Rançongiciel en français, est un logiciel malveillant qui prend en otage des données. Le ransomware crypte et bloque les fichiers sur votre ordinateur et demande une rançon en échange d’une clé qui leur permet de les décrypter. Le ransomware, qui est apparu pour la première fois en Russie, s’est répandu dans le monde entier, principalement aux États-Unis, en Australie et en Allemagne. Souvent, le ransomware s’infiltre sous la forme d’un ver informatique, via un fichier téléchargé ou reçu par e-mail, et crypte les données et les fichiers de la victime. Le but est d’extorquer une somme d’argent qui est le plus souvent payée en monnaie virtuelle pour éviter les traces.LIEN
Catégorie : hyères
Plusieurs utilisateurs de MacBook Air ou MacBook Pro 13 pouces lancés cette année signalent une erreur liée à la gestion ou plutôt à la gestion incorrecte des périphériques USB 2.0 connectés à leur machine via un concentrateur USB-C. L’accessoire cesse de fonctionner de manière aléatoire et ne peut pas être reproduit. Par exemple, lorsqu’il s’agit d’une souris USB-A, d’une interface audio USB-A et d’un moniteur HDMI externe connecté au Mac avec un concentrateur USB-C, les deux premières cabines, tandis que HDMI l’alimentation continue d’être distribuée entre l’ordinateur et le moniteur secondaire.
Certains utilisateurs ont essayé de réinitialiser SMC, de redémarrer en mode sans échec, de réparer le volume avec l’utilitaire de disque, de réinstaller macOS Catalina, certains ont même fait remplacer leur MacBook dans l’Apple Store… Mais rien n’y fait. Y compris les tests de plusieurs hubs différents. Seul le modèle CalDigit Thunderbolt 3, très complet mais non fourni, semble offrir un peu de répit.
Apple, qui est remis en question par de nombreux propriétaires de ces Mac, en est certainement conscient. Il faut espérer qu’une solution est en cours d’élaboration et qu’elle sera proposée rapidement.LIEN
Le ransomware de « Big game hunt » diffère de ses prédécesseurs qui ont combattu sans distinction. L’activité la plus courante dans les ransomwares reste l’arnaque non sophistiquée qui cible une très grande échelle. Mais de plus en plus de cybercriminels ont les ressources pour développer des campagnes beaucoup plus sophistiquées et du temps pour pénétrer profondément dans les systèmes d’information, planifier et identifier les ressources les plus précieuses, puis tout détruire uniquement après avoir rentabilisé leur investissement.
Ces attaques de rançongiciels de «gros gibier» peuvent représenter un danger moins fréquent mais beaucoup plus grave pour la victime. Pour cette raison, la détection préventive est devenue extrêmement importante pour les entreprises. Cet article explique pourquoi:
Les vagues précédentes étaient différentes
Les anciennes campagnes de rançongiciels comme Locky étaient critiques et n’avaient pas la sophistication des attaques modernes. Leurs auteurs ont ciblé le plus grand nombre, souvent dans le cadre de vastes campagnes de phishing. Les destinataires non acceptants ont cliqué sur un lien malveillant. Les ransomwares pourraient alors gagner de l’espace jusqu’à ce que les fichiers chiffrés soient stockés sur leur machine ou dans le cas des entreprises de leur centre de données. C’était généralement suffisant pour collecter des sommes importantes en très peu d’efforts.
L’attaque bien documentée de WannaCry a marqué le début d’une nouvelle vague de ransomwares. Cependant, la propagation sans discrimination s’est avérée plus dangereuse car elle exploitait les vulnérabilités de manière plus sophistiquée. WannaCry et NotPetya se sont propagés de pair à pair et hors des frontières de l’entreprise, infiltrant des systèmes non corrigés et prenant à la fois des données et des otages de données. Bien que les cybercriminels n’aient pas nécessairement obtenu des fortunes en échange de leurs efforts, ces attaques ont été dévastatrices et ont offert un avenir troublant.
Que pouvez-vous attendre d’un ransomware de gros gibier?
Les ransomwares manquent toujours de subtilité. Loin de saper de petites quantités régulières ou d’espionnage discret des communications d’entreprise, ils s’apparentent davantage à des vols à main armée. Le but est d’être vu, effrayé et payé. Les ransomwares ne sont pas non plus très furtifs, surtout lorsqu’ils ont commencé à chiffrer des fichiers ou à désactiver des systèmes.
Inversement, le ransomware «chasse au gros gibier» infecte discrètement de nombreux systèmes sur le réseau de la victime avant de faire du bruit et de rester silencieux jusqu’au stade de la destruction.
L’énorme télétravail introduit pendant la crise du COVID-19 a permis à de nombreux attaquants d’infiltrer plus facilement les réseaux et de prendre le temps de se préparer à des attaques plus sophistiquées … comme nous le verrons peut-être dans les mois à venir.
Active Directory, l’épine dorsale des nouvelles attaques de ransomwares
Nous avons récemment étudié un nouveau type de ransomware appelé Save the Queen, qui se propage à partir des serveurs Active Directory de la victime (contrôleurs de domaine).
Les contrôleurs de domaine ont les clés du monde numérique. Presque tout autre système s’y connecte, ce qui le rend très important et en fait une cible principale pour la distribution de ransomwares. En raison de leur importance, la manipulation des serveurs Active Directory nécessite des droits d’accès étendus, exactement ce dont les cybercriminels bénéficient dans ce cas. L’ANSSI s’intéresse – et est au courant – depuis longtemps sur ce sujet et vient de publier une collection sur AD Security: https://www.cert.ssi.gouv.fr/uploads/guide -ad.html
L’accès est l’une des raisons pour lesquelles les ransomwares de gros gibier sont si troublants. Pour les cybercriminels, infiltrer un réseau est un jeu d’enfant. Ils peuvent facilement accéder à des applications de niveau supérieur ou à des comptes administratifs. Ils peuvent également utiliser leur propre infrastructure contre leur victime. Les auteurs de Save the Queen l’ont fait.
Avec tous ces accès, l’attaquant peut accéder à des données extrêmement sensibles: informations financières, propriété intellectuelle, monétiser ces informations confidentielles, copier des fichiers importants avant de les chiffrer pour menacer de les publier. Il faudrait être naïf pour penser qu’ils n’ont pas réussi à s’en éloigner et le phénomène est suffisamment grave pour mériter d’être inversé. Certains cybercriminels peuvent ne pas vouloir s’embêter à chercher quand ils peuvent se contenter d’une entrée et d’une introduction rapide, efficace et facile. Mais plus ces groupes sont organisés et efficaces pour gagner de l’argent sur la propriété de quelqu’un d’autre, plus ils sont susceptibles de ne laisser aucune miette à leurs victimes.
Quatre étapes pour protéger votre entreprise
* Sachez où les données de propriété intellectuelle, les informations financières, les données personnelles et les e-mails sensibles sont stockés avant que les cybercriminels ne tentent de les voler, de les transmettre ou de les chiffrer. Limitez l’accès à ceux qui en ont absolument besoin pour réduire la surface de l’attaque.
* Identifiez la période pendant laquelle l’indisponibilité d’un système ou de données aura les pires conséquences, par exemple, les jours précédant la semaine la plus occupée de l’année. Les cybercriminels sont intéressés par ce type d’informations sur leurs victimes. Mieux vaut avoir élaboré un plan d’affaires pour la continuité / reprise plutôt que d’avoir à improviser sous pression.
* Une grande partie de la prévention des ransomwares repose sur les sauvegardes. Bien qu’évidemment important, le défi consiste à décider lesquels restaurer, en particulier en ce qui concerne les fichiers. Sans suivi de l’activité du système de fichiers, de nombreuses entreprises doivent saisir une rançon pour savoir ce qui a été chiffré et quand. Si le registre d’activité de fichier n’existe pas, il doit être créé. Cela fournit ensuite des informations sur les activités des utilisateurs infectés.
* Profitez de l’automatisation. Des journaux d’activité et d’analyse adéquats permettent de détecter et d’arrêter les attaques potentielles avant qu’elles ne se propagent. Hiérarchisez et analysez les activités des ensembles de données et les systèmes critiques tels que les grands entrepôts de données, Active Directory et d’autres données télémétriques qui peuvent alerter lorsqu’un cybercriminel est entré sur le réseau.
Actuellement, les fournisseurs de télécommunications offrent un moyen simple d’accéder aux ressources, notamment en raison des capacités de recherche et de filtrage offertes par les outils de collaboration utilisés. Dans le même temps, la plupart des entreprises ne sont pas prêtes à détecter une activité inhabituelle générée par ces utilisateurs externes. Le but principal de toute entreprise est de détecter les cybercriminels qui tentent d’en profiter pour neutraliser leurs activités le plus rapidement possible.LIEN
Ransomware ou rançongiciel en français est un logiciel malveillant qui prend en otage des données. Le ransomware crypte et bloque les fichiers sur votre ordinateur et nécessite une rançon en échange d’une clé qui leur permet de les décrypter. Le ransomware, qui est apparu pour la première fois en Russie, s’est répandu dans le monde entier, principalement aux États-Unis, en Australie et en Allemagne. Souvent, le ransomware s’infiltre sous la forme d’un ver informatique, via un fichier téléchargé ou reçu par e-mail, et crypte les données et les fichiers de la victime. Le but est d’extorquer une somme d’argent qui est le plus souvent payée par monnaie virtuelle pour éviter les traces. LIEN
Les ransomwares sont dangereux parce que, dans de nombreux cas, la victime estime qu’elle n’a pas d’autre choix que de payer, en particulier lorsque l’alternative consiste à laisser toute l’organisation en faillite pendant des semaines, voire des mois, alors qu’elle tente de reconstruire le réseau à partir de zéro.
Mais payer une rançon pour les cybercriminels peut en fait doubler le coût de la récupération, selon l’analyse des chercheurs de Sophos publiée dans le nouveau rapport State of Ransomware 2020.
Une étude des organisations touchées par des attaques de ransomwares a révélé que le coût total moyen d’une attaque de ransomwares pour les organisations qui ont payé une rançon est de près de 1,4 million de dollars, tandis que pour celles qui n’en ont pas. fait une demande de rançon, le coût moyen est la moitié de celui-ci, estimé à 732 000 $. LIEN
Armistice pour une bonne cause. C’est en quelque sorte le message commun envoyé par des groupes de hackers connus tels que Maze, DoppelPaymer, Ryuk, Sodinokibi / REvil, PwndLocker et Ako.
Ces groupes ont été contactés par le site Web Bleeping Computer et ont déclaré qu’ils ne cibleraient plus les établissements de santé et médicaux pendant l’épidémie de coronavirus. Cependant, ils se sont rendus compte en attaquant ces entreprises avec des ransomware, rançon qui consistait à bloquer des ordinateurs sur un réseau ou même à saisir des données et à accéder à ses propriétaires uniquement après avoir payé une rançon.
Hôpitaux non, sociétés pharmaceutiques oui
« Si nous le faisons par erreur, nous le débloquons gratuitement », disent les pirates, expliquant qu’il suffit de les contacter par e-mail et de fournir la preuve de leur déverrouillage. Mais cela ne signifie pas épargner l’industrie pharmaceutique, qui « gagne beaucoup d’argent en paniquant. Nous n’avons aucune envie de les soutenir. Pendant que les médecins agissent, ces gars s’enrichissent ».
Mardi, plusieurs sociétés comme Emsisoft et Coveware ont offert une assistance médicale gratuite pour se protéger des attaques informatiques pendant l’épidémie de Covid-19. L’hôpital de Brno en République tchèque a été la cible de ransomwares. Le département d’État américain a ainsi été victime d’une attaque DDoS dimanche dernier (grand nombre de connexions simultanées) et n’était pas disponible, empêchant les internautes de connaître des informations sur le coronavirus. LIEN
Cette application Android qui suit la propagation de l’épidémie de coronavirus dans le monde cache un ransomware dangereux. Nommée CovidLock, l’application verrouillera votre smartphone avant d’exiger une rançon en bitcoin.
CovidLock, une application pour le suivi de la pandémie de coronavirus Android, cache en fait un ransomware, rapporte Tarik Saleh, chercheur en sécurité informatique chez DomainTools. Heureusement, l’application n’est pas disponible sur le Google Play Store. CovidLock ne peut être téléchargé qu’à partir du site d’application du coronavirus. Depuis le début de la pandémie, les pirates utilisent des cartes de suivi en ligne pour propager des logiciels malveillants.
Ce malware déverrouille votre smartphone Android
Une fois le ransomware installé sur les smartphones des utilisateurs, l’appareil se verrouille rapidement. Notez que les logiciels malveillants ne peuvent être utilisés que sur les téléphones sans mot de passe. En fait, CovidLock vous définira un mot de passe pour vous empêcher d’accéder à votre terminal. Si vous avez enregistré un mot de passe sur votre smartphone, comme la plupart des utilisateurs, vous courez le risque. Pour des raisons de sécurité, nous vous invitons à sélectionner rapidement un mot de passe.
Une fois votre smartphone verrouillé, les pirates vous donnent 24 heures pour déposer 100 $ en bitcoin à une adresse BTC. En échange d’une rançon, ils s’engagent à ne pas supprimer vos données (photos, vidéos, …) et à ne pas publier de contenu privé sur les réseaux sociaux. Une fois la rançon reçue, les pirates s’engagent à fournir un code pour déverrouiller votre appareil. «Votre position GPS est surveillée et votre position est connue. Si vous essayez quelque chose de stupide, votre smartphone est automatiquement supprimé », menace le message d’avertissement affiché par les pirates.
Lire aussi: les pirates informatiques profitent de l’épidémie de coronavirus pour propager des logiciels malveillants dangereux
« Les cybercriminels aiment exploiter les utilisateurs d’Internet lorsqu’ils sont les plus vulnérables. Ils utilisent des événements dramatiques qui font peur aux gens pour faire des profits. Chaque fois qu’il y a de grands cycles de nouvelles sur un sujet qui provoque une forte réaction, les cybercriminels essaient de tirer « Nous vous invitons donc à faire preuve de prudence sur les sites non officiels liés à la pandémie. Nous vous recommandons également de ne jamais télécharger l’APK de sources inconnues. smartphone.
Lien
En 2019, les ransomwares ont connu une activité, tandis que les opérateurs mobiles ont fait tout leur possible pour accélérer la transformation des réseaux en 5G, et le RGPD était en place depuis un an. Des amendes record ont été infligées aux entreprises qui ont subi des violations de Big Data. Compte tenu de la plus grande demande de ransomware en tant que service sur les forums secrets et de l’anonymat sur le dark web, la vague de ces cybermenaces n’est pas une surprise.
Croissance accrue des ransomwares
Les attaques de ransomwares sont de plus en plus courantes car elles peuvent affecter des entreprises de toutes tailles. En fait, une petite quantité de données suffit pour relâcher une organisation entière, une ville ou même un pays. Les attaques contre les villes et les communautés se poursuivront dans le monde entier.
Les attaques de rançongiciels et d’autres logiciels malveillants modulaires ou à plusieurs niveaux deviennent la norme à mesure que cette technique d’évitement devient plus courante. Les attaques modulaires utilisent des chevaux de Troie et des virus pour lancer l’attaque avant de télécharger et de lancer une vraie rançon ou un logiciel malveillant. 70% des actions malveillantes reposent sur le chiffrement pour contourner les mesures de sécurité (attaques de logiciels malveillants chiffrés).
Dans ce contexte, il devient de plus en plus difficile de rassembler en interne les compétences essentielles en matière de sécurité. Par conséquent, les équipes de sécurité ne sont plus en mesure de garantir la sécurité de leurs politiques et d’utiliser pleinement leurs investissements en matière de sécurité.
Retard dans l’adoption de nouvelles normes de chiffrement
Alors que les réglementations TLS 1.3 ont été ratifiées par Internet Engineering Taskforce en août 2018, leur utilisation reste au mieux car moins de 10% des sites ont adopté TLS 1.3. TLS 1.2 reste à jour et se démarque donc comme la version TLS de référence dans la mesure où elle n’est pas encore compromise. Il prend en charge PFS, mais l’adoption de nouvelles normes est notoirement lente. À l’inverse, le cryptage ECC (Elliptical-curve cryptology) a un taux d’adoption de 80%, tandis que le cryptage plus ancien, en particulier RSA, disparaît.
Cryptage: choix de la raison
Le décryptage TLS sera répandu car le nombre d’attaques utilisant le cryptage pour les infections et les violations de données continue d’augmenter. Comme le déchiffrement mobilise beaucoup de ressources informatiques, la dégradation des performances du pare-feu dépassera 50% et la plupart des entreprises continueront de payer plus cher pour le déchiffrement SSL en raison du manque de compétences internes des équipes de sécurité. Pour compenser la perte de performances du pare-feu et le manque de personnel qualifié, il est impératif que les entreprises adoptent des solutions de déchiffrement dédiées, tandis que les pare-feu de nouvelle génération (NGFW) plus efficaces continuent d’affiner leurs capacités de déchiffrement matériel.
Les cyberattaques sont devenues la norme. Cela signifie que les entreprises, les gouvernements et les consommateurs doivent être constamment sur leurs gardes. En effet, la transition vers les réseaux mobiles 5G et la généralisation de l’IoT, tant pour les consommateurs que pour les entreprises, seront des facteurs cruciaux. Le risque de cyberattaques massives et généralisées a augmenté de façon exponentielle. Espérons que les organisations ainsi que les fournisseurs de services de sécurité se concentreront sur l’analyse des besoins de sécurité et sur l’investissement dans des solutions et des politiques qui leur donneront de meilleures chances de se défendre dans le contexte de cybermenaces constantes. évolution.
Les chercheurs en sécurité ont découvert des ransomwares capables de neutraliser un grand nombre de logiciels spécifiques aux systèmes d’information industriels. Du jamais vu sur la cybersphère.
2020 sera-t-elle l’année des ransomwares industriels? Jusqu’à présent, le ransomware, qui crypte les données de la victime et nécessite une rançon pour les décrypter, a principalement attaqué la couche informatique (technologies de l’information, système d’information d’entreprise). Leur nombre a plus que doublé en 2019 par rapport à 2018, amenant la cyber-communauté à parler des « années des ransomwares ».
Mais de nouveaux ransomwares font leur apparition, qui font désormais irruption dans l’atelier en attaquant les OT (technologies opérationnelles, le réseau industriel). Le serpent est l’un d’entre eux, particulièrement dérangeant. Le communiqué a été publié le 7 janvier sur Twitter par Vitali Kremez, membre de l’équipe Malware Hunter, chercheur en sécurité et employé du développeur américain de logiciels de cybersécurité SentinelOne, et Snake peut avoir un impact direct sur les opérations critiques dans les sites industriels. Une première!. Lien
Si les cybercriminels peuvent rester longtemps dans le système d’information de la victime, ils sont également susceptibles d’agir très rapidement.
Le scénario semble bon. L’Agence nationale pour la sécurité des systèmes d’information (Anssi) a expliqué l’an dernier à propos de LockerGoga: l’exécution de ransomwares « s’effectue sur plusieurs semaines (voire mois) après le compromis effectif de la cible. Une étude approfondie de la cible et de son infrastructure est donc très Probablement. »En bref, lorsque le ransomware a été déclenché, les attaquants ont eu amplement le temps de compromettre largement le système d’information. Lien
