L’absence de protocole rend les entreprises vulnérables aux cyberrisques
Les experts en sécuritéinformatique de Proofpoint ont publié les résultats de l’analyse DMARC (Domain-Based Message Verification Reporting and Compliance) montrant dans quelle mesure les compagnies aériennes sont exposées aux cyberattaques.
Réalisée sur 296 compagnies aériennes membres de l’Association du transport aérien international (IATA), qui représente 82% du trafic mondial, l’étude montre que 61% des compagnies aériennes n’ont pas de registre DMARC publié, ce qui les rend plus vulnérables aux cybercriminels, il s’agit de voler leur identité et ainsi d’augmenter le risque de fraude par e-mail. LIEN
L’Agence du revenu du Canada (ARC) a dû suspendre ses services en ligne dimanche après avoir été la cible de deux cyberattaques au cours desquelles des pirates ont utilisé des milliers d’identités et de mots de passe frauduleux pour obtenir des avantages et accéder aux renseignements personnels des Canadiens.
Environ 5 500 comptes de l’ARC ont également été la cible d’une cyberattaque «bloquant la légitimité». Ce type de cyberattaque utilise des noms d’utilisateur et des mots de passe collectés lors de piratages de comptes précédents et tire parti du fait que de nombreux internautes utilisent les mêmes mots de passe pour plusieurs de leurs comptes.
L’accès à tous les comptes concernés a été suspendu afin de protéger les informations des contribuables canadiens. Le service en ligne «Mon dossier» de l’Agence du revenu du Canada n’était pas disponible dimanche matin.
Cette décision intervient à un moment où de nombreuses entreprises et citoyens canadiens utilisent le site Web de l’agence pour s’inscrire à divers programmes financiers mis en place pour les aider pendant la pandémie du COVID-19.
Selon un haut fonctionnaire fédéral, le gouvernement espère rétablir le service en ligne aux entreprises d’ici lundi. C’est à partir de cette date qu’ils ont pu souscrire aux derniers services d’assistance qui leur étaient destinés. On ne sait pas si la suspension des services aura un autre impact sur les programmes fédéraux tels que l’Allocation canadienne pour enfants et l’Allocation canadienne d’urgence.
L’ARC reste vague sur ce que les victimes de ces cyberattaques doivent faire pour restaurer leurs comptes. Elle dit simplement qu’une lettre leur sera envoyée.
Au moins une victime dit qu’elle attend toujours les nouvelles du gouvernement après que quelqu’un a déjà piraté son compte de l’ARC pour s’inscrire avec succès à la prestation d’urgence mensuelle du Canada de 2 000 $.
Leah Baverstock de Kitchener, en Ontario, dit qu’elle a découvert que son compte avait été piraté lorsqu’elle a reçu plusieurs courriels de l’ARC le 7 août annonçant que sa demande de PKU avait été acceptée. Cependant, elle n’a pas perdu son emploi pendant la pandémie et n’a jamais fait une telle demande. Elle a également appelé l’agence.
«La dame à qui je parlais a pensé que c’était bizarre», dit-elle. Elle m’a alors dit qu’un de ses supérieurs devait m’appeler dans les 24 heures car mon compte n’était pas disponible. Et je n’en ai pas entendu plus. «
Mme Baverstock a exprimé sa frustration face à ce manque de suivi. Elle dit toujours qu’elle ne sait pas comment les pirates ont pu accéder à son compte. Elle a contacté sa banque et d’autres institutions financières pour leur demander d’empêcher les pirates d’utiliser ses informations personnelles pour commettre d’autres fraudes. «Je suis très inquiet. Tout le monde peut utiliser mon nom. Qui sait ? «
Les services en ligne du gouvernement fédéral qui utilisent GCKey pour y accéder ont été la cible de cyberattaques affectant 14 541 comptes, a déclaré samedi le Secrétariat du Conseil du Trésor du Canada dans un communiqué.
Utilisé par près de 30 ministères fédéraux, GCKey donne aux Canadiens accès à des services comme mon compte ou leurs comptes d’immigration, de réfugiés et de citoyenneté au Canada. Les mots de passe et noms d’utilisateur de 9 041 Canadiens ont été acquis frauduleusement et utilisés pour tenter d’accéder aux services publics.
«Tous les comptes GCKey concernés ont été annulés dès que la menace a été détectée», selon le gouvernement fédéral, qui garantit que les ministères concernés communiqueront avec les Canadiens touchés par cette cyberattaque.
La Gendarmerie royale du Canada (GRC) et le Commissariat du Canada à la protection de la vie privée ont été informés de ces cyberattaques visant les renseignements personnels des Canadiens. LIEN
Le gendarme européen de la cybersécurité a été alerté en début d’année sur la sécurité informatique dans les hôpitaux. Liste des recommandations à suivre pour assurer la sécurité de leur réseau informatique.
L’UE fournit dix conseils pour protéger les hôpitaux contre les cyberattaques
Les hôpitaux deviennent une cible de plus en plus tentante pour les cybercriminels. D’autant moins depuis la crise sanitaire, qui place le réseau hospitalier et le marché de la santé au premier plan des risques croissants de cyberattaques.
La taille des réseaux hospitaliers, l’importance vitale du parc de PC dans les réseaux qui restent opérationnels, car la manière dont une grande partie des systèmes informatiques liés à la santé fonctionnent sur des systèmes d’exploitation non pris en charge signifie que la protection des hôpitaux contre les cyberattaques devient de plus en plus compliquée tâche aujourd’hui.
Les pirates informatiques en profitent, soit pour distribuer des ransomwares, soit pour tenter de voler des informations personnelles sensibles aux patients. Pour lutter contre ces menaces croissantes, l’ENISA, l’agence européenne de cybersécurité, a publié en début d’année une liste de recommandations destinées aux responsables informatiques des hôpitaux. Bien que cette liste s’adresse principalement au secteur de la santé, la plupart des recommandations émises par Bruxelles ont une portée plus large.
« Protéger les patients et assurer la résilience de nos hôpitaux est une partie essentielle du travail de l’Agence pour rendre le secteur européen de la santé cyber-sûr », a déclaré Juhan Lepassaa, PDG de l’ENISA, entre autres. Le document intitulé «Directives pour la passation de marchés pour la cybersécurité dans les hôpitaux» recommande dix bonnes pratiques pour rendre le secteur de la santé plus résilient aux cyberattaques.
Impliquer le service informatique dans les achats
Cela semble évident, mais impliquer l’informatique dans l’approvisionnement dès le départ garantit que la cybersécurité est prise en compte dans toutes les phases du processus d’approvisionnement technologique. Ce faisant, des recommandations peuvent être faites sur la manière dont les nouvelles technologies s’intègrent dans le réseau existant et quelles mesures de sécurité supplémentaires peuvent être nécessaires.
Mettre en place un processus d’identification et de gestion des vulnérabilités
Nous vivons dans un monde imparfait, et il existe des produits qui contiennent des vulnérabilités, connues ou non encore découvertes. Avoir une stratégie en place pour faire face aux vulnérabilités tout au long du cycle de vie d’un appareil peut aider l’équipe de sécurité à se tenir au courant des problèmes de sécurité potentiels.
Développer une politique de mise à jour matérielle et logicielle
Les chercheurs en sécurité découvrent souvent de nouvelles vulnérabilités dans les appareils et les systèmes d’exploitation. Cependant, le réseau informatique de l’hôpital a toujours été incapable de garantir l’utilisation des correctifs – et c’est l’une des raisons pour lesquelles le ransomware WannaCry a eu un tel impact sur le NHS, le service public de la santé à travers le canal.
Le document, publié par Bruxelles, recommande donc aux services informatiques de déterminer le moment le plus approprié pour appliquer les correctifs dans chaque segment du réseau, ainsi que de déterminer des solutions pour les machines qui ne peuvent pas être réparées, par ex. Segmentation.
Renforcez les contrôles de sécurité pour la communication sans fil
L’accès aux réseaux hospitaliers doit être limité par des contrôles stricts, ce qui signifie que le nombre d’appareils connectés doit être surveillé et connu afin que tout appareil inattendu ou indésirable essayant d’y accéder soit identifié. Le document publié par les autorités européennes recommande que le personnel non autorisé n’ait pas accès au Wi-Fi et que les mots de passe réseau soient conçus pour être forts et difficiles à déchiffrer.
Création de politiques de test plus strictes
Les hôpitaux qui acquièrent de nouveaux produits informatiques devraient établir un ensemble minimum de tests de sécurité à effectuer sur les nouveaux appareils ajoutés aux réseaux – y compris des tests de pénétration, une fois ajoutés au réseau, pour prendre en compte les tentatives des pirates. abuser.
Créez des plans d’affaires pour la continuité
Des plans de continuité des activités doivent être élaborés chaque fois qu’une défaillance du système menace de perturber les services hospitaliers de base – qui dans ce cas sont les soins aux patients – et le rôle du prestataire dans ces cas. doit être bien défini.
Prendre en compte les problèmes d’interopérabilité
La capacité des machines à transmettre des informations et des données est essentielle au bon fonctionnement des hôpitaux, mais elle peut être compromise en cas de cyberattaque ou de temps d’arrêt. L’hôpital doit avoir des plans de sauvegarde au cas où cette opération serait compromise.
Autoriser le test de tous les composants
Les systèmes doivent être testés régulièrement pour s’assurer qu’ils offrent une bonne sécurité en combinant convivialité et sécurité – par exemple, le service informatique doit s’assurer que les utilisateurs n’ont pas changé des mots de passe complexes pour des mots de passe plus simples. Tout cela doit être pris en compte lors des tests, explique le document fourni par l’ENISA.
Autoriser l’audit des réseaux informatiques La conservation des journaux des tests et de l’activité du réseau permet de suivre plus facilement ce qui s’est passé et comment les attaquants ont accédé au système en cas de compromission, ainsi que d’évaluer quelles informations ont été compromises. «La sécurisation des journaux est l’une des tâches de sécurité les plus importantes», explique le document.
Avec un ransomware, le group Nefilim ont attaqué le groupe SPIE en juillet. Si le groupe a réussi à récupérer ses systèmes, des données volées sont diffusées depuis hier par des attaquants.
Le groupe SPIE ciblé par les ransomwares en juillet
Le groupe SPIE n’a pas échappé à la vague de ransomwares qui a touché les entreprises françaises en juillet. Comme le rapporte leMagIT, le groupe SPIE, spécialisé dans les réseaux d’énergie et de télécommunications, a été pris pour cible par les opérateurs de rançongiciels Nefilim début juillet. Le ransomware a été activé dans la nuit du 13 au 14. Juillet et a bloqué plusieurs serveursWindows du groupe, provoquant un «temps d’arrêt des applications métier», selon un porte-parole de Spie. L’entreprise précise néanmoins que l’impact opérationnel est resté très limité et que les équipes se sont immédiatement activées pour remettre en service les systèmes concernés.
Comme c’est maintenant le cas avec les attaques de ransomwares, cela a également entraîné le vol de données. Hier, les opérateurs de ransomware nefiliim ont commencé à placer sur leur blog des archives sur des fichiers qu’ils prétendent volés sur les serveurs du groupe. Une archive 10go est proposée et le blog montre que cette archive n’est que la première partie des données publiées. Le groupe SPIE, pour sa part, confirme que « des données internes et des données d’un nombre très limité de clients peuvent avoir été volés » et assure avoir pris contact avec les clients concernés.
La distribution en ligne de données volées n’est pas une bonne nouvelle pour SPIE, mais cela indique que l’entreprise a choisi de ne pas payer la rançon exigée par les cybercriminels et a réussi à remettre ses systèmes en marche sans récupérer la clé de décryptage utilisée par les ransomwares.
Le groupe Nefilim avait déjà été à l’origine de l’attaque d’Orange Business Services début juillet.
Coveware collecte des données mondiales sur les ransomwares et la cyber-extraction pour minimiser les coûts et les temps d’arrêt associés.
Une réponse professionnelle et transparente aux incidents de ransomware. Lorsque le ransomware arrive et que les sauvegardes échouent.
Coveware vous aide à vous concentrer sur votre récupération en interne, tandis que les équipes de professionnels de Coveware gèrent le processus de négociation de cyber-chantage et de récupération de données cryptées par le ransomware. Laissez les experts ransomware guider votre entreprise pour une récupération sûre, compatible et rapide des ransomwares.
Sécurité: les attaques de ransomwares ciblant Garmin et CarlsonWagonLit ont apparemment porté leurs fruits pour les cybercriminels. Dans les deux cas, les preuves suggèrent que les entreprises ont effectivement payé les rançons requis.
Officiellement personne ne paie de rançon
La société Garmin a été prise pour cible le 23 juillet par des attaquants utilisant le ransomware WastedLocker, un correctif apparu en mai 2020 et apparemment lié au groupe Evil Corp. L’attaque a complètement incarné les systèmes de l’entreprise, qui offrent des services GPS utilisés à la fois dans plusieurs appareils connectés et dans des applications utilisées dans l’aviation. La semaine dernière, Garmin a annoncé un « retour progressif aux opérations » après une longue semaine de silence radio.
Comme le rapporte Bleeping Computer, cela n’est pas dû au retour à la normale, notamment à la compétence et à la prévoyance des équipes informatiques de l’entreprise: le magazine britannique explique qu’il a pu accéder au logiciel de décryptage utilisé par les équipes Garmin pour récupérer ‘accès aux business units.
«Une fois que ce package de récupération a été déballé, il contient divers installateurs de logiciels de sécurité, une clé de déchiffrement, un déchiffreur WastedLocker et un script pour les exécuter», explique Bleeping Computer, notant que la clé de déchiffrement et le déchiffreur ont probablement été obtenus grâce au paiement d’une rançon.
Bleeping Computer rapporte également que le package comprend des références à Emsisoft et Coveware, deux sociétés américaines de cybersécurité spécialisées dans les ransomwares. Coveware fait une offre de soutien aux victimes de ransomwares, et une étude de Propublica l’année dernière a révélé que l’entreprise se positionnait souvent comme un médiateur dans les négociations entre victimes et attaquants. Emsisoft propose de développer un logiciel de décryptage pour les victimes qui ont réussi à récupérer la clé de cryptage de l’attaquant mais qui préfèrent éviter d’utiliser le logiciel de décryptage fourni par l’attaquant. Les deux sociétés ont donc probablement aidé Garmin à récupérer la clé de cryptage et à récupérer les machines affectées par les ransomwares.
Le montant exact de la rançon versée par Garmin n’est pas connu, mais selon des sources internes de l’entreprise citées par la presse américaine, les attaquants ont initialement demandé 10 millions de dollars.
Garmin a mis la main dans le pot de confiture, mais ils peuvent se réconforter en pensant qu’ils ne sont pas les seuls cette semaine. En fait, la société Carlson Wagonlit Travel (CWT) a également été ciblée sur les ransomwares: cette fois, il s’agit d’un groupe utilisant le ransomware RagnarLocker. Vendredi dernier, le groupe CWT s’est contenté d’évoquer « une attaque informatique » et a refusé de commenter le sujet tel que rapporté par LeMagIT.
Mais les chercheurs en sécurité ont découvert, jeudi 30 juillet, sur le service VirusTotal, un échantillon de produits de rançon RagnarLocker contenant une rançon spécifiquement adressée à CWT. Cela a été téléchargé sur le service de découverte le 27 juillet. Le chercheur de MalwareHunterTeam, JamesWT, qui a découvert l’échantillon, retrace également les transactions qui ont eu lieu à l’adresse bitcoin fournie par l’attaquant en rançon. Et cela indique avoir reçu un paiement de 414 bitcoins, soit 4,5 millions de dollars par. 28 juillet: sur la blockchain Bitcoin, toutes les transactions sont enregistrées et sont accessibles au public.
La société CWT, spécialisée dans les voyages d’affaires, a été victime du ransomware Ragnar Locker et aurait payé 4,5 millions de dollars pour reprendre ses activités normales.
Carlson Wagonlit Travel a choisi la voie des négociations depuis Ragnar Locker.
Constatons-nous un pic de l’activité des ransomwares cet été? C’est la question que l’on peut se poser à la lumière des différents cas. Le dernier après Garmin, Carlson Wagonlit Travel (CWT), spécialiste des voyages d’affaires, a également été attaqué par un ransomware. Selon Reuters, la société a payé 4,5 millions de dollars pour redémarrer les 30 000 PC recroquevillés par l’attaque. De plus, les hackers auraient téléchargé 2 To de données, dont certaines sont considérées comme sensibles (informations de facturation, souscriptions d’assurance, comptes, etc.).
Si CWT a confirmé avoir subi un «cyber incident», la société nie le vol de données. Un moyen de rassurer les clients qui comprend de nombreuses grandes entreprises comme Axa Equitable, Abbot Laboratories, AIG, Amazon, Facebook ou Estée Lauder. Le groupe a ouvert une enquête sur les attaques et les évasions, mais la reprise aurait été particulièrement rapide.
Ragnar Locker et une négociation de rançon publique
Selon JameWT de l’équipe Malware Hunter, le ransowmare impliqué est Ragnar Locker. Ce dernier n’est pas étranger et utilise les vulnérabilités RDP dans Microsoft Windows. Dernièrement, il a même réussi à se camoufler comme une machine virtuelle. Le poids lourd de l’énergie portugais EDP (Energias de Portugal) en avait fait les frais: des cyber-hackers parvenaient à accéder à 10 To de données sensibles, et une rançon de près de 11 millions de dollars (1580 bitcoins) avait alors été demandée.
Dans le cas de CWT, les pirates ont initialement exigé le paiement de 10 millions de dollars en bitcoin. Nos collègues de Reuters ont pu observer l’échange entre les pirates et le responsable de la société (dans ce cas le CFO) dans un groupe de discussion public en ligne. DAF a expliqué que la société avait été durement touchée par la pandémie de Covid-19 et avait donc accepté de payer 4,5 millions de dollars soit 414 bitcoins. Le paiement a été réglé le 28 juillet. Avec humour, les hackers ont même donné à CWT quelques conseils de sécurité « fermer RDP et autres services, mettre en place une liste blanche IP (rdp / ftp), installer un EDR, avoir au moins 3 administrateurs fonctionnant 24h / 24… ». Après Garmin, l’affaire CWT montre que de plus en plus d’entreprises n’hésitent pas à payer une rançon pour reprendre rapidement leurs activités. Les effets de la pandémie de Covid-19 ont affaibli les entreprises et elles ne peuvent pas se permettre une longue procédure.
Quatre ans après son lancement, l’initiative No More Ransom a permis à plus de 4 millions de victimes d’attaques de ransomwares de récupérer leurs fichiers gratuitement.
650 millions d’euros économisés grâce à l’initiative No More Ransom
Au cours des quatre premières années de l’initiative No More Ransom d’Europol, plus de 4 millions de victimes d’attaques de ransomwares ont évité de payer plus de 650 millions d’euros en réponse aux demandes d’extorsion de groupes de cybercriminels.
Lancé pour la première fois en 2016 avec quatre membres de base, No More Ransom fournit des outils de décryptage gratuits pour les ransomwares et n’a cessé de croître depuis. Aujourd’hui, il compte 163 partenaires dans les domaines de la cybersécurité, de la police, des services financiers et autres. Ensemble, ils ont mis des outils de décryptage gratuits à la disposition de plus de 140 familles de ransomwares, téléchargés plus de 4,2 millions de fois.
Les principaux contributeurs au projet incluent Emisoft, fournisseur de 54 outils de décryptage pour 45 familles de ransomwares; membre fondateur de Kaspersky, qui a fourni 5 outils à 32 familles de ransomwares; et Trend Micro, qui a fourni 2 outils de décryptage à 27 familles de ransongware. Parmi les autres sociétés de cybersécurité qui ont participé à No More Ransom, figurent également Avast, Bitdefender, Check Point, ESET et le membre fondateur McAfee.
Un outil populaire
No More Ransom est désormais disponible en 36 langues et accueille des invités de 188 pays à travers le monde. Les visiteurs sont principalement situés en Corée du Sud, aux États-Unis, au Brésil, en Russie et en Inde.
«No More Ransom est l’association entre tous les partenaires clés et les forces de l’ordre du monde entier, et tout le monde évolue dans la même direction. Comme tout le monde contribue à cette menace, nous trouvons des mesures concrètes pour lutter contre les ransomwares en tant que mesure préventive », explique Edvardas Šileris, directeur du Centre européen de cybercriminalité d’Europol, dans un entretien avec ZDNet.
«En fin de compte, ce n’est pas combien d’argent ils économisent qui compte, mais plutôt combien de personnes récupèrent leurs fichiers gratuitement. Il est tout aussi important pour un parent de restaurer les photos de ses proches que pour une entreprise de restaurer son réseau », ajoute-t-il.
La menace grandit
Bien que No More Ransom se soit avéré utile aux victimes de ransomwares, Europol lui-même ajoute que la prévention reste le meilleur moyen de se protéger contre les attaques. D’autant plus aujourd’hui que la nature en constante évolution des ransomwares signifie qu’il existe de nombreuses formes de logiciels malveillants qui ne disposent pas d’outils de décryptage gratuits … et peut-être pas. jamais.
Europol recommande plusieurs mesures de précaution, telles que la sauvegarde hors ligne de fichiers importants. Ainsi, en cas d’attaque, ils peuvent être récupérés immédiatement, qu’un outil de décryptage soit disponible ou non. L’organisation recommande également aux utilisateurs de ne pas télécharger de programmes à partir de sources suspectes ou d’ouvrir des pièces jointes provenant d’expéditeurs inconnus pour éviter d’être victimes d’une attaque de phishing.
Malgré les efforts de No More Ransom et d’autres initiatives de cybersécurité, les ransomwares restent très efficaces pour les cybercriminels, qui parviennent souvent à gagner des centaines de milliers, voire des millions, de dollars en une seule attaque. Cependant, l’application de mises à jour et de correctifs de sécurité aux PC et aux réseaux peut contribuer grandement à arrêter ces types d’attaques. LIEN
De nombreuses entreprises sont ciblées. Après Orange, MMA, CPM, c’est au tour de Misterfly dans l’industrie du tourisme d’être victime d’une cyberattaque dite «ransomware» le 13 juillet. L’entreprise a envoyé un mail à tous ses partenaires pour expliquer la situation.
Misterfly victime d’une cyberattaque par ransomware
dans une lettre adressée à ses agences de voyages partenaires, Misterfly déclare avoir été victime d’une cyberattaque dite «ransomware».
« La conséquence de cette cyberattaque a été de rendre inaccessible une partie du réseau informatique de MisterFly », ajoute le communiqué.
Personne de contact pour nous Frédéric Pilloud, directeur du e-commerce, précise: «Nous savons que les pirates ont réussi à copier un certain nombre de fichiers, et tout notre travail d’analyse est de savoir de quels fichiers il s’agit. Une chose est sûre, que ce ne soit pas ce ne sont pas des informations bancaires car elles ne passent pas par nous « .
Le site de réservation de billets utilise la norme PCI DSS (imposée par Iata), qui garantit le non-stockage des informations de paiement. Ces données sont diffusées directement aux organismes de paiement.
« Le risque maximum serait que les données sur les réservations de nos clients et leurs coordonnées soient disponibles en ligne, mais nous ne sommes pas sûrs. Et avec ces données, il ne serait pas possible de modifier ou d’annuler une réservation, mais je répète pour le moment que nous ne le faisons pas. savoir exactement quels fichiers sont ciblés », explique le directeur e-commerce.
Plusieurs entreprises ont été la cible du même type d’attaque. Les dernières concernent notamment la compagnie d’assurance MMA, Orange et la société multiservices CPM International France, selon le site spécialisé Zataz.com.
Les ransomwares sont des logiciels malveillants qui prennent en otage des données personnelles. «Le contexte général de la mise en œuvre du télétravail et des connexions entre salariés via les VPN favorise ce type d’attaque», souligne Frédéric Pilloud, «Dans notre cas, quelqu’un a ouvert un dossier qu’il ne devait pas ouvrir».
Misterfly s’excuse donc pour l’impact «que cela peut avoir sur la durée du traitement». Et ajoute: « Dans tous les cas, nous vous recommandons de rester vigilant, surtout si vous recevez des communications non sollicitées. Nous vous rappelons d’être particulièrement prudent avec les communications qui prétendent provenir de MisterFly et qui doivent être faites régulièrement, nous vous recommandons change votre mot de passe sur notre site MFPro. «
Une équipe dédiée dans l’entreprise est sur le pont et travaille pour mesurer l’étendue de l’attaque.
L’agence de santé numérique a publié la semaine dernière son rapport 2019 sur l’évolution des incidents de sécuritéinformatique affectant les centres de santé. Le rapport note que les ransomwares, comme le secteur privé, ne sont pas sortis dans les établissements de santé en 2019.
Les centres de santé des plus ciblés par les ransomware en 2019
