Catégories
Attaque Etude hyères informatique Non classé Ransomware Sécurité

Ransomware: les e-mails de phishing sont de nouveau à la mode

Le courrier électronique était autrefois la principale méthode de distribution des ransomwares. Maintenant, de nouvelles formes de ransomware l’utilisent à nouveau.

Les attaques de ransomwares par e-mail sont à nouveau en hausse, avec plusieurs nouvelles familles de ransomwares récemment distribuées via des messages de phishing.

Le courrier électronique a été le moyen le plus productif d’infecter les victimes avec des rançongiciels pendant un certain temps, mais ces dernières années, les attaquants ont réussi à utiliser des ports RDP externes, des serveurs publics non sécurisés et d’autres vulnérabilités de réseau d’entreprise pour crypter des réseaux entiers – ce qui nécessite souvent des centaines de milliers de dollars pour accéder à nouveau aux données.

Ces dernières semaines, cependant, les chercheurs de Proofpoint ont constaté une augmentation du nombre d’attaques de ransomwares distribuées par e-mail. Certains escrocs ont envoyé des centaines de milliers de messages chaque jour. Les attaques par e-mail utilisent une variété de leurres pour inciter les gens à les ouvrir, y compris les lignes d’objet liées au coronavirus.

L’une des plus grandes campagnes de messagerie électronique est celle d’un nouveau ransomware appelé Avaddon: en une semaine en juin, ce ransomware a été distribué dans plus d’un million de messages, ciblant principalement des organisations aux États-Unis. Avaddon utilise une technique assez basique comme leurre, avec des lignes de sujet prétendant se rapporter à une photo de la victime, attaquant la vanité ou l’insécurité potentielle de la victime. Si la pièce jointe est ouverte, elle télécharge Avaddon à l’aide de PowerShell.

Les ordinateurs infectés mettent une rançon qui nécessite 800 $ en bitcoins en échange d’un « logiciel spécial » pour décrypter le disque dur.

Les gens à la croisée des chemins
L’attaquant derrière Avaddon offre une assistance 24h / 24 et 7j / 7 pour garantir que les victimes disposent des outils nécessaires pour payer la rançon et avertit que si les utilisateurs tentent de récupérer leurs fichiers sans payer, ils risquent de les perdre pour toujours.

Une autre campagne de ransomware par e-mail, détaillée par des chercheurs, a été baptisée « Mr. Robot ». Il cible les entreprises de divertissement, de fabrication et de construction à travers les États-Unis. Les messages prétendument émanant du ministère de la Santé ou des Services de santé utilisent des sujets liés aux résultats du test Covid-19 dans le but d’encourager les victimes à cliquer sur un lien pour afficher un document.

Si la victime clique dessus, un ransomware est installé et les attaquants ont besoin de 100 $ pour récupérer les fichiers. C’est une petite quantité par rapport à de nombreuses campagnes de rançongiciels, ce qui suggère que ce malware cible les utilisateurs à domicile plutôt que les entreprises.

Mais non seulement les organisations en Amérique du Nord sont confrontées à un nombre croissant d’attaques par ransomware de messagerie: elles visent également l’Europe.

Les chercheurs notent que le ransomware de Philadelphie – qui revient après une aberration de trois ans – est destiné aux entreprises alimentaires et de fabrication allemandes avec des leurres de langue allemande qui prétendent provenir du gouvernement allemand.

Les e-mails prétendent contenir des informations sur la fermeture éventuelle de l’entreprise en raison de la pandémie de Covid-19 et exhortent la victime à cliquer sur un lien: s’ils le font, le rançongiciel Philadelphie est installé, avec une note en anglais exigeant le paiement de 200 $.

Alors que le nombre d’attaques par ransomware par courrier électronique est encore faible par rapport à 2016 et 2017, lorsque Locky, Cerber et GlobeImposter étaient massivement distribués, le récent pic des attaques par courrier électronique montre à quel point les cybercriminels peuvent être flexibles.

«Il est raisonnable de dire que les attaques de ransomwares basées sur les e-mails sont laissées dans l’esprit des acteurs malveillants. Ils ont tendance à être flexibles et agiles dans leur travail », a déclaré Sherrod DeGrippo, directeur principal de la recherche et de l’enregistrement des menaces chez Proofpoint.

«Ils veulent se concentrer sur ce qui donne le plus de gain financier et changer de tactique pour obtenir les meilleurs résultats. Cela peut être un simple test d’eau pour voir quels taux de réussite sont disponibles avec cette méthode », a-t-elle ajouté.

L’une des raisons pour lesquelles certains attaquants ont pu revenir au courrier électronique est le nombre de personnes travaillant à distance et la dépendance à l’égard du courrier électronique qu’il implique. « Le courrier électronique permet aux acteurs malveillants de s’appuyer sur le comportement humain pour réussir en un seul clic », a déclaré DeGrippo.

Dans de nombreux cas, il est possible de se défendre contre les ransomwares – et autres attaques de logiciels malveillants – en s’assurant que les réseaux sont corrigés avec les dernières mises à jour de sécurité, empêchant les attaquants d’exploiter les vulnérabilités logicielles connues.

Cependant, les entreprises doivent également prévoir de tenir compte du fait qu’à un moment donné, quelqu’un cliquera par erreur sur un lien malveillant dans un e-mail de phishing.

« Les entreprises doivent supposer que quelqu’un de leur organisation cliquera et développera toujours une stratégie de sécurité qui protège d’abord les gens », a déclaré DeGrippo.

« Les entreprises doivent veiller à évaluer la vulnérabilité des utilisateurs finaux et à tirer des enseignements des menaces actuelles en leur fournissant des compétences utiles pour se protéger au travail et dans leur vie personnelle. »

Catégories
Attaque Etude Hakbit informatique Ransomware Sécurité

Les récents e-mails de Phishing ont propagé le ransomware Hakbit à l’aide de pièces jointes Microsoft Excel malveillantes et de suppressions GuLoader.

Une campagne de rançongiciels, appelée Hakbit, cible les employés de niveau intermédiaire en Autriche, en Suisse et en Allemagne avec des pièces jointes Excel malveillantes fournies par le célèbre fournisseur de messagerie GMX.

La campagne de spear-phishing est de faible volume et a jusqu’à présent ciblé les secteurs pharmaceutique, juridique, financier, des services aux entreprises, du commerce de détail et des soins de santé. Les campagnes à faible volume, parfois appelées attaques de spam en raquettes, utilisent plusieurs domaines pour envoyer des rafales relativement petites de faux e-mails pour contourner la réputation ou le filtrage du spam en fonction du volume.

« La plus grande quantité de messages que nous avons observés a été envoyée aux secteurs de la technologie de l’information, de la fabrication, de l’assurance et de la technologie », ont écrit les chercheurs de Proofpoint dans une analyse lundi. Ils ont noté que << la majorité des rôles ciblés dans les campagnes Hakbit concernent les clients, les coordonnées des individus étant divulguées publiquement sur les sites Web et / ou les publicités du cabinet. Ces rôles comprennent les avocats, les conseillers à la clientèle, les directeurs, les conseillers en assurance, les PDG. et chefs de projet. « 

Les e-mails de spear phishing originaux utilisent un leurre financier avec des lignes d’objet telles que « Fwd: Steuerrückzahlung » (Traduit: Tax Payment) et « Ihre Rechnung (Translated: Your Bill) ». Les e-mails sont fournis par un fournisseur de services de messagerie gratuit (GMX) qui dessert principalement une clientèle européenne.

«C’était une campagne à faible volume. GMX est largement utilisé et bien connu en Europe germanophone, il a donc confiance dans la reconnaissance des noms », a déclaré à Threatpost Sherrod DeGrippo, directeur principal de la recherche sur les menaces chez Proofpoint. « Il s’agit d’un service de messagerie gratuit, il est donc difficile de suivre et de menacer les joueurs susceptibles de générer plusieurs comptes. »

Les pièces jointes aux e-mails sont supposées être de fausses factures et remboursements de taxes. Une adresse e-mail prédit 1 & 1, une entreprise allemande de télécommunications et d’hébergement Web, indiquant à la victime que la pièce jointe à un e-mail, par exemple, est une facture.

Lorsque les pièces jointes Microsoft Excel sont ouvertes, elles demandent ensuite aux victimes d’activer les macros. Il télécharge et exécute à nouveau GuLoader. GuLoader est un compte-gouttes largement utilisé qui compromet les cibles et fournit des logiciels malveillants de deuxième étape. Il est constamment mis à jour tout au long de 2020 avec de nouvelles techniques d’évitement de sandbox sportif binaire, des fonctionnalités de randomisation de code, un cryptage URL de commande et de contrôle (C2) et un cryptage supplémentaire de la charge utile.

sous les projecteurs plus tôt en juin, après que les enquêteurs ont affirmé qu’une entreprise italienne avait vendu ce qu’elle décrit comme un outil de cryptage légitime – mais qu’il a en fait été utilisé comme package de malware pour GuLoader.

Dans cette campagne, lorsque GuLoader est en cours d’exécution, il télécharge puis exécute Hakbit, un utilitaire bien connu qui chiffre les fichiers à l’aide du chiffrement AES-256. Hakbit existe depuis au moins 2019 et a fait plusieurs victimes confirmées, y compris des utilisateurs à domicile et des entreprises aux États-Unis et en Europe, selon Emsisoft. On pense que Hakbit est lié au ransomware Thanos – Dans une analyse récente du ransomware Thanos, les chercheurs de Record Future ont évalué « en toute confiance » que les exemples de ransomware suivis pendant que Hakbit étaient construits à l’aide du constructeur de ransomware Thanos développé par Nosophoros (basé sur la codabilité, la réutilisation rigoureuse, l’extension du rançongiciel et le format des notes de rançon).

Lorsque Hakbit crypte les fichiers des victimes, il publie une note exigeant un paiement de 250 euros en bitcoin pour déverrouiller les fichiers cryptés et donne des instructions sur la façon de payer la rançon.

Ransomware HackBit. Au 16 juin 2020, les chercheurs ont déclaré n’avoir trouvé aucune transaction montrant le paiement d’une rançon pour le portefeuille Bitcoin. Threatpost a atteint Proofpoint sur le nombre d’entreprises ciblées par Hakbit – et sur le nombre de ces cibles qui ont été compromises.

Quoi qu’il en soit, les chercheurs affirment que la campagne provient uniquement de plusieurs campagnes de « ransomware » à faible volume et souvent « boutique » qui ont frappé les victimes depuis janvier 2020.

« Les chercheurs de Proofpoint ont récemment identifié un changement dans le paysage des menaces avec une campagne de rançongiciels Avaddon à grande échelle qui était conforme aux récents rapports des fournisseurs open source », ont-ils déclaré. « Hakbit illustre une campagne de ransomware centrée sur les personnes, adaptée à un public, un rôle, une organisation et une langue maternelle spécifiques à l’utilisateur. » LIEN

Catégories
Association Attaque Etude hyères informatique Ransomware Sécurité

Ransomware: points de vue contrastés des compagnies d’assurance sur une situation préoccupante

Beazley a observé une explosion de cyber-attaques de ransomwares l’année dernière. Hiscox estime que le nombre d’entreprises touchées par un incident de cybersécurité a diminué. Mais que les pertes induites ont considérablement augmenté.

Publié au début d’avril de l’année dernière, Beazley Breach Briefing 2020 a signalé une augmentation de 131% des attaques signalées contre les clients des assureurs l’année dernière. Le rapport s’appuie sur les données de 775 incidents de cybersécurité liés aux ransomwares. Et pour Beazley, c’est une véritable explosion: en 2018 et 2017, il n’avait enregistré qu’une augmentation de 20% et 9% respectivement pour ce type de cyberattaque. Et pour aggraver les choses, « les montants exigés par les cybercriminels ont également augmenté de façon exponentielle avec des demandes à sept ou huit chiffres, ce qui n’est pas inhabituel ».

Mais cette tendance à la hausse de la rançon n’est pas spécifique à l’année écoulée. Pour Katherine Keefe, chef des Services d’intervention en cas de violation de Beazley (BBR), «les opérations de ces délinquants sont couronnées de succès et elles ont été détournées». Et pour souligner qu’ils « sont également intéressés par des choses comme la taille de l’organisation et la façon dont ils se présentent sur leur propre site Web. En général, plus l’organisation est grande, plus la demande est grande ». rançon partagée: de l’ordre de dizaines de milliers de dollars pour les petites structures, jusqu’à plus de dix millions de dollars pour les grandes organisations.

Le rapport de Beazley ne dit pas combien de clients ont choisi de faire du chantage car l’éditeur ne divulgue pas ces informations. Mais lorsqu’un client choisit de payer, Beazley travaille avec Coveware. Début mai, ce dernier a déclaré un montant moyen par Incident de 111605 $ au premier trimestre 2020, 33% de plus qu’au dernier trimestre 2019.

Dans un article de blog, le consultant a attribué cette augmentation au fait que « les distributeurs de ransomware ont de plus en plus ciblé les grandes entreprises et ont réussi à les forcer à payer une rançon pour récupérer leurs données ». Si le constat apporte peu d’indicateurs rassurants sur les garanties de ces grandes entreprises, Coveware a assuré que « les gros versements de rançons constituent une minorité en volume ». Mais ils ont donc remonté la moyenne.

Sur la base du nombre d’échantillons soumis sur le service d’identification des rançongiciels ID Ransomware, Emsisoft a estimé début février que ce malware avait coûté un peu plus de 485 millions de dollars en France en 2019 – pour la rançon uniquement. Depuis Hexagon l’an dernier, plus de 8 700 échantillons ont été déposés à des fins d’identification. Compte tenu de l’interruption d’activité, Emsisoft a estimé le coût de ces attaques pour les organisations françaises à environ 3,3 milliards de dollars.

Hiscox, dans son récent rapport annuel sur la gestion des cyberrisques, montre que 18% des entreprises françaises qui ont été agressées tant paient une rançon. Ainsi, sur l’ensemble de l’échantillon, outre la France uniquement, « les pertes ont été presque trois fois plus importantes pour les entreprises victimes d’une attaque par rançongiciel que pour celles qui ont subi un [simple] malware » soit 821 000 € contre 436 000 € … et que la rançon ait été payée ou non. Mais en France, 19% des victimes de ransomwares affirment avoir pu récupérer leurs données « sans avoir à payer la rançon ». Cependant, cela suggère la possibilité que les autres se soient repliés devant leurs assaillants.

En fait, lorsque Hiscox parle de logiciels malveillants, il couvre également ceux qui peuvent être utilisés pour insérer des ransomwares. Pour l’assureur, « les chiffres montrent l’importance de la détection avant qu’un malware ne devienne un ransomware ». Et souligner que les attaques se déroulent souvent en plusieurs étapes, ce qui laisse du temps pour la détection. SentinelOne a ainsi observé une attaque impliquant TrickBot avant d’installer le rançongiciel Ryuk: entre les deux, deux semaines se sont écoulées. Pour Hiscox, c’est très simple: « Les entreprises disposant de bonnes capacités de détection peuvent arrêter une attaque pendant ce temps et ainsi subir des désagréments moins durables, avec un coût global moindre et moins d’impact sur les affaires ».LIEN

Catégories
Attaque Etude informatique Ransomware Sécurité

Gestion de crise des ransomwares

Le ransomware est un malware qui crypte les données sur les machines qu’il infecte. Les personnes ou entités à l’origine de l’attaque demandent alors le paiement d’une rançon en échange de la clé de déchiffrement des systèmes concernés. La conférence organisée par le Cyber ​​Club par EGE le mardi 20 mai 2020 avait pour objectif de jeter les bases d’une gestion de crise pour une entreprise victime d’un tel processus. Béatrice Ghorra, ingénieure avant-vente spécialisée dans les produits de sécurité des centres de données et de l’environnement cloud au CISCO et enseignante à la School of Economic Warfare, était la modératrice de cette conférence.

ransomware
En juin 2017, Wannacry a fait la une des ransomwares pour tous les médias. Ce fut l’attaque informatique la plus massive de l’histoire du domaine. La publicité sur l’incident est un tournant pour le monde de la cybersécurité et les problèmes qui en découlent car ils sont mis en avant. Le discours des professionnels de la discipline est alors légitimé là où ils avaient déjà eu du mal à entendre. Le ransomware, pour le désigner avec le terme français, représente toujours une menace de premier ordre. Selon le CERT France, il s’agit même du risque le plus grave pour les entreprises. La crise actuelle associée à COVID-19 et le succès des campagnes malveillantes liées à l’essor du télétravail en témoignent: particuliers, professionnels, PME ainsi que multinationales, personne n’est à l’abri.

Il est nécessaire de bien comprendre comment ces attaques fonctionnent et les mentors des attaquants pour mieux gérer le risque et la crise si nécessaire. Depuis l’avènement de ce mode de fonctionnement dans les années 80, les attaquants ont affiné leurs techniques et méthodes d’accès aux systèmes d’information. On voit que l’attaquant cherche toujours des portes dérobées. Ils ne veulent pas attaquer le système de front, mais contourner autant que possible les couches de sécurité. En particulier, parmi les vecteurs qui permettent l’infection figurent:

Campagnes de phishing, désormais précédées d’opérations d’ingénierie sociale pour personnaliser les e-mails et optimiser la pénétration.
L’annonce erronée ou « téléchargement en voiture » qui vous permet de démarrer des téléchargements instantanés via des fenêtres contextuelles qui redirigent vers d’autres pages.
Ils ont oublié ou dépassé des machines dans un système d’information. Il existe de nombreuses plates-formes que vous pouvez acheter des informations d’identification pour vous connecter à l’équipement d’une multitude d’entreprises à des prix élevés.
Les fameux périphériques USB, mais non moins efficaces, ont été perdus.
À titre d’exemple, voici le mode de fonctionnement de Loki, une solution qui est apparue pour la première fois en 2013:

Un fichier PDF est capturé et envoyé en pièce jointe à un e-mail soigneusement conçu afin que le destinataire ne se méfie pas d’eux et n’ouvre pas le fichier. Cette action exécute un extrait de code trouvé dans la pièce jointe qui ouvre un canal de communication vers un serveur de commande et de contrôle (C2) sous le contrôle de l’attaquant. Ce serveur télécharge instantanément un ransomware et une clé de cryptage. Le logiciel analyse ensuite méthodiquement le disque dur de l’utilisateur et crypte tous ses fichiers. Ensuite, l’ordinateur est crypté. Un message et un compte à rebours apparaissent sur l’écran montrant les instructions de paiement, souvent associées à la crypto-monnaie, ce qui rend le suivi difficile, permettant aux données de la machine cryptée d’être restaurées.

Certains ransomwares tentent également de se propager latéralement, c’est-à-dire vers toutes les stations voisines pour paralyser complètement un maximum d’équipements. Il a fallu environ sept minutes à NotPetya pour chiffrer l’intégralité du système d’information de Maersk, la plus grande société de transport de conteneurs au monde.

Cependant, les entreprises sont de moins en moins susceptibles de payer la rançon, ce qui équivaut à des montants vertigineux, nous parlons de dizaines de millions de dollars pour les plus importantes. Sophos estime qu’il est toujours plus rentable pour l’entreprise de ne pas payer car les dommages sont déjà présents et qu’il n’y a aucune garantie que l’attaquant tiendra sa parole et fournira la clé de déchiffrement. Ces derniers se sont donc adaptés et procèdent désormais à l’extraction des données par l’entreprise pour obtenir un effet de levier supplémentaire en menaçant leurs victimes de la diffusion des informations ainsi collectées en public.

Les attaquants à l’origine de la campagne de rançongiciels Maze, qui a vu le jour en novembre 2019, maintiennent ainsi un site Web sur lequel ils publient des informations d’entreprises qui refusent de payer la rançon. Maze a également la particularité d’être au cœur d’une attaque dite à long cycle. Une fois qu’une machine a été infectée, une semaine est consacrée à la reconnaissance et à la collecte d’informations utiles sur l’architecture réseau de l’entreprise, les employés et leurs informations d’identification, les comptes d’utilisateurs, etc. La semaine suivante est consacrée aux mouvements latéraux et au filtrage des données à installer dans autant de machines que possible et à maximiser les chances de paiement. Enfin, au cours de la troisième semaine de la campagne, les attaquants tentent de transiger avec Active Directory (serveur central et critique qui donne à la personne en contrôle ce qu’elle veut au sein du système d’information) et implémentent le labyrinthe sur toutes les machines infectées.

Il est important de réaliser que chaque ransomware observé est spécialisé dans ses modes d’attaque. Les canaux d’entrée et de sortie sont très différents. Certains profitent d’erreurs logicielles non corrigées, d’autres préfèrent les vulnérabilités liées aux navigateurs Web ou à certains protocoles de communication. Cette gamme d’opportunités est très bien représentée dans le marché des ransomwares en tant que service (RaaS) qui s’est développé à un rythme rapide ces dernières années. Les développeurs de ce logiciel ont en fait eu la brillante idée de vendre leur logiciel en échange d’une partie du correctif qui a été soulevé. Par conséquent, l’expertise en développement n’est plus nécessaire pour la création d’une campagne de ransomware ciblée! Il s’agit d’un changement très important car il élargit la portée des attaquants potentiels.

gestion de crise

L’impact d’une attaque de ransomware réussie est énorme pour une entreprise. Cela n’endommage pas seulement le système d’information d’une entreprise. Tout son écosystème est affecté. La confiance que nous lui accordons s’évapore, ses parts de marché chutent, ses partenaires, parties prenantes et fournisseurs en souffrent également, l’impact économique qui en résulte étant parfois fatal à la victime qui pourrait tomber sous le coup du RGPD dont les données personnelles sont filtrées. C’est pourquoi il est important de bien gérer une telle crise si elle survient pour permettre à l’entreprise de se remettre sur pied, de contrôler et d’atténuer les dommages causés.

Avant la crise, l’entreprise doit anticiper au maximum les difficultés. Définir une feuille de route ainsi qu’un Business Continuity Plan (BCP), l’adapter au contexte et au développement des attaquants, ce qui implique de surveiller la menace. Déterminer qui fait partie de la cellule de crise, quelle est la responsabilité de chaque membre ou même définir où cette cellule doit être créée? Autant de questions auxquelles il est possible et souhaitable de répondre avant la crise.

De plus, l’utilisation de certaines meilleures pratiques peut limiter l’exposition ou l’impact de l’attaque si nécessaire. Parmi ces bonnes pratiques, citons l’utilisation et les tests réguliers des sauvegardes pour éviter de perdre toutes les données chiffrées. Cela a sauvé Maersk lors de l’attaque de NotPetya, une combinaison de circonstances qui leur a permis de garder une sauvegarde intacte. Cette sauvegarde a complètement empêché la perte de tout le contenu de leur système d’information. D’un autre côté, une analyse régulière des risques vous donne une bonne idée des produits importants que l’entreprise souhaite protéger à tout prix. Il s’agit du point de départ d’actions qui rendront l’accès des tiers à ces ressources beaucoup plus difficile. La surveillance des canaux d’information tels que le courrier électronique et Internet, en particulier via le filtrage DNS et l’utilisation de solutions comme SIEM, vous permet de contrôler les flux qui transitent par l’entreprise. Désactivez les services obsolètes ou inutiles, mettez à jour les systèmes régulièrement, effectuez des tests de pénétration, toutes ces pratiques contribuent à assurer la résilience des entreprises résilientes en cas d’attaque réelle. Le plus élémentaire de tous, cependant, continue de placer les utilisateurs au cœur du processus de sécurité car ils sont le premier matériel de défense de l’entreprise. Les bons réflexes des employés font souvent la différence entre une crise maîtrisée qui cause des dommages tangibles et une catastrophe qui menace la vie d’une entreprise.

Cependant, si cette attaque se produit, la priorité est de déclencher l’alarme et de contenir l’attaque pour empêcher sa propagation en isolant la partie infectée du reste du système d’information. Un bon réflexe à avoir est de documenter l’ensemble du processus pour faciliter les étapes suivantes. Prenez des photos d’écrans, de messages reçus, d’adresses spécifiées, tout ce qui peut constituer un chemin vers l’attaquant doit être enregistré et notifié. Notez qu’il n’est pas recommandé de désactiver les ordinateurs infectés pour les mêmes raisons pour une enquête plus approfondie. Préférez simplement les déconnecter du réseau et assurez-vous qu’ils ne communiquent pas avec le reste du système d’information.

À ce stade, et si l’entreprise n’a pas les compétences, il est impératif qu’elle obtienne l’aide et l’assistance d’entreprises spécialisées dans l’atténuation de l’attaque. Une fois de plus, l’expérience de Maersk sert d’exemple dans ce domaine. Leur communication de crise a permis à leurs partenaires et autorités compétentes de les aider à se remettre le plus rapidement possible. Les experts contactés par l’entreprise pourront appliquer les corrections nécessaires aux systèmes qui en ont besoin, s’assurer que le reste de l’infrastructure ne risque pas d’être réinfecté et pourra assurer la transition vers l’analyse médico-légale.

Cette dernière partie de la gestion de crise vise à déterminer l’origine de l’attaque, à documenter son mode de fonctionnement et tous les aspects techniques s’y rapportant pour établir un post-mortem de la situation et un retour d’expérience. Cette documentation est d’autant plus précieuse qu’elle peut servir de guide à d’autres entreprises et éventuellement les aider à se remettre de la crise qui pourrait les affecter. De plus, cette analyse ainsi que l’expérience de l’entreprise doivent être utilisées. Il est impératif d’apprendre de ce qui s’est passé et de mettre en œuvre les mesures qui serviront à vous protéger à l’avenir.

En conclusion, il existe de nombreuses façons de le gérer, bien qu’il soit impossible d’être insensible aux risques associés aux ransomwares. La préparation joue un rôle important comme nous l’avons vu. Il est donc conseillé de se donner les moyens techniques, organisationnels et humains pour rester au courant et pouvoir réagir rapidement et efficacement si nécessaire. Une bonne préparation vous permet de vous concentrer sur l’essentiel au cœur de la crise. Cependant, communiquer correctement sur le test est important car il vous permet de rechercher une aide extérieure pour obtenir des ressources et des compétences que l’entreprise peut ne pas avoir en interne. Enfin, une victime de ransomware devrait être en mesure de tirer des leçons de ce qui lui est arrivé pour prévenir plus efficacement ce risque à l’avenir.LIEN

Catégories
Attaque Etude hyères informatique Non classé Ransomware Sécurité

Les ransomwares poursuivent de plus en plus les grandes entreprises: ce que vous devez savoir pour protéger votre entreprise

Le ransomware de « Big game hunt » diffère de ses prédécesseurs qui ont combattu sans distinction. L’activité la plus courante dans les ransomwares reste l’arnaque non sophistiquée qui cible une très grande échelle. Mais de plus en plus de cybercriminels ont les ressources pour développer des campagnes beaucoup plus sophistiquées et du temps pour pénétrer profondément dans les systèmes d’information, planifier et identifier les ressources les plus précieuses, puis tout détruire uniquement après avoir rentabilisé leur investissement.

Ces attaques de rançongiciels de «gros gibier» peuvent représenter un danger moins fréquent mais beaucoup plus grave pour la victime. Pour cette raison, la détection préventive est devenue extrêmement importante pour les entreprises. Cet article explique pourquoi:

Les vagues précédentes étaient différentes
Les anciennes campagnes de rançongiciels comme Locky étaient critiques et n’avaient pas la sophistication des attaques modernes. Leurs auteurs ont ciblé le plus grand nombre, souvent dans le cadre de vastes campagnes de phishing. Les destinataires non acceptants ont cliqué sur un lien malveillant. Les ransomwares pourraient alors gagner de l’espace jusqu’à ce que les fichiers chiffrés soient stockés sur leur machine ou dans le cas des entreprises de leur centre de données. C’était généralement suffisant pour collecter des sommes importantes en très peu d’efforts.

L’attaque bien documentée de WannaCry a marqué le début d’une nouvelle vague de ransomwares. Cependant, la propagation sans discrimination s’est avérée plus dangereuse car elle exploitait les vulnérabilités de manière plus sophistiquée. WannaCry et NotPetya se sont propagés de pair à pair et hors des frontières de l’entreprise, infiltrant des systèmes non corrigés et prenant à la fois des données et des otages de données. Bien que les cybercriminels n’aient pas nécessairement obtenu des fortunes en échange de leurs efforts, ces attaques ont été dévastatrices et ont offert un avenir troublant.

Que pouvez-vous attendre d’un ransomware de gros gibier?
Les ransomwares manquent toujours de subtilité. Loin de saper de petites quantités régulières ou d’espionnage discret des communications d’entreprise, ils s’apparentent davantage à des vols à main armée. Le but est d’être vu, effrayé et payé. Les ransomwares ne sont pas non plus très furtifs, surtout lorsqu’ils ont commencé à chiffrer des fichiers ou à désactiver des systèmes.

Inversement, le ransomware «chasse au gros gibier» infecte discrètement de nombreux systèmes sur le réseau de la victime avant de faire du bruit et de rester silencieux jusqu’au stade de la destruction.

L’énorme télétravail introduit pendant la crise du COVID-19 a permis à de nombreux attaquants d’infiltrer plus facilement les réseaux et de prendre le temps de se préparer à des attaques plus sophistiquées … comme nous le verrons peut-être dans les mois à venir.

Active Directory, l’épine dorsale des nouvelles attaques de ransomwares
Nous avons récemment étudié un nouveau type de ransomware appelé Save the Queen, qui se propage à partir des serveurs Active Directory de la victime (contrôleurs de domaine).
Les contrôleurs de domaine ont les clés du monde numérique. Presque tout autre système s’y connecte, ce qui le rend très important et en fait une cible principale pour la distribution de ransomwares. En raison de leur importance, la manipulation des serveurs Active Directory nécessite des droits d’accès étendus, exactement ce dont les cybercriminels bénéficient dans ce cas. L’ANSSI s’intéresse – et est au courant – depuis longtemps sur ce sujet et vient de publier une collection sur AD Security: https://www.cert.ssi.gouv.fr/uploads/guide -ad.html

L’accès est l’une des raisons pour lesquelles les ransomwares de gros gibier sont si troublants. Pour les cybercriminels, infiltrer un réseau est un jeu d’enfant. Ils peuvent facilement accéder à des applications de niveau supérieur ou à des comptes administratifs. Ils peuvent également utiliser leur propre infrastructure contre leur victime. Les auteurs de Save the Queen l’ont fait.

Avec tous ces accès, l’attaquant peut accéder à des données extrêmement sensibles: informations financières, propriété intellectuelle, monétiser ces informations confidentielles, copier des fichiers importants avant de les chiffrer pour menacer de les publier. Il faudrait être naïf pour penser qu’ils n’ont pas réussi à s’en éloigner et le phénomène est suffisamment grave pour mériter d’être inversé. Certains cybercriminels peuvent ne pas vouloir s’embêter à chercher quand ils peuvent se contenter d’une entrée et d’une introduction rapide, efficace et facile. Mais plus ces groupes sont organisés et efficaces pour gagner de l’argent sur la propriété de quelqu’un d’autre, plus ils sont susceptibles de ne laisser aucune miette à leurs victimes.

Quatre étapes pour protéger votre entreprise
* Sachez où les données de propriété intellectuelle, les informations financières, les données personnelles et les e-mails sensibles sont stockés avant que les cybercriminels ne tentent de les voler, de les transmettre ou de les chiffrer. Limitez l’accès à ceux qui en ont absolument besoin pour réduire la surface de l’attaque.
* Identifiez la période pendant laquelle l’indisponibilité d’un système ou de données aura les pires conséquences, par exemple, les jours précédant la semaine la plus occupée de l’année. Les cybercriminels sont intéressés par ce type d’informations sur leurs victimes. Mieux vaut avoir élaboré un plan d’affaires pour la continuité / reprise plutôt que d’avoir à improviser sous pression.
* Une grande partie de la prévention des ransomwares repose sur les sauvegardes. Bien qu’évidemment important, le défi consiste à décider lesquels restaurer, en particulier en ce qui concerne les fichiers. Sans suivi de l’activité du système de fichiers, de nombreuses entreprises doivent saisir une rançon pour savoir ce qui a été chiffré et quand. Si le registre d’activité de fichier n’existe pas, il doit être créé. Cela fournit ensuite des informations sur les activités des utilisateurs infectés.
* Profitez de l’automatisation. Des journaux d’activité et d’analyse adéquats permettent de détecter et d’arrêter les attaques potentielles avant qu’elles ne se propagent. Hiérarchisez et analysez les activités des ensembles de données et les systèmes critiques tels que les grands entrepôts de données, Active Directory et d’autres données télémétriques qui peuvent alerter lorsqu’un cybercriminel est entré sur le réseau.

Actuellement, les fournisseurs de télécommunications offrent un moyen simple d’accéder aux ressources, notamment en raison des capacités de recherche et de filtrage offertes par les outils de collaboration utilisés. Dans le même temps, la plupart des entreprises ne sont pas prêtes à détecter une activité inhabituelle générée par ces utilisateurs externes. Le but principal de toute entreprise est de détecter les cybercriminels qui tentent d’en profiter pour neutraliser leurs activités le plus rapidement possible.LIEN

Catégories
Etude informatique Non classé Ransomware Sécurité

Plus de 50 autorités locales ont été affectées par des ransomwares depuis janvier.

ET LES SERVICES D’URGENCE?

Le réseau informatique interne de la ville, son site Internet et le réseau judiciaire ont été paralysés pendant des heures. « Les systèmes d’information suivent actuellement les protocoles recommandés. Cela comprend la fermeture des serveurs, de nos connexions Internet et des PC. Veuillez ne pas vous connecter au réseau ni utiliser des applications informatiques pour le moment », ont averti des courriers électroniques reçus par des autorités locales.

Plus de 50 autorités locales ont été affectées par des ransomwares depuis janvier.

Les réseaux informatiques de la ville américaine de Knoxville, dans le Tennessee, ont été attaqués par des ransomwares, rapporte les médias locaux WVLT dans un article publié le 11 juin 2020. Knoxville est la 134e ville des États-Unis par la taille de sa population, avec 188 000 habitants. C’est également le 51e État ou municipalité des États-Unis à être touché par les ransomwares cette année, selon les déclarations de Brett Callow, chercheur au sein du cabinet de sécurité Emsisoft, à Ars Technica.


La ville de Knoxville, dans le Tennessee, a été victime d’une rançon qui a paralysé son réseau informatique, son site Internet et le réseau judiciaire. C’est la 51ème autorité locale des États-Unis à être victime de ransomware depuis le début de l’année.

Ils ont depuis été récupérés, bien que l’attaque puisse encore occasionner des inconvénients mineurs. Les services d’urgence tels que la police, les pompiers et la ligne d’assistance 911 n’ont pas été affectés lorsqu’ils fonctionnaient sur des systèmes distincts. De plus, aucun serveur de sauvegarde n’a été atteint, grâce auquel les services de la ville pouvaient rapidement revenir à la normale.

David Brace, directeur exécutif et maire adjoint, a déclaré que le Bureau des enquêtes du Tennessee et le Bureau fédéral des enquêtes (FBI) soutiennent la ville dans la résolution de cet incident. Alors que les enquêteurs n’ont pas encore trouvé l’étendue des rançongiciels, David Brace dit qu’aucune donnée sur la cybercriminalité n’a été volée.

Ces pièces jointes sont incluses en millions de dollars

Ces attaques informatiques sont parfois très coûteuses. Deux des incidents les plus connus se sont produits en 2018 à Atlanta et à Baltimore, entraînant des coûts de 12,2 millions de dollars et 18 millions de dollars, respectivement. Il est donc temps pour les villes de réaliser que le coût de leurs réseaux coûtera toujours moins cher qu’une attaque informatique. LIEN

Catégories
Attaque Etude informatique Non classé Ransomware vidéo

Ransomware: les PDG qui doivent rendre des comptes aux consommateurs

Selon une enquête réalisée par Veritas, la responsabilité personnelle des dirigeants d’entreprise a été remise en cause en cas d’attaque de ransomware, selon 40% des 12 000 consommateurs interrogés dans le monde. Les Français, cependant, lancent d’abord des pierres sur les cybercriminels devant les dirigeants.

La responsabilité personnelle des dirigeants d’entreprise remise en cause.

Très souvent, lorsque des cyberattaques ont lieu, RSSI est en première ligne. A la fois pour éteindre le feu et prendre les précautions nécessaires pour éviter le pire, mais parfois même lorsqu’il s’agit de se trouver «responsable». S’ils s’avèrent plus ou moins exposés, les RSSI ne sont pas les seuls désignés, c’est également le cas des dirigeants de l’entreprise elle-même, à savoir leur PDG. Selon une enquête réalisée par Veritas, pour laquelle 12 000 consommateurs dans 6 pays (États-Unis, Royaume-Uni, Allemagne, France, Japon et Chine) ont été interrogés en avril 2020, 40% pensent même qu’ils sont personnellement responsables lorsque les entreprises sont compromises par attaques de rançongiciels.

Les administrateurs ne sont pas épargnés par les dommages subis et les jugements attendus sont aussi divers que surprenants. 42% exigent que les PDG s’excusent publiquement pour les ransomwares, tandis que 35% veulent qu’ils paient une amende. 30% des répondants vont jusqu’à déclarer que les PDG en question ne devraient plus pouvoir diriger une entreprise à l’avenir, tandis que 27% demandent leur démission, 25% une baisse de salaire et 23% demandent même sur la prison.

Les consommateurs français plus indulgents envers les PDG
«En tant que consommateurs, nous acquérons de plus en plus de connaissances sur les ransomwares, nous ne pardonnons donc pas aux entreprises qui ne le prennent pas aussi au sérieux que nous», a déclaré Simon Jelley, vice-président des produits chez Veritas. . Cependant, il semble que les Français soient les répondants les plus indulgents des pays interrogés, avec moins d’un quart (24%) voulant blâmer les chefs d’entreprise, un peu plus de la moitié (55%) dans la conviction que seuls les criminels peuvent être accusés. pour les attaques de ransomwares, et seulement un tiers (36%) prévoient de se passer des services d’une entreprise attaquée. LIEN

Catégories
Etude informatique Ransomware Sécurité

Ransomware: Questions sur les attaquants chez Honda et Enel (alerte spoiler) Le télétravail!

Questions sur les attaquants chez Honda et Enel (alerte spoiler) Le télétravail!

Les deux groupes ciblés par le ransomware d’Ekan, également appelé Snake, ont exposé d’anciens services RDP directement sur Internet. Mais ils avaient également des systèmes Citrix NetScaler affectés par la vulnérabilité CVE-2019-19871.

Honda et Enel ont récemment reconnu avoir été la cible de cybercriminels. Très rapidement, deux échantillons du ransomware d’Ekan, également connu sous le nom de Snake, sont apparus, suggérant que ses opérateurs avaient en fait tenté d’attraper le constructeur automobile d’un côté et la société énergétique italienne. , d’autre part. Mais où les attaquants ont-ils réussi à s’inviter, ne serait-ce que de manière relativement limitée, aux systèmes d’information de ces deux cibles?

Le chercheur Germán Fernández a très rapidement rapporté qu’un service RDP était exposé sur Internet par un système lié au nom de domaine honda.com, ainsi qu’un de ces services … mais faisant référence à Enel. Et de s’interroger naturellement sur la possibilité d’un lien entre ces services exposés directement en ligne et les attaques menées contre les deux groupes.

Mais une passerelle potentielle a été identifiée par Troy Mursch du rapport Bad Packets: systèmes Citrix affectés par la vulnérabilité CVE-2019-19781, également connue sous le nom de Shitrix. Sur Twitter, il a déclaré qu’un « serveur Citrix VPN (NetScaler) utilisé par Honda » avait été identifié comme vulnérable lors de sa première campagne de recherche de systèmes affectés. Et ajoutez que cela s’applique également à Enel. Pour ces derniers, les systèmes affectés n’ont également tué l’utilisation des correctifs « que quelque part entre le 31 janvier et le 14 février 2020 ».

Vitali Kremez souligne que « les cybercriminels continuent de rechercher des passerelles VPN d’entreprise exploitables comme premier vecteur de violation », et en particulier les systèmes Citrix / Netscaler affectés par la vulnérabilité CVE-2019-19781. En réponse, Troy Mursch se souvient avoir identifié plusieurs victimes de ransomware qui exposaient de tels systèmes: Chubb, Conduent et Pitney Bowes, par Maze, mais aussi ISS World, par Ryuk ou encore Brittany Telecom, par DoppelPaymer.

Catégories
Etude informatique Ransomware Sécurité

Ransomware: des attaquants infiltrent un faux réseau industriel en seulement trois jours

Selon les chercheurs en sécurité, les réseaux de contrôle industriels sont exposés à un certain nombre d’attaques de rançongiciels. Cet avertissement fait suite à une expérience qui a révélé la vitesse à laquelle les pirates détectent les vulnérabilités des infrastructures critiques.

Des chercheurs en sécurité avaient mis en place un leurre pour surveiller la progression de l’attaque … qui ne tarda pas à venir.

Mise en place du leurre
L’entreprise de sécurité Cybereason a construit un leurre conçu pour ressembler à une entreprise d’électricité opérant en Europe et en Amérique du Nord. Le réseau a été conçu pour paraître authentique afin d’attirer des attaquants potentiels en incluant des environnements informatiques technologiques et opérationnels ainsi que des systèmes d’interface humaine.

Toutes les infrastructures sont construites en tenant compte des problèmes de sécurité communs aux infrastructures critiques, en particulier les ports des stations distantes connectées à Internet, les mots de passe de complexité moyenne et certains contrôles de sécurité habituels, y compris la segmentation du réseau.

Le leurre a commencé plus tôt cette année et il n’a fallu que trois jours aux attaquants pour découvrir le réseau et trouver des moyens de le compromettre – y compris une campagne de ransomware qui a infiltré des parties du réseau et qui a réussi à récupérer les informations de connexion.

Le cours de l’attaque
« Très peu de temps après le lancement du » pot de miel « , la capacité du ransomware a été placée sur chaque machine compromise », explique Israel Barak, chef de la sécurité informatique de la cyber-raison chez ZDNet.

Les pirates ont placé des ransomwares sur le réseau à l’aide d’outils de gestion à distance pour accéder au réseau et déchiffrer le mot de passe administrateur pour se connecter et contrôler le bureau à distance.

À partir de là, ils ont créé une porte dérobée pour un serveur compromis et utilisé des outils PowerShell supplémentaires, y compris Mimikatz, qui ont permis aux attaquants de voler des informations de connexion, permettant un mouvement latéral sur le réseau – et la possibilité de compromettre encore plus de machines. L’attaquant a effectué des analyses pour trouver autant de points d’accès qu’ils le souhaitaient et collecté des identifiants au fur et à mesure.

Double peine
En fin de compte, cela signifie qu’en plus de déployer un rançongiciel, les attaquants ont également la possibilité de voler des noms d’utilisateur et des mots de passe qu’ils pourraient exploiter comme un levier supplémentaire en menaçant de révéler des données sensibles si la rançon n’était pas payée.

« Ce n’est qu’après la fin des autres étapes de l’attaque que le ransomware se propage simultanément à tous les terminaux compromis. C’est une caractéristique commune des campagnes de ransomware à plusieurs étapes visant à amplifier l’impact de l’attaque sur la victime », explique Israël Barak.

Réseau compromis
Les attaques de ransomwares provenant de diverses sources ont souvent révélé le piège, et beaucoup ont essayé d’autres attaques, tandis que d’autres pirates informatiques étaient plus intéressés par la reconnaissance du réseau – comme c’était le cas dans une précédente expérience d’oiseau de leurre.

Même si cela ne semble pas aussi dangereux, à première vue qu’une rançon, les attaquants qui tentent d’exploiter le réseau de ce qu’ils croient être un fournisseur d’électricité peuvent finalement avoir des conséquences très dangereuses.

Néanmoins, il semble que les ransomwares soient devenus l’une des principales méthodes par lesquelles les attaquants tentent d’exploiter une infrastructure qu’ils peuvent facilement compromettre, que le rapport décrit comme un «barrage constant» d’attaques contre le secteur. Et le risque devrait s’intensifier.

Renforcer la sécurité de la prévention
Heureusement, ces attaques contre un leurre ne feront aucun mal.

L’expérience montre cependant que les réseaux qui prennent en charge les infrastructures critiques doivent être suffisamment résilients pour résister aux intrusions indésirables en concevant et en exploitant des réseaux pour la résilience – en particulier lorsqu’il s’agit de séparer les réseaux informatiques de la technologie opérationnelle.

Même des améliorations relativement simples, telles que la protection des réseaux avec des mots de passe complexes et difficiles à deviner, peuvent aider, tandis que des initiatives de sécurité plus complexes peuvent aider à renforcer la protection. LIEN

Catégories
Attaque Etude informatique Ransomware

DJVU/stop : faux déchiffrement, vrai ransomware


Une application masquée comme un décryptage de ransomware DJVU / STOP a été identifiée par un chercheur en sécurité. Cela crypte les données des victimes qui pensaient avoir trouvé une solution à leur problème.

Face à une attaque de ransomware, le remède peut parfois s’avérer pire que la maladie. Ainsi, un chercheur en sécurité a rapporté la semaine dernière un nouveau programme malveillant se faisant passer pour un décrypteur de ransomware DJVU / STOP, un ransomware très actif, et destiné aux particuliers. Michael Gillespie, chercheur indépendant en sécurité spécialisé dans la lutte contre les ransomwares, a attiré l’attention sur les malwares dans un tweet à la fin de la semaine dernière. Ce programme malveillant, appelé Zorab, se présente sous la forme d’un décrypteur: un type de programme qui exploite les erreurs logicielles dans la conception d’un ransomware pour décrypter les fichiers de la victime sans que la victime ait besoin de récupérer la clé de cryptage pour les attaquants.

Zorab ne vous sortira pas de l’affaire, au contraire: le chercheur explique qu’il crypte les données de la victime une seconde fois, et met sur l’ordinateur une note demandant à l’utilisateur de payer une rançon pour décrypter les fichiers en question. Pour la victime, il s’agit donc d’une double peine: il a dû payer une première fois pour décrypter les données rendues indisponibles par le ransomware Zorab, puis une deuxième fois pour décrypter le cryptage DJVU / STOP. Le groupe derrière DJVU / STOP attire moins d’attention que des acteurs malveillants comme Maze ou Dopplepaymer, mais ce ransomware est l’un des plus actifs aujourd’hui. Selon Emisoft, fin 2019, Stop / DJVU représentait plus de 56% des fichiers téléchargés sur la plateforme ID Ransomware, se plaçant en tête du classement. Comme l’explique Bleeping Computer, les opérateurs de ce ransomware sont plus susceptibles d’attaquer des individus et de demander des montants entre 500 $ et 1000 $ pour obtenir la clé de déchiffrement.

Double peine
Les cybercriminels derrière Zorab ont soigneusement choisi leurs cibles: plusieurs déchiffreurs sont en fait proposés par des sociétés de sécurité pour déchiffrer les fichiers chiffrés par les anciennes versions du rançongiciel DJVU / STOP. En mars, Emsisoft a publié plusieurs décrypteurs pour aider les victimes de cette rançon. Mais le jeu du chat et de la souris dure depuis des mois: lorsque les éditeurs publient un décryptage, les auteurs du ransomware distribuent une nouvelle version de leur ransomware. Dans cette jungle, il est donc facile pour un tiers de profiter de la multiplication des décrypteurs pour distribuer son propre ransomware en le transmettant comme un outil de déverrouillage de fichier.

Pour obtenir des outils de décryptage, il vaut mieux être prudent: nous pouvons recommander l’initiative NoMoreRansom mise en œuvre par Europol et plusieurs sociétés antivirus pour centraliser les outils de décryptage et anti-ransomware. Vous pouvez également accéder directement aux sites Web officiels d’éditeurs antivirus connus, tels que Kaspersky ou Emsisoft. Des décrypteurs pour les anciennes versions de DJVU / STOP sont disponibles, mais des analyses sont toujours en cours pour développer des outils similaires pour Zorab. Bien sûr, la meilleure solution est d’avoir des sauvegardes mises à jour, mais c’est souvent plus facile à dire qu’à faire.

LIEN