Catégories
Attaque Hôpital informatique Ransomware Sécurité Service informatique

Les FAI ont reçu l’ordre de bloquer l’accès à un site hébergeant des données de santé non chiffrées

Après avoir formellement découragé il y a quelques jours et avec raison d’utiliser tout site suggérant de «vérifier» si vous ne faites pas partie des 500 000 personnes dont les nombreuses données de santé ont été volées à des laboratoires à des fins d’analyses médicales, présidente de la CNIL, Marie-Laure Denis, avait rapidement appréhendé le tribunal de Paris pour bloquer l’accès à un lieu qui héberge juste les informations personnelles et sensibles volées.

Le tribunal de Paris a rendu mercredi une décision exigeant que les FAI bloquent l’accès à un site contenant une base de données d’env. 500 000 patients.

Catégories
Aérien Android Apple Association Attaque Bitcoins COVID-19 Ekans Entreprise de construction Etude EvilQuest GandCrab Hakbit Hôpital hyères informatique Mac MacOS Mairie maze Nefilim NetWalker Non classé Orange presse prix Ragnar Locker Ransomware revil Ryuk Sécurité Service informatique Shade sodinokibi SolarWinds Sunburst Technologie ThiefQuest Uncategorized vidéo

Comment la vulnérabilité informatique est-elle mesurée?

Le score CVSS est utilisé presque systématiquement pour évaluer le danger des vulnérabilités. Mais savez-vous quel calcul se cache derrière le score sur 10?

Il faut dire que la cybersécurité regorge de termes spécifiques et autres acronymes (et anglophones, d’ailleurs) pour qualifier les scénarios d’attaque. On parle de RCE, XSS, de « web shell » ou même d’élévation de privilèges. Les balles d’avertissement sont le plus souvent destinées aux spécialistes et n’utilisent que du jargon. Ils soulignent rarement les risques concrets qu’une nouvelle vulnérabilité pose au public.

SUITE… Avec Numerama.com

Catégories
Hôpital hyères informatique Ransomware Sécurité Service informatique Technologie

L’Etat alloue 350 millions d’euros au renforcement de la sécurité informatique des structures hospitalières.

«Depuis le début de l’année, un établissement de santé est victime d’une cyberattaque chaque semaine», a déploré Olivier Véran, avant de laisser entendre que l’État utiliserait «très rapidement» 350 millions d’euros pour renforcer les systèmes de protection informatique des hôpitaux français. groupes, un montant prélevé sur «l’enveloppe numérique» de Ségur de la Santé supérieur à 25 millions d’euros alloué à l’Agence nationale de sécurité des systèmes d’information (ANSSI) pour réaliser des audits et accompagner les établissements de santé.

Cybersécurité dans les hôpitaux

Bien que la pandémie de coronavirus ait secoué la majorité des gens, des industries et même l’État … à l’exception des pirates. En fait, même en pleine crise sanitaire, ces personnes sans scrupules se sont multipliées par les cyberattaques.

Les hôpitaux de Dax (Landes) et de Villefranche-sur-Saône font partie des hôpitaux qui ont subi des cyberattaques. Pire encore, ils ont perturbé les chirurgies et même l’accès des patients aux urgences. Face à ce fléau, le ministre des Solidarités et de la Santé Olivier Véran et le secrétaire d’Etat au Numérique, Cédric O, se sont rendus à l’hôpital de Villefranche-sur-Saône pour rencontrer le personnel soignant et présenter des mesures de sécurisation des réseaux informatiques des hôpitaux.

Cybersécurité Hyères

Le gouvernement aurait effectivement débloqué un budget de 350 millions d’euros de Ségur de Santé, une consultation qui a eu lieu en mai 2020, qui portait sur la révision du secteur de la santé et les mesures de sécurité à prendre pour protéger les hôpitaux contre les cyberattaques.

Apparemment, l’État a l’intention de procéder d’abord à des audits pour soutenir les hôpitaux dans leur processus de sécurité. Par ailleurs, le gouvernement souhaite également accélérer la mise en place du service national de cybersurveillance en coopération avec l’Agence du Numérique en Santé (ANS). Pour rappel, ce dispositif vise à détecter les points faibles du système d’information de l’hôpital afin d’y remédier au plus vite.

1 milliard de l’État

Emmanuel Macron souhaite renforcer la sécurité des entreprises, des hôpitaux et des administrations tout en augmentant le nombre de cyberattaques dans le monde. Le secteur est exhorté par l’État à doubler ses effectifs en quatre ans

Ce service a été mis en place en 2020 et priorise les demandes de 136 groupes hospitaliers de territoire (GHT).

Bien que l’État ait mis en place des mesures pour protéger les hôpitaux contre les cyberattaques, les conditions d’obtention des aides d’État sont nombreuses. D’autant plus que cette aide suscite au final plus de critiques car elle ne garantit finalement aucune protection des établissements de santé.

Catégories
Attaque Etude Hôpital hyères informatique Mac Mairie maze Orange presse prix Ragnar Locker Ransomware Ryuk Service informatique Technologie Uncategorized

Des auteurs de ransomwares arrêtés en Ukraine

La police ukrainienne a arrêté le 9 février plusieurs membres d’un groupe de cybercriminels à l’origine de plusieurs attaques informatiques dans le monde, dont le quotidien Ouest France, la police et des sources proches ont raconté l’affaire ce jeudi.

Cette « opération internationale », menée en coordination avec les policiers français et ukrainiens ainsi qu’avec le FBI, a mis un terme à la diffusion du ransomware appelé « Egregor », décrit la police dans un communiqué.

Piratage informatique

Au moins 150 entreprises ont été attaquées, principalement aux États-Unis et en Europe, avec des pertes estimées à environ 66 millions d’euros, selon les premiers éléments de l’étude publiée par les services de sécurité ukrainiens (SBU). Selon une source proche du dossier, au moins trois personnes ont été arrêtées dans cet acte. Les domiciles des suspects ont été perquisitionnés et le matériel informatique saisi est « toujours utilisé » par les enquêteurs français envoyés sur les lieux, selon la police.

Les solutions de sécurité informatique Hyères

C’est un rapport d’Europol en septembre qui a conduit le parquet de Paris à ouvrir une enquête en France, remise à la sous-direction cybercriminalité (SDLC). Le groupe a pratiqué la technique de la « double extorsion »: d’une part le cryptage et le vol des données de l’entreprise ciblée, d’autre part la menace de publier ces données compromises sur un site internet si l’entreprise refusait de payer une rançon en bitcoins, le la plus célèbre des monnaies virtuelles.

Le ransomware s’est propagé par pré-intrusion « via l’envoi d’e-mails de phishing et un accès à distance Windows mal sécurisé au bureau », a déclaré la police française. Particulièrement sophistiqué, « Egregor » pourrait prendre le contrôle des imprimantes connectées aux ordinateurs infectés et imprimer la rançon, « amplifiant encore l’impact psychologique de l’extorsion », a déclaré la même source.

Plusieurs entreprises françaises ont été visées par «Egregor», dont le quotidien Ouest France, le transporteur Gefco et le géant du jeu vidéo Ubisoft. Deux attaques de ransomware ont été ciblées ces derniers jours contre des hôpitaux de Villefranche-sur-Saône (Rhône) et de Dax (Landes), mais elles ne portent pas la signature «Egregor». Il a travaillé sur le modèle du logiciel à la demande (Raas, Ransomware as a Service): ses créateurs l’ont mis à disposition d’autres hackers, «affiliés», qui ont pris la responsabilité des attaques avant de partager les bénéfices.

Les détenus font partie « plutôt que de l’équipe de conception et de production », a déclaré Catherine Chambon, directrice adjointe de la lutte contre la cybercriminalité à la magistrature centrale. Si Catherine Chambon qualifie l’opération contre «Egregor» de «démantèlement assez efficace», elle exhorte à rester «très prudente et modeste» sur ce qui ressemble à «un brouillard».

L’origine du mal

Selon l’Agence nationale de sécurité des systèmes d’information (Anssi), « Egregor serait lié à la fin de l’activité du groupe d’attaquants derrière le ransomware Maze », notamment à l’origine d’une attaque contre Bouygues Construction en janvier 2020. À son tour,  » Egregor « pourrait-il renaître sous une autre forme? « Il est possible que ce soit la vie d’un ransomware », a répondu Catherine Chambon. «L’idée est de mettre progressivement en sécurité les cybercriminels afin qu’ils se sentent moins impunis. Même si, une fois qu’il y a un crime, il a peu de chances de disparaître ».

Catégories
Attaque Hôpital informatique presse Ransomware Sécurité Service informatique Technologie

Et une cyberattaque pour Fareva « abricant pharmaceutique ».

La société Fareva, qui travaille principalement sur la commercialisation d’un vaccin contre Covid-19, est paralysée depuis le 15 décembre par une cyberattaque de type ransomware. On espère que les systèmes seront à nouveau utilisés avant la fin de la semaine.

Leader mondial de la sous-traitance industrielle

Le sous-traitant pharmaceutique Fareva lutte contre les ransomwares depuis le 14 décembre, et le redémarrage de son unité de production se fait lentement, selon les informations de France Bleu Touraine.

L’attaque a été annoncée dans la presse le 17 décembre: selon Les Echos, c’est le centre de données de l’entreprise basé à Savigny-le-Temple qui a été touché. En effet rebond, plusieurs usines du groupe spécialisées dans le transport et le conditionnement de produits pharmaceutiques et cosmétiques ont été fermées par l’attaque, selon le quotidien. Un reportage que la direction termine avec Les Echos, indiquant que seuls les sites français seraient concernés par l’attaque.

La direction du groupe a alors confirmé que la réponse rapide de l’équipe informatique avait permis de limiter les pertes de données et prévoyait le retour des sites de production à partir du 4 janvier. Mais selon France Bleu Touraine, citant des sources syndicales, les machines de l’usine d’Amboise sont toujours restées immobiles lundi, la quasi-totalité des ouvriers de l’usine étant en emploi de courte durée depuis le 22 décembre. La reprise progressive de l’activité sur place est désormais attendue ce week-end.

Fareva est une société basée au Luxembourg. Il a notamment été choisi par le groupe allemand CureVac pour conditionner le vaccin contre Covid-19. Pour le président du groupe Bernard Fraisse, le lien entre l’attentat et l’annonce serait « évident ».

Et l’hôpital de Hyères?

Outre Fareva, plusieurs hôpitaux français ont été victimes de cyberattaques en décembre: le centre hospitalier d’Albertville-Mûtier en Savoie a annoncé avoir été touché par un ransomware le 22 décembre. Le centre hospitalier a pu continuer à fonctionner dans un accident, mais plusieurs services et équipements ont été rendus inaccessibles par l’attaque. Plus tôt ce mois-ci, c’était l’hôpital de Narbonne qui avait déclaré avoir été victime d’une cyberattaque, mais cette fois, il s’agissait d’exploiter la puissance de calcul de ses équipements pour extraire de la crypto-monnaie. Si les dégâts ont été limités, les mesures prises pour désinfecter le système d’information ont contraint les salariés de l’entreprise à travailler plusieurs jours sans accès à Internet.

En décembre, les agences de cybersécurité française et allemande ont publié une déclaration commune mettant en garde le secteur contre la recrudescence des attaques contre les organismes de santé.

Le secteur de la santé a été confronté à plusieurs attaques en décembre 2020. L’attaque contre l’Agence européenne des médicaments au début du mois a permis à des tiers non autorisés d’accéder aux documents connexes. l’approbation des vaccins. IBM a également signalé une augmentation des attaques de phishing ciblant les entreprises chargées de fournir des vaccins. À l’échelle mondiale, Checkpoint confirme une tendance similaire, indiquant qu’il a connu une augmentation de 45% des attaques ciblant le secteur de la santé depuis novembre 2020.

Catégories
Attaque Hôpital informatique Ransomware Sécurité Technologie

L’Hôpital d’Albertville subit une cyberattaque


Le centre hospitalier Albertville-Moûtiers en Savoie est victime d’une cyberattaque depuis le lundi 21/12/2020. Elle a endommagé ses serveurs informatiques.

Le directeur et le directeur délégué, Guy-Pierre Martin (à droite) et Pierre Idée

Quelques jours après l’hôpital de Narbonne, qui a été touché par une cyberattaque infectant ses serveurs, le Centre Hospitalier Albertville-Moûtiers (CHAM) en Savoie a de nouveau été confronté à un virus informatique qui a endommagé son système d’information. Découvert le lundi 21 décembre, vers 18 h. 4, la cyberattaque provoquée par un virus «ransomware» rendu inaccessible «à un certain nombre d’équipements, de serveurs, de logiciels et d’une partie du réseau informatique». Comme l’a indiqué l’hôpital dans un communiqué de presse mercredi. Outre les hôpitaux d’Albertville et de Moûtiers, deux EHPAD ont également été , soutenu par CHAM, concerné.

Dès que l’attaque a été découverte, tout le réseau informatique de l’hôpital a été fermé, rendant impossible l’accès aux dossiers des patients et aux dossiers de traitement. «C’est très compliqué pour tous les services, nous sommes limités par l’ordinateur, et ça risque de durer», explique un officier hospitalier.

Les connexions informatiques à l’hôpital voisin de Chambéry, dont la gestion est partagée avec le centre hospitalier d’Albertville-Moûtiers, ont été suspendues à partir de lundi pour éviter de propager le virus. «Nous avons été informés lundi après-midi qu’une attaque assez grave avait eu lieu à Albertville et que tous les systèmes centraux de communication avaient été cryptés par le virus», explique un membre du personnel de l’hôpital de Chambéry.

Malgré sa virulence, l’attaque ne mettrait pas en péril le fonctionnement de l’établissement. La protection respiratoire et les salles d’opération, la plateforme d’imagerie et les urgences « fonctionnent normalement », précise l’hôpital.

Catégories
Entreprise de construction Hôpital Sécurité Service informatique Technologie

Ransomware: un problème infinie?

Se défendre contre cette menace en constante évolution n’est pas une mince affaire, mais un bon point de départ est de comprendre où se trouvent les points faibles et comment ils sont exploités.

Ransomware: un problème infinie?

Tous les experts conviennent que les cybermenaces se sont intensifiées ces derniers mois avec l’augmentation des demandes de rançon et des tactiques que l’on peut qualifier d’impitoyables.

Personne n’est épargné par des organismes publics comme les villes de Vincennes et Aulnoye-Aymeries il y a quelques semaines aux plus grandes entreprises privées comme Bouygues Construction, CMA-CMG ou Sopra-Steria.

Les cybercriminels parviennent à trouver de nouvelles façons de contourner les défenses des entreprises grâce à des attaques plus sophistiquées et ciblées. Se défendre contre cette menace en constante évolution n’est pas une mince affaire, mais un bon point de départ est de comprendre où se trouvent les points faibles et comment ils sont exploités.

Les personnes restent le maillon faible de la cybersécurité
Il suffit d’un clic sur un lien de phishing pour faire le travail: les défenses du réseau sont brisées et les logiciels malveillants sont infiltrés.

Renforcer sa défense contre la négligence humaine nécessite non seulement de former les employés à la sensibilisation à la cybersécurité, mais aussi d’introduire des outils pour filtrer les contenus malveillants avant qu’ils ne causent des dommages. Mais comme la cybersécurité n’est pas une science exacte, même les plans les mieux conçus doivent être continuellement revus et adaptés afin de ne pas être dépassés par le rythme fou du développement des cybermenaces.

Prenons, par exemple, l’augmentation massive du télétravail pendant la pandémie.
Ce nouveau «standard» offre aux hackers une toute nouvelle audience et une cible facile qui n’ont pas l’habitude de se protéger des menaces. Ces nouvelles habitudes de travail ont conduit à une augmentation des attaques RDP (Remote Desktop Protocol) de Microsoft dans le monde, selon le fournisseur de sécurité Kaspersky.

Les mails comme porte d’entrée

Les cybercriminels sont bien conscients que chaque industrie présente des vulnérabilités spécifiques. Ils exploitent ces vulnérabilités en passant de campagnes de phishing massives à des attaques plus ciblées. Par exemple, certaines se concentrent sur des entreprises individuelles, généralement de haut niveau, car elles ont souvent beaucoup à perdre, tandis que d’autres ciblent un secteur particulier en utilisant des logiciels malveillants adaptés aux technologies utilisées dans ce secteur.

Dans certains cas, ils utilisent les deux, comme lors de la récente attaque Honda. Le piège dans ce cas était une variante du ransomware Snake qui pouvait à la fois désactiver les mesures de protection et cibler les systèmes d’exploitation SCADA industriels utilisés dans la fabrication de véhicules.

Les attaques de ransomwares deviennent rapidement une «entreprise» de plus en plus diversifiée. Les victimes risquent désormais de voir leurs données sensibles collectées lors d’une attaque de cryptage. Il devient également de plus en plus clair que les ransomwares ciblent régulièrement les systèmes de sauvegarde et de reprise après sinistre ainsi que les données en temps réel. Du moins en apparence car il faut du temps pour vérifier l’intégrité de ces défenses …

Suivez l’actualité de ransomware

Que peut faire une entreprise pour se protéger de ce qui est aujourd’hui l’une des plus grandes menaces pesant sur son système informatique? Il n’y a pas de réponses faciles ou d’outils simples qui peuvent résoudre le problème.

Plutôt qu’une solution miracle, c’est plutôt une approche méthodologique qu’il faut privilégier: sensibiliser et éduquer les utilisateurs finaux sur la sécurité, mettre à jour les outils anti-malware sur les postes de travail et l’infrastructure, et s’assurer que les stratégies et outils de sauvegarde sont suffisamment robustes pour faire face aux menaces contre les ransomwares et permettre un retour rapide à la normale.

Toutes ces mesures méritent d’être envisagées, mais en tant que dernière ligne de défense, c’est la protection qui est la plus importante. D’autant que l’utilisation de périphériques NAS (Network Attached Storage) pour la sauvegarde et l’archivage est répandue et qu’ils sont en eux-mêmes une cible facile. C’est la «partie réseau» qui expose les périphériques NAS au plus grand risque, les rendant faciles à identifier et, une fois trouvés, faciles à attaquer. Souvent sans que personne ne le sache jusqu’à ce que les demandes de rançon arrivent dans la boîte de réception.

La première approche consiste à verrouiller le réseau auquel les périphériques NAS sont connectés, tout en s’assurant que le micrologiciel du NAS est à jour avec toutes les dernières mises à jour de sécurité. Au-delà, il est intéressant de profiter de l’authentification à deux facteurs lorsqu’elle est disponible, et de SSL pour mieux sécuriser l’accès à distance si nécessaire.

Les bonnes pratiques contre les ransomwares

D’autres bonnes pratiques incluent le blocage automatique des adresses IP après l’échec répété d’attaques de connexion par «force brute», ainsi que l’utilisation du cryptage des données et des pare-feu spécifiques au NAS.

En matière de cybersécurité, il vaut mieux être très prudent. Autrement dit, effectuez des sauvegardes fréquentes et régulières du stockage NAS et stockez ces copies à distance (de préférence hors site) et sans connexion au réseau. C’est le seul moyen de garantir qu’il existe une version propre et récupérable des données qui n’est pas obsolète.
Sans oublier, cependant, que cela doit être combiné avec des contrôles d’intégrité réguliers et des analyses de logiciels malveillants pour s’assurer que les données copiées ne sont pas déjà compromises.

La menace du ransomware cessera-t-elle un jour de planer? Possible, mais sûr, de faire de la place à une menace au moins aussi grande. C’est pour cette raison que de nombreuses entreprises cherchent à le désinfecter au niveau du stockage de données avec les capacités de stockage d’objets, de contrôle de version, de technologie WORM (Write Once Read Many) et de systèmes de fichiers immuables.

Gartner prédit qu’env. 20% des données de l’entreprise d’ici 2021 seront stockées en mode scaling contre 30% aujourd’hui. La fin du ransomware n’est pas a priori pour demain, il semblerait que ce soient ces technologies associées au stockage de données qui permettent de désarmer ce type d’attaque et de voir un peu de lumière au bout du tunnel!

Catégories
Android Apple Attaque Bitcoins COVID-19 Ekans Etude EvilQuest GandCrab Hakbit Hôpital hyères informatique Mac MacOS Mairie maze Nefilim NetWalker Non classé Orange prix Ragnar Locker Ransomware revil Ryuk Sécurité Service informatique Shade sodinokibi Technologie ThiefQuest vidéo

Ryuk LE ransomware 2020?

Anssi a publié un nouveau rapport, cette fois axé sur l’activité ransomware de Ryuk. Particulièrement impliqué dans l’attaque de Sopra Steria en France, ce logiciel malveillant se distingue de la concurrence et ne se contente pas de dupliquer les méthodes de ses concurrents.

Ryuk LE ransomware 2020?

Ryuk est un ransomware actif depuis 2018 et dont les opérateurs sont particulièrement actifs. C’est ce qui a valu le titre de «ransomware le plus rentable» selon le FBI en 2018 et généré plus de 61 millions de dollars de rançon entre février 2018 et octobre 2019.

Cependant, Ryuk n’aborde pas les méthodes qui ont fait le succès de groupes malveillants comme Maze ou Revil: pas de chantage pour le vol de données, pas de place pour montrer les victimes ou les communiqués de presse ici. Pourtant, ce ransomware, qui est actif depuis deux ans maintenant, reste une menace majeure, et Anssi a publié un rapport de statut.

Ryuk est un ransomware dont le but est de crypter les données de la victime pour exiger une rançon. Anssi indique que les cibles privilégiées des opérateurs de ce ransomware sont les grandes entreprises capables de payer les grosses rançons requises, principalement aux États-Unis et au Canada. L’agence note également que les opérateurs de Ryuk ne réservent pas d’autres groupes vis-à-vis des établissements de santé: « en octobre 2020, Ryuk serait responsable de 75% des attaques sur le secteur de la santé qu’il attaquerait depuis le premier semestre 2019 ». Des dizaines d’hôpitaux américains ont été victimes d’une campagne de Ryuk au début d’octobre visant les services dans les hôpitaux de l’UHS. Le FBI et le CISA américain ont également mis en garde contre le risque de nouvelles attaques basées sur Ryuk dans un nouveau communiqué d’information publié fin octobre.

Trickbot, Emotet et le bazar
Comme de nombreux ransomwares, Ryuk n’est que la dernière étape d’une chaîne d’infection multi-malware. Les auteurs du rapport indiquent que l’infection Trickbot, au moins jusqu’en septembre 2020, aurait été le point d’entrée privilégié des opérateurs Ryuk pour s’implanter dans les réseaux d’entreprise. Trickbot, avec Emotet et bien d’autres, est un malware de type chargeur qui se propage généralement via des campagnes de courrier électronique malveillantes pour infecter un appareil cible, puis se propager à travers le réseau interne d’une victime et se déplacer jusqu’à ce qu’il compromette un contrôleur de domaine. La dernière étape est la mise en œuvre du ransomware, le cryptage des machines et la demande de rançon. Et si ce type d’attaque prend généralement du temps, certains opérateurs Ryuk se démarquent par leur rapidité: Anssi indique ainsi que dans certains cas le temps de la première infection et du cryptage est réduit de quelques jours. (2 à 5) en trois heures ».

En 2020, cependant, les opérateurs de Ryuk semblent s’être progressivement tournés vers un nouveau chargeur, connu sous le nom de BazarLoader, actif depuis mars 2020. «Comme TrickBot, Bazar serait utilisé comme un accès en tant que service pour faire des compromis ou même qualifier un SI pour le compte d’autres groupes d’attaquants. On ne sait pas si BazarLoader, comme TrickBot, fonctionne également sur un modèle d’affiliation », précise l’agence, qui précise que le logiciel est principalement distribué par le groupe derrière Trickbot. D’autres chargeurs ont également été identifiés dans des attaques impliquant le malware Ryuk: Buer et Le logiciel Silent Night a également été utilisé dans l’attaque qui a implémenté Ryuk.

Raas ou pas Raas, c’est la question
L’un des points qui sépare Ryuk du reste de l’écosystème de la cybercriminalité des groupes de ransomware est la question du modèle commercial de Ryuk. Pour de nombreux ransomwares apparus ces derniers mois, le modèle économique utilisé est généralement celui de RaaS (Ransomware as a service): le groupe à l’origine des ransomwares commercialise ses logiciels sur des forums clandestins auprès d’autres groupes, qui s’assurent ensuite de les diffuser réseaux informatiques de leurs victimes.

Pour Anssi, Ryuk n’est « pas officiellement un RaaS »: l’agence déclare ainsi qu’elle n’a observé aucune promotion des opérateurs Ryuk sur les forums clandestins. Ryuk est néanmoins exploité par plusieurs acteurs malveillants, selon Anssi. S’il n’est pas vendu au public, il pourrait être mis à la disposition de partenaires de confiance par le créateur du code malveillant, ou il pourrait être exploité indépendamment par plusieurs groupes à l’aide d’outils et de formes de propagation communs. .

Il est donc difficile de savoir qui tire exactement les fils de Ryuk: le rapport de l’agence met en évidence le rôle central joué par deux acteurs malveillants, le groupe WizardSpider derrière Trickbot et le groupe identifié comme UNC1878. Selon FireEye, ce dernier groupe est responsable de 83% des attaques impliquant Ryuk. L’agence note également l’implication d’autres groupes tels que FIN6 dans la prolifération du ransomware Ryuk ainsi que du code et des méthodologies entre Ryuk et un autre ransomware connu sous le nom de Conti. Si Ryuk n’est pas «officiellement un RaaS», il n’en est pas moins un acteur profondément enraciné dans la sphère de la cybercriminalité et avec de nombreux liens avec des groupes tiers.

Catégories
Association Attaque Entreprise de construction Etude EvilQuest Hôpital hyères informatique Mairie Non classé Ransomware Sécurité Technologie

Le Cigref s’inquiète de la reprise des attaques par ransomware

Dans un communiqué de presse publié cette semaine, le Cigref met en garde contre la montée des cyberattaques et la menace que cette hausse fait peser sur l’économie française. Et ce alors que de plus en plus d’entreprises en France sont concernées par les attaques de ransomwares.

Le Cigref s’inquiète de la reprise des attaques par ransomware

Un risque informatique pour les entreprises Francaises:

Depuis le début de l’année scolaire, les assaillants n’ont pas désarmé et l’épidémie de rançon commence à se manifester. Le Cigref, organisation qui regroupe un réseau de grandes entreprises et administrations françaises sur le thème du numérique, indique avoir adressé une lettre au Premier ministre l’avertissant de «l’augmentation du nombre et de l’intensité des cyberattaques» et de l’impact de cette situation sur l’économie française.

« Les pertes d’exploitation des centaines d’entreprises, grandes et petites, qui ont subi une cyberattaque ne sont plus anecdotiques, comme le montre trop souvent l’actualité », a déclaré Cigref dans son communiqué de presse. L’organisation reconnaît les efforts déjà consentis par l’Etat à travers Anssi, mais note «l’insuffisance des réponses de la communauté internationale et des Etats face à la réalité d’une menace qui se déploie à l’échelle mondiale.» Le Cigref saisit également l’occasion pour pour pointer du doigt les fournisseurs de systèmes numériques dont les pratiques sont jugées inadéquates: le Cigref appelle à une régulation de ces acteurs pour améliorer la sécurité globale des entreprises utilisant ces outils.

Covid + ransomware = pas bon!

Le contexte est en effet délicat pour les entreprises déjà touchées par la crise sanitaire et les mesures d’endiguement mises en place par le gouvernement. Mais la période a également été marquée par une vague d’attaques de ransomwares qui a frappé les entreprises françaises. Nous avions publié des retours de Paris Habitat, mais de nombreuses autres victimes d’attaques de ransomwares ont été touchées ces dernières semaines.

On peut citer le quotidien Paris Normandie, la société de services informatiques Umanis, Scutum ou encore Siplec. Il y en a beaucoup d’autres dont les attaques ont été revendiquées par des groupes de cybercriminalité mais non confirmées par les victimes. Et on ne parle que des victimes qui ont été déclarées depuis début novembre, mais beaucoup passent sous le radar et ne communiquent pas et espèrent que les assaillants ne communiquent pas non plus (ce qui est loin d’être évident).

Outre les entreprises, de nombreuses administrations et collectivités locales sont également touchées: les chambres d’agriculture du Centre-Val de Loire et de la Nouvelle-Aquitaine ont ainsi porté le poids de ces attaques, ainsi que Vincennes ou la ville de Bondy, qui rapporte avoir été touchée deux fois de suite. une attaque informatique en dix jours. Une nouvelle typologie des victimes préoccupe particulièrement Anssi, qui publie désormais un guide de sécurité pour les communes et envisage de profiter du plan de relance pour lancer un plan de sécurisation des systèmes informatiques des collectivités locales.

La tendance à la hausse des cyberattaques est observée depuis plusieurs mois maintenant: leMagIt avait réalisé un premier recensement des cyberattaques en septembre, laissant supposer avoir identifié des dizaines de victimes en France et plus de 700 dans le monde. . Cigref n’est donc pas déplacé pour rien: la facture (ou rançon) de l’économie française peut s’avérer salée.

Catégories
Attaque Ekans Etude EvilQuest GandCrab Hakbit Hôpital hyères informatique maze Nefilim Ragnar Locker Ransomware revil Ryuk

Les façons dont les ransomwares pénètrent dans vos systèmes

Les attaques par ransomwares sont en hausse. Voici les façons dont l’attaque initiale est susceptible de commencer.

Les façons dont les ransomwares pénètrent dans vos systèmes

L’impact des ransomwares continue de croître. Les ransomwares sont le problème de sécurité le plus courant en 2020. Ces attaques représentaient plus d’un tiers des cas jusqu’en septembre de l’année dernière.

Et c’est ainsi que les attaquants pénètrent dans vos systèmes d’information: dans près de la moitié (47%) des cas de ransomware, les pirates ont utilisé l’outil ouvert RDP (Remote Desktop Protocol). qui a été utilisé par de nombreuses entreprises pour aider le personnel à travailler à domicile, mais qui peut également permettre aux attaquants d’entrer s’ils ne sont pas correctement sécurisés.

Plus d’un quart (26%) des cas ont été attribués à des e-mails de phishing, et un petit nombre a utilisé des vulnérabilités spécifiques (17%), y compris – mais sans s’y limiter – Citrix NetScaler CVE-2019- 19781 et Pulse VPN CVE-2019- 11510.

Trois secteurs ont été particulièrement touchés cette année: les services, la santé et les télécommunications. Cela contraste avec les données récentes d’IBM, qui suggéraient que l’industrie manufacturière, le secteur des services professionnels et le secteur public étaient les plus susceptibles d’être touchés.

Ryuk, Sodinokibi et Maze sont les trois variantes de ransomwares les plus problématiques en 2020 et représentent 35% de toutes les cyberattaques. Les ransomwares ont tendance à passer par des périodes d’activité avant de redevenir silencieux, les développeurs chiffrant pour le mettre à niveau avant de reprendre le piratage.

De nombreuses variantes de ransomwares volent désormais les données d’entreprise et menacent de les publier: en particulier en téléchargeant entre 100 Go et 1 To de données privées ou sensibles pour maximiser la pression pour payer la rançon. 42% des cas portant sur une variante connue de ransomware étaient liés à un groupe de ransomwares qui exfiltre et publie des données sur les victimes.