux sanctions imposées. les institutions financières concernées étaient exposées au risque de sanctions secondaires. Quant à ces individus basés en Iran et qui ont converti des bitcoins en rial iranien, l’OFAC avait à l’époque publié une déclaration rappelant que «peu importe si une transaction est libellée en monnaie numérique ou en fiduciaire traditionnel monnaie, les obligations de conformité de l’OFAC restent les mêmes ».
Comprendre la rançon
L’OFAC a précédemment déclaré que les entreprises américaines doivent savoir qui reçoit les transferts d’argent, même lorsqu’ils sont transformés en portefeuille numérique, une position soutenue par la règle de voyage du GAFI. Par conséquent, toute infraction à cette règle pourrait entraîner des sanctions sévères.
Les régulateurs n’ont pas encore abordé les paiements liés aux attaquants de ransomware. Il est généralement admis que ces paiements ne sont pas effectués volontairement, que les entreprises sont victimes d’extorsion et que les institutions financières participant au paiement ne sont qu’une partie d’une chaîne destinée à restaurer le fonctionnement d’une entreprise. une partie de leur clientèle. Nous ne savons pas si cette vision est susceptible de changer, mais une réflexion semble avoir commencé selon que les fonds sont destinés ou non à des entités non sanctionnées.
Cependant, si les futures institutions financières sont obligées d’identifier les entités auxquelles elles envoient de l’argent, les attaques de ransomwares nécessiteront une collecte accrue de renseignements. Il faudra également s’assurer que les équipes chargées de la conformité pourront consacrer le temps nécessaire à la conduite des recherches.
Une fois l’attaque du ransomware lancée, la rançon payée et l’argent converti, ce dernier intègre le système financier, ce qui ne doit cependant pas faire passer cette opération inaperçue.
Grâce à la surveillance automatique et puissante des transactions, les responsables de la conformité peuvent passer plus de temps à enquêter sur les activités suspectes et à identifier les bons destinataires de l’argent.
La surveillance des transactions est un goulot d’étranglement traditionnel pour les entités de conformité. En fait, enquêter sur les transactions peut être un processus lourd, tandis que trouver des sujets pertinents peut être fastidieux. Ce n’est un secret pour personne que les criminels utilisent constamment de nouvelles méthodes pour déplacer de l’argent et essaient de se fondre dans les flux de trésorerie fous associés à la panique économique mondiale en cours. Cependant, l’utilisation d’une solution automatisée vous permet de définir des règles personnalisées pour détecter les comportements suspects et anormaux et identifier les transactions qui portent de l’argent sale.
Pendant la crise du COVID-19, les rançongiciels ont été repris par des criminels pour de l’argent. Vous devez en être conscient et vous y préparer. Sinon, les conséquences pourraient être désastreuses pour toute institution financière impliquée de quelque manière dans ces stratagèmes frauduleux. LIEN
Ransomware ou rançongiciel en français est un logiciel malveillant qui prend en otage des données. Le ransomware crypte et bloque les fichiers sur votre ordinateur et nécessite une rançon en échange d’une clé qui leur permet de les décrypter. Le ransomware, qui est apparu pour la première fois en Russie, s’est répandu dans le monde entier, principalement aux États-Unis, en Australie et en Allemagne. Souvent, le ransomware s’infiltre sous la forme d’un ver informatique, via un fichier téléchargé ou reçu par e-mail, et crypte les données et les fichiers de la victime. Le but est d’extorquer une somme d’argent qui est le plus souvent payée par monnaie virtuelle pour éviter les traces. LIEN
Ransomware: Le groupe reconnaît une cyberattaque sur ses serveurs Congo le 14 mai. Il rend toujours compte des enquêtes en cours sans fournir plus de détails. L’attaquant menace bientôt de divulguer des données volées.
Le groupe Bolloré est apparu sur le blog des opérateurs de ransomware NetWalker ce week-end. L’incident remonte en fait à la mi-mai, mais il ne semble pas toucher autant le groupe que l’une de ses différentes filiales. LIEN
Lady Gaga, Madonna, Mariah Carey, Bruce Springsteen ou même les membres de U2 pourraient payer le prix d’une attaque de ransomware majeure contre un célèbre cabinet américain.
Le groupe de cybercriminels derrière le rançongiciel REvil / Sodinokibi a une nouvelle cible. Il s’agirait d’un célèbre cabinet d’avocats basé à New York. Il s’appelait Grubman Shire Meiselas & Sacks (GSMS) et il a été victime d’une tentative de chantage la semaine dernière après avoir été infecté par cette rançon.
Le 7 mai, les opérateurs REvil ont envoyé un message au personnel du GSMS sur un portail Web sombre menaçant l’entreprise de divulguer des fichiers sur ses clients, des fichiers que le gang REvil a volés du réseau interne de l’entreprise. avocats avant de crypter.
Les captures d’écran publiées sur le site suggéraient que des pirates avaient volé des documents relatifs à la clientèle de célébrités qui représente GSMS, parmi lesquels des célébrités telles que Lady Gaga, Madonna, Mariah Carey, Nicki Minaj, Bruce Springsteen, U2 ou le duo Outkast .
GSMS a confirmé l’incident et tenté d’extorsion lundi dans une déclaration au site Web de nouvelles de divertissement Variety. Les pirates ont donné à l’entreprise une semaine pour négocier et payer la rançon qui a expiré la nuit dernière lorsque les pirates ont publié un autre message sur leur site Web. Les cybercriminels ont déclaré que GSMS n’avait proposé de payer que 365 000 $ sur les 21 millions de dollars demandés. Conséquence: ce dernier a désormais doublé le besoin de solution à 42 millions de dollars.
Le ransomware reste la plus grande menace informatique pour les entreprises en 2020. Une étude de Sophos révèle que les victimes ne devraient jamais payer la rançon requise par les pirates, car cela doublerait presque le coût total de la rançon. La clé de chiffrement promise par les auteurs n’est jamais suffisante pour récupérer toutes les données chiffrées. LIEN
