Catégories
Aérien Android Apple Association Attaque Bitcoins COVID-19 Ekans Entreprise de construction Etude EvilQuest GandCrab Hakbit Hôpital hyères informatique Mac MacOS Mairie maze Nefilim NetWalker Non classé Orange presse prix Ragnar Locker Ransomware revil Ryuk Sécurité Service informatique Shade sodinokibi SolarWinds Sunburst Technologie ThiefQuest Uncategorized vidéo

Comment la vulnérabilité informatique est-elle mesurée?

Le score CVSS est utilisé presque systématiquement pour évaluer le danger des vulnérabilités. Mais savez-vous quel calcul se cache derrière le score sur 10?

Il faut dire que la cybersécurité regorge de termes spécifiques et autres acronymes (et anglophones, d’ailleurs) pour qualifier les scénarios d’attaque. On parle de RCE, XSS, de « web shell » ou même d’élévation de privilèges. Les balles d’avertissement sont le plus souvent destinées aux spécialistes et n’utilisent que du jargon. Ils soulignent rarement les risques concrets qu’une nouvelle vulnérabilité pose au public.

SUITE… Avec Numerama.com

Catégories
Attaque Etude Hôpital hyères informatique Mac Mairie maze Orange presse prix Ragnar Locker Ransomware Ryuk Service informatique Technologie Uncategorized

Des auteurs de ransomwares arrêtés en Ukraine

La police ukrainienne a arrêté le 9 février plusieurs membres d’un groupe de cybercriminels à l’origine de plusieurs attaques informatiques dans le monde, dont le quotidien Ouest France, la police et des sources proches ont raconté l’affaire ce jeudi.

Cette « opération internationale », menée en coordination avec les policiers français et ukrainiens ainsi qu’avec le FBI, a mis un terme à la diffusion du ransomware appelé « Egregor », décrit la police dans un communiqué.

Piratage informatique

Au moins 150 entreprises ont été attaquées, principalement aux États-Unis et en Europe, avec des pertes estimées à environ 66 millions d’euros, selon les premiers éléments de l’étude publiée par les services de sécurité ukrainiens (SBU). Selon une source proche du dossier, au moins trois personnes ont été arrêtées dans cet acte. Les domiciles des suspects ont été perquisitionnés et le matériel informatique saisi est « toujours utilisé » par les enquêteurs français envoyés sur les lieux, selon la police.

Les solutions de sécurité informatique Hyères

C’est un rapport d’Europol en septembre qui a conduit le parquet de Paris à ouvrir une enquête en France, remise à la sous-direction cybercriminalité (SDLC). Le groupe a pratiqué la technique de la « double extorsion »: d’une part le cryptage et le vol des données de l’entreprise ciblée, d’autre part la menace de publier ces données compromises sur un site internet si l’entreprise refusait de payer une rançon en bitcoins, le la plus célèbre des monnaies virtuelles.

Le ransomware s’est propagé par pré-intrusion « via l’envoi d’e-mails de phishing et un accès à distance Windows mal sécurisé au bureau », a déclaré la police française. Particulièrement sophistiqué, « Egregor » pourrait prendre le contrôle des imprimantes connectées aux ordinateurs infectés et imprimer la rançon, « amplifiant encore l’impact psychologique de l’extorsion », a déclaré la même source.

Plusieurs entreprises françaises ont été visées par «Egregor», dont le quotidien Ouest France, le transporteur Gefco et le géant du jeu vidéo Ubisoft. Deux attaques de ransomware ont été ciblées ces derniers jours contre des hôpitaux de Villefranche-sur-Saône (Rhône) et de Dax (Landes), mais elles ne portent pas la signature «Egregor». Il a travaillé sur le modèle du logiciel à la demande (Raas, Ransomware as a Service): ses créateurs l’ont mis à disposition d’autres hackers, «affiliés», qui ont pris la responsabilité des attaques avant de partager les bénéfices.

Les détenus font partie « plutôt que de l’équipe de conception et de production », a déclaré Catherine Chambon, directrice adjointe de la lutte contre la cybercriminalité à la magistrature centrale. Si Catherine Chambon qualifie l’opération contre «Egregor» de «démantèlement assez efficace», elle exhorte à rester «très prudente et modeste» sur ce qui ressemble à «un brouillard».

L’origine du mal

Selon l’Agence nationale de sécurité des systèmes d’information (Anssi), « Egregor serait lié à la fin de l’activité du groupe d’attaquants derrière le ransomware Maze », notamment à l’origine d’une attaque contre Bouygues Construction en janvier 2020. À son tour,  » Egregor « pourrait-il renaître sous une autre forme? « Il est possible que ce soit la vie d’un ransomware », a répondu Catherine Chambon. «L’idée est de mettre progressivement en sécurité les cybercriminels afin qu’ils se sentent moins impunis. Même si, une fois qu’il y a un crime, il a peu de chances de disparaître ».

Catégories
Android Apple Attaque Bitcoins COVID-19 Ekans Etude EvilQuest GandCrab Hakbit Hôpital hyères informatique Mac MacOS Mairie maze Nefilim NetWalker Non classé Orange prix Ragnar Locker Ransomware revil Ryuk Sécurité Service informatique Shade sodinokibi Technologie ThiefQuest vidéo

Ryuk LE ransomware 2020?

Anssi a publié un nouveau rapport, cette fois axé sur l’activité ransomware de Ryuk. Particulièrement impliqué dans l’attaque de Sopra Steria en France, ce logiciel malveillant se distingue de la concurrence et ne se contente pas de dupliquer les méthodes de ses concurrents.

Ryuk LE ransomware 2020?

Ryuk est un ransomware actif depuis 2018 et dont les opérateurs sont particulièrement actifs. C’est ce qui a valu le titre de «ransomware le plus rentable» selon le FBI en 2018 et généré plus de 61 millions de dollars de rançon entre février 2018 et octobre 2019.

Cependant, Ryuk n’aborde pas les méthodes qui ont fait le succès de groupes malveillants comme Maze ou Revil: pas de chantage pour le vol de données, pas de place pour montrer les victimes ou les communiqués de presse ici. Pourtant, ce ransomware, qui est actif depuis deux ans maintenant, reste une menace majeure, et Anssi a publié un rapport de statut.

Ryuk est un ransomware dont le but est de crypter les données de la victime pour exiger une rançon. Anssi indique que les cibles privilégiées des opérateurs de ce ransomware sont les grandes entreprises capables de payer les grosses rançons requises, principalement aux États-Unis et au Canada. L’agence note également que les opérateurs de Ryuk ne réservent pas d’autres groupes vis-à-vis des établissements de santé: « en octobre 2020, Ryuk serait responsable de 75% des attaques sur le secteur de la santé qu’il attaquerait depuis le premier semestre 2019 ». Des dizaines d’hôpitaux américains ont été victimes d’une campagne de Ryuk au début d’octobre visant les services dans les hôpitaux de l’UHS. Le FBI et le CISA américain ont également mis en garde contre le risque de nouvelles attaques basées sur Ryuk dans un nouveau communiqué d’information publié fin octobre.

Trickbot, Emotet et le bazar
Comme de nombreux ransomwares, Ryuk n’est que la dernière étape d’une chaîne d’infection multi-malware. Les auteurs du rapport indiquent que l’infection Trickbot, au moins jusqu’en septembre 2020, aurait été le point d’entrée privilégié des opérateurs Ryuk pour s’implanter dans les réseaux d’entreprise. Trickbot, avec Emotet et bien d’autres, est un malware de type chargeur qui se propage généralement via des campagnes de courrier électronique malveillantes pour infecter un appareil cible, puis se propager à travers le réseau interne d’une victime et se déplacer jusqu’à ce qu’il compromette un contrôleur de domaine. La dernière étape est la mise en œuvre du ransomware, le cryptage des machines et la demande de rançon. Et si ce type d’attaque prend généralement du temps, certains opérateurs Ryuk se démarquent par leur rapidité: Anssi indique ainsi que dans certains cas le temps de la première infection et du cryptage est réduit de quelques jours. (2 à 5) en trois heures ».

En 2020, cependant, les opérateurs de Ryuk semblent s’être progressivement tournés vers un nouveau chargeur, connu sous le nom de BazarLoader, actif depuis mars 2020. «Comme TrickBot, Bazar serait utilisé comme un accès en tant que service pour faire des compromis ou même qualifier un SI pour le compte d’autres groupes d’attaquants. On ne sait pas si BazarLoader, comme TrickBot, fonctionne également sur un modèle d’affiliation », précise l’agence, qui précise que le logiciel est principalement distribué par le groupe derrière Trickbot. D’autres chargeurs ont également été identifiés dans des attaques impliquant le malware Ryuk: Buer et Le logiciel Silent Night a également été utilisé dans l’attaque qui a implémenté Ryuk.

Raas ou pas Raas, c’est la question
L’un des points qui sépare Ryuk du reste de l’écosystème de la cybercriminalité des groupes de ransomware est la question du modèle commercial de Ryuk. Pour de nombreux ransomwares apparus ces derniers mois, le modèle économique utilisé est généralement celui de RaaS (Ransomware as a service): le groupe à l’origine des ransomwares commercialise ses logiciels sur des forums clandestins auprès d’autres groupes, qui s’assurent ensuite de les diffuser réseaux informatiques de leurs victimes.

Pour Anssi, Ryuk n’est « pas officiellement un RaaS »: l’agence déclare ainsi qu’elle n’a observé aucune promotion des opérateurs Ryuk sur les forums clandestins. Ryuk est néanmoins exploité par plusieurs acteurs malveillants, selon Anssi. S’il n’est pas vendu au public, il pourrait être mis à la disposition de partenaires de confiance par le créateur du code malveillant, ou il pourrait être exploité indépendamment par plusieurs groupes à l’aide d’outils et de formes de propagation communs. .

Il est donc difficile de savoir qui tire exactement les fils de Ryuk: le rapport de l’agence met en évidence le rôle central joué par deux acteurs malveillants, le groupe WizardSpider derrière Trickbot et le groupe identifié comme UNC1878. Selon FireEye, ce dernier groupe est responsable de 83% des attaques impliquant Ryuk. L’agence note également l’implication d’autres groupes tels que FIN6 dans la prolifération du ransomware Ryuk ainsi que du code et des méthodologies entre Ryuk et un autre ransomware connu sous le nom de Conti. Si Ryuk n’est pas «officiellement un RaaS», il n’en est pas moins un acteur profondément enraciné dans la sphère de la cybercriminalité et avec de nombreux liens avec des groupes tiers.

Catégories
Apple informatique Mac MacOS Ragnar Locker Ransomware Sécurité Technologie vidéo

Capcom confirme le ransomware et le vol des données

La cyberattaque contre Capcom était en fait une cyberattaque par ransomware combinée à un vol des données. Les données de centaines de milliers de personnes sont compromises.

Plus tôt ce mois-ci, l’éditeur de jeux vidéo japonais Capcom – surtout connu pour ses franchises Street Fighter et Resident Evil – a déclaré avoir été victime d’une cyberattaque avec un piratage de son système d’information.

Les communications de Capcom étaient censées être assez rassurantes, tandis que des rapports commençaient simultanément à circuler sur une cyberattaque de ransomware (Ragnar Locker) et un filtrage de données à partir de réseaux au Japon, aux États-Unis et au Canada.

Plus tôt cette semaine, Capcom a fait une nouvelle communication. L’éditeur confirme avoir été victime d’une cyberattaque par ransomware et ajoute que des données personnelles ont été compromises.

Capcom a pu vérifier que les informations personnelles de neuf employés (anciens et actuels) étaient compromises, ainsi que les informations financières et les rapports de vente. Dans une section de données potentiellement compromise, Capcom classe les cas pour près de 350 000 personnes.

Dans ce cas, il s’agit de clients, de partenaires commerciaux, d’actionnaires ou même d’anciens salariés. Essentiellement au Japon et en Amérique du Nord, ce sont principalement des noms, des adresses électroniques et postales, des numéros de téléphone, des dates de naissance et même des photos.

Toujours dans le registre des données potentiellement compromises, Capcom ajoute que près de 14 000 personnes sont associées aux ressources humaines ainsi qu’à tout un ensemble de documents internes confidentiels.

Une combinaison de ransomware et de vol des données
Rappelons que Capcom avait initialement précisé qu’il n’y avait actuellement aucune indication d’un compromis sur les données clients. Le discours a considérablement changé. En revanche, Capcom – qui s’excuse – évite le risque de compromis avec les données bancaires ou de paiement. Tout simplement parce que Capcom ne stocke pas ces informations en interne.

Capcom travaille avec les forces de l’ordre au Japon et aux États-Unis. Les attaquants derrière le ransomware Ragnar Locker avaient en fait adressé une demande de rançon à Capcom pour le retour de données volées et la fourniture d’un outil de décryptage.

L’enquête sur l’incident de sécurité et les données exfiltrées a été entravée par le cryptage des données sur les serveurs et la suppression des journaux d’accès lors de la cyberattaque. Capcom a visiblement décidé de ne pas céder au chantage des attaquants. Ce n’est pas toujours le cas. En retour, les données exfiltrées sont mises en ligne.

Catégories
Android Apple Association Bitcoins COVID-19 Ekans hyères informatique Mac MacOS Ragnar Locker Ransomware revil Sécurité sodinokibi Technologie vidéo

Mattel a été victime cet été d’un ransomware

Le fabricant de jouets a été victime d’une attaque de ransomware l’été dernier. L’attaque a été rapidement interrompue et n’a eu aucun impact significatif sur l’entreprise.

Mattel a contenu l’attaque d’un ransomware

Le fabricant de jouets américain Mattel a révélé mercredi qu’il avait subi une attaque de ransomware qui paralysait certaines fonctions commerciales. Néanmoins, la société affirme s’être remise de l’attaque sans pertes financières importantes.

Mattel a contenu l’attaque
L’incident a eu lieu le 28 juillet, selon un formulaire trimestriel 10-Q, que la société a déposé plus tôt dans la journée auprès de la Securities and Exchange Commission des États-Unis.

Mattel a déclaré que l’attaque par ransomware avait initialement réussi et chiffré certains de ses systèmes.

«Après la découverte de l’attaque, Mattel a commencé à mettre en œuvre ses protocoles de réponse et à prendre une série d’actions pour arrêter l’attaque et restaurer les systèmes affectés. Mattel a contenu l’attaque et, bien que certaines fonctions commerciales aient été temporairement affectées, Mattel a rétabli les opérations », explique la société.

Aucun impact sérieux
Depuis plus d’un an, les gangs de ransomwares volent des données et se lancent dans un double stratagème d’extorsion qui menace de publier les données de l’entreprise piratée sur des sites Web publics appelés «sites de fuite» à moins que les victimes ne paient la rançon souhaitée.

Cependant, le fabricant de jouets explique qu’une enquête ultérieure a conclu que le gang de ransomwares derrière le cambriolage de juillet n’avait volé « aucune donnée commerciale sensible ou des données sur les clients, fournisseurs, consommateurs ou employés ». .

Dans l’ensemble, Mattel semble avoir échappé à l’incident avec seulement un bref temps d’arrêt et sans aucune blessure grave, ce qui est rarement suffisant pour être stressé. De nombreux exemples montrent des pertes financières de plusieurs dizaines de milliers de millions de dollars, comme c’est le cas avec Cognizant ou Norsk Hydro. Mattel souligne que l’attaque du ransomware a légèrement « eu aucun impact significatif sur ses opérations ou sa situation financière. »

Catégories
Apple Attaque Entreprise de construction informatique Mac MacOS prix Ransomware Sécurité Technologie

Le deuxième fabricant mondial d’ordinateurs portables Compal touché par les ransomwares

ROCK HSU Président-RAY CHEN Vice-président et CSO-MARTIN WONG Président et PDG

Compal, une société taïwanaise qui fabrique des ordinateurs portables pour certaines des plus grandes marques d’ordinateurs, a été victime d’une attaque de rançon au cours du week-end. L’attaquant était soupçonné d’être le gang DoppelPaymer, selon une capture d’écran de la rançon partagée par des employés de Compal avec des journalistes de Yahoo Taiwan.

Les usines de Compal fabriquent des ordinateurs portables pour Apple, Acer, Lenovo, Dell, Toshiba, HP et Fujitsu.

Le patron de Compal nie les attaques de ransomware et admet le piratage
Malgré les rapports des médias locaux, Qingxiong Lu, PDG adjoint de Compal, a admis lundi dans un communiqué à United News Network que la société avait subi une faille de sécurité, mais a nié que la récente interruption du service ait été causée par un ransomware. « Compal ne fait pas l’objet de chantage de la part de pirates informatiques, comme le dit la rumeur », a déclaré le directeur de Compal aux journalistes.

En outre, Qingxiong a déclaré que l’incident n’avait affecté que le réseau de bureaux interne de l’entreprise et que les lignes de production de Compal qui fabriquent des ordinateurs portables pour d’autres entreprises n’avaient pas été affectées. Monsieur. Qingxiong pensait que l’état de l’entreprise reviendrait à la normale une fois que le personnel aurait fini de restaurer tous les systèmes affectés par ce qu’il a décrit comme des «anomalies».

Compal est aujourd’hui le deuxième plus grand fabricant d’ordinateurs portables au monde après Quanta Computer, une autre société taïwanaise. Dans le passé, Compal a produit des ordinateurs portables pour des entreprises telles que Apple, Acer, Lenovo, Dell, Toshiba, HP et Fujitsu. Outre les ordinateurs portables, l’entreprise fabrique également des moniteurs, des tablettes, des montres intelligentes, des téléviseurs intelligents et d’autres périphériques pour ordinateurs.

Compal est la troisième grande usine taïwanaise à être touchée par les ransomwares cette année. La société d’énergie publique taïwanaise CPC Corp. a été touchée par le ransomware ColdLocker en mai, tandis que l’usine taïwanaise du fabricant américain de montres intelligentes Garmin a été touchée par le ransomware WastedLocker en juillet.

Catégories
Android Apple Association Attaque Bitcoins COVID-19 Ekans Etude EvilQuest GandCrab Hakbit Hôpital informatique Mac MacOS maze Nefilim NetWalker Ragnar Locker Ransomware revil Ryuk Sécurité Shade sodinokibi Technologie ThiefQuest

Ransomware de la semaine- octobre 2020 – Des hôpitaux assiégés

Ransomware de la semaine- octobre 2020 – Des hôpitaux assiégés

Cette semaine, nous avons assisté à une attaque concertée contre le secteur de la santé par des groupes de piratage utilisant le ransomware Ryuk. En outre, nous avons vu certaines grandes entreprises bien connues souffrir d’attaques de ransomwares, qui ont affecté leurs activités commerciales.

La plus grande nouvelle cette semaine est que le gouvernement américain a averti le secteur de la santé qu’il existe « des informations crédibles sur une menace accrue et imminente de cybercriminalité pour les hôpitaux et les prestataires de soins de santé américains ». À la suite de ces attaques, nous avons vu six hôpitaux ciblés cette semaine, dont l’hôpital Wyckoff, l’Université du Vermont Health Systems, le Sky Lakes Medical Center et St. Louis. Lawrence Health System.

Nous avons également été informés d’attaques de ransomwares contre des sociétés bien connues, telles que le fabricant de meubles SteelCase, la société de conseil informatique française Sopra Steria et la société d’électricité italienne Enel Group.

Enfin, un représentant de REvil connu sous le nom de UNKN a déclaré qu’ils avaient gagné 100 millions de dollars en un an et que le tristement célèbre gang de labyrinthe avait commencé à fermer son opération de ransomware.

Maintenant que le week-end approche, il est important que toutes les entreprises surveillent les activités suspectes sur leur réseau Windows et leurs contrôleurs de domaine et réagissent de manière proactive si quelque chose est découvert.

LIEN

Les contributeurs et ceux qui ont livré de nouvelles nouvelles et histoires sur les ransomwares cette semaine incluent: @PolarToffee, @VK_Intel, @struppigel, @BleepinComputer, @malwrhunterteam, @malwareforme, @ demonslay335, @jorntvdw, @Seifreed, @FourOctets , @, @Ionut_Ilascu, @DanielGallagher, @fwosar, @MarceloRivero, @Malwarebytes, @Amigo_A_, @GrujaRS, @ 0x4143, @ fbgwls245, @siri_urz, @Mandiant et @IntelAdvanced.

Catégories
Android Apple Association Attaque Bitcoins COVID-19 Ekans Entreprise de construction Etude EvilQuest GandCrab Hakbit Hôpital hyères informatique Mac MacOS maze Nefilim NetWalker Non classé Orange prix Ragnar Locker Ransomware revil Sécurité Shade sodinokibi Technologie ThiefQuest vidéo

L’été meurtrier 2 (toujours pas le film), un ransomware.

La rentrée scolaire a été marquée par un nombre sans précédent de cyberattaques connues impliquant des ransomwares. Le fruit de la connexion entre plusieurs facteurs. Et ceux-ci ne suggèrent aucun règlement réel.

L’été meurtrier 2 (toujours pas le film), un ransomware.

En septembre, nous avons enregistré près de 270 attaques de ransomwares dans le monde, une explosion par rapport aux mois précédents, alors que juin et août étaient déjà marqués par une activité intense des cybercriminels. Mais attention aux trompe-l’œil.
En France, nous avons dénombré 10 cas confirmés, auxquels s’ajoute un cas suspect, mais non confirmé à ce moment, vers le 8 août et à peu près le même en juillet. Les attaques confirmées sont répertoriées sur la chronologie que nous mettons à jour régulièrement. Sur Intrinsec, Cyrille Barthélemy rapporte 13 cas «en crise» en septembre contre 10 en août.

Et de préciser que sa capacité d’intervention n’était évidemment pas la même en plein été qu’en début d’année scolaire. Chez I-Tracing, Laurent Besset a noté 9 interventions sur le mois dernier contre 4 en dessous de la précédente. Chez Advens, Benjamin Leroux fait 3 interventions majeures et moins de 5 interventions plus petites. Mais toujours 150 détections de menaces qui pourraient conduire à une détonation de ransomware, principalement Emotet.

Début septembre, l’Agence nationale de sécurité des systèmes d’information (Anssi) a rapporté avoir traité 104 attaques de ransomwares depuis le début de l’année contre 54 sur l’ensemble de 2019. Et bien sûr, cela ne prend pas en compte les cas hors de son champ d’application.

Concernant la plateforme Cybermalveillance.gouv.fr, Jérôme Notin, PDG de GIP Acyma, a encore signalé début septembre 1.082 signalements de ransomwares à ce jour depuis le lancement de la plateforme le 4 février, avec 44% d’entreprises ou d’associations et 10 % d’administrations ou de communautés. En septembre, Jérôme Notin a enregistré 131 demandes d’assistance, contre 104 en août et 122 en juillet.

En France, à ce stade, il semble difficile de parler d’une explosion. Mais si la tendance à la hausse semble moins prononcée que pour le reste du monde, la menace semble sans doute rester à un niveau élevé.

Il y a au moins deux explications possibles de la situation, qui suggèrent que la menace ne diminuera probablement pas dans un proche avenir. Nous les développons ci-dessous le long de la chronologie.

Catégories
Android Apple Attaque Bitcoins COVID-19 Ekans Entreprise de construction EvilQuest GandCrab Hôpital hyères informatique Mac MacOS maze Nefilim NetWalker Orange prix Ragnar Locker Ransomware revil Sécurité Shade sodinokibi Technologie ThiefQuest

L’été meurtrier (pas le film), un ransomware.

Plusieurs entreprises ont été touchées, dont certaines ont décidé de traverser Rubicon en payant une rançon. Dans le même temps, les cybercriminels se structurent et se professionnalisent.

L’été meurtrier (pas le film), un ransomware.

Il est difficile de trouver une semaine sans voir une ou plusieurs entreprises victimes de ce fléau. En juillet, Netwalker était soupçonné d’avoir gravement perturbé l’activité MMA de la compagnie d’assurance, tout comme le groupe de construction Rabot Dutilleul. Une succursale d’Orange Business Services a été attaquée par Nefilim et a volé 350 Mo de données. Comment ne pas mentionner Garmin, dont la production a été arrêtée pendant deux jours, ainsi que ses sites Web, ses applications mobiles, ses appels téléphoniques, son chat en ligne et sa messagerie.

Et le mois d’août n’a pas été plus paisible, au contraire. Les vacances ont été gâchées pour Carlson Wangonlit Travel by Ragnar Locker ransomware. 30 000 PC auraient été bloqués et 2 To de données volées. Autre spécialiste du voyage dans les troubles, l’une des marques sur la compagnie de croisière Carnival a été visée par une attaque. La litanie se poursuit avec le groupe Maze, qui regroupe plusieurs sociétés Canon, LG et Xerox. Récemment, la société coréenne de semi-conducteurs SK Hynix a été touchée par ce gang. Le groupe derrière Sodinokibi, quant à lui, a poursuivi Brown-Forman, la société mère de Jack Daniel. Le fournisseur de services complets Spie a eu du mal à se débarrasser du ransomware Nefilim. 4 sites de production ont été fermés par MOM, propriétaire des compotes Materne et des crèmes MontBlanc. LIEN

Catégories
Attaque Ekans Etude EvilQuest GandCrab Hakbit hyères informatique Mac MacOS maze Nefilim Orange Ragnar Locker Ransomware revil Sécurité Shade sodinokibi Technologie ThiefQuest

Pourquoi la menace des Ransomwares peut s’aggraver

Le début d’année a été clairement lucratif pour les ransomwares en France. L’Anssi et la plateforme Cybermalveillance le soulignent. Surtout, ce n’est qu’un début!

L’Agence nationale de sécurité des systèmes d’information (Anssi) et la Direction des affaires criminelles et des grâces (DACG) du ministère de la Justice viennent de publier un guide visant à sensibiliser les entreprises et les collectivités à la menace des ransomwares.

Et il semble qu’il y ait plus qu’une simple urgence: depuis le début de l’année, Anssi dit avoir traité 104 attaques de ransomwares, contre 54 en 2019 dans son ensemble. Et l’agence souligne que « ces chiffres ne donnent pas un aperçu complet des ransomwares actuels affectant le territoire national ». Comme nous le signalait le CERT de Capgemini sur Twitter – «il faut compter toutes [les attaques] gérées par les équipes du CERT en dehors d’Anssi» – mais aussi une confirmation que les cas connus, même dans les médias, ne représentent pas qu’une fraction des cyberattaques avec un ransomware. Et pourtant, ne serait-ce que pour la France, la liste des incidents connus peut déjà paraître très longue.

Concernant la plateforme Cybermalveillance.gouv.fr, Jérôme Notin, PDG de GIP Acyma, rapporte 1.082 signalements de ransomwares à ce jour depuis le lancement de la plateforme le 4 février, auprès de 44% d’entreprises ou d’associations et 10% d’administrations ou de collectivités. Hélas, plusieurs éléments convergent pour suggérer que la vague est loin d’être terminée.

La publication de ce guide par Anssi et DACG constitue un premier indice: il n’y aurait guère de raison de l’être si l’agression des cybercriminels semble être en déclin. Il est évident qu’il s’agit d’une tentative des autorités pour empêcher que la chute ne s’aggrave qu’une source déjà perceptible par rapport à fin 2019.

Trop de systèmes vulnérables
Deuxième indice: certains messages semblent encore avoir du mal à passer, laissant des routes ouvertes aux attaquants. Cela commence par un patch, en particulier pour certains équipements sensibles. Le moteur de recherche spécialisé Onyphe a récemment identifié 15 systèmes Citrix Netscaler Gateway pour les entreprises du Fortune 500 touchées par la vulnérabilité CVE-2019-19871 exposées à Internet, mais aussi 659 Cisco ASA affectés par la CVE-2020- 3452, tous les mêmes 5 serveurs VPN Pulse Secure ou près de soixante systèmes SAP affectés par la vulnérabilité CVE-2020-6287.

Au cours de l’été, nous avons même observé un groupe affecté par une attaque de cyber-ransomware exposant un système affecté par l’une de ces vulnérabilités, malgré des messages et des rappels qui ont duré plusieurs semaines. Et cela sans prendre en compte les services RDP disponibles en ligne sans authentification de la couche réseau (NLA). Autant de points d’entrée sans même parler de phishing.

Les attaques de ransomwares actuelles et la cybercriminalité économique empruntent plus généralement aux APT, a souligné Ivan Kwiatkowski des équipes de recherche et d’analyse de Kaspersky dans nos colonnes début février. Concrètement, cela signifie que l’attaque s’étend très profondément dans le système d’information jusqu’à ce qu’elle obtienne des privilèges dignes d’un administrateur et fournisse un accès très large aux données de l’entreprise compromise.

Passer d’une cible à une autre
Cela donne lieu à un premier risque: le risque de propagation – immédiate ou ultérieure – de l’attaque à des tiers en dehors de la victime d’origine, des clients ou des partenaires. Il existe un soupçon de connexion entre la cyberattaque de Maze contre Xerox et HCL Technologies, sur laquelle aucune des parties ne souhaite commenter. Mais en 2019, la start-up Huntress Labs a détaillé trois incidents dans lesquels des ordinateurs de clients de fournisseurs de services gérés ont été compromis par un ransomware via des outils de gestion à distance. Et ça ne s’arrête pas là.

Les données volées par les cybercriminels avant que leur ransomware ne soit déclenché peuvent être une mine d’or pour les futures campagnes de phishing hautement ciblées … et faciliter l’utilisation d’informations authentiques récupérées lors de l’attaque précédente. Une seule liste de milliers d’adresses e-mail avec quelques éléments personnels supplémentaires peut être un formidable point de départ.

À la mi-juillet, Brett Callow d’Emsisoft a attiré notre attention sur un cas aussi suspect: Nefilim a revendiqué la responsabilité d’une attaque contre Stadler en mai; NetWalker en a revendiqué un sur Triniti Metro début juillet; l’une des captures d’écran de ce dernier était un dossier nommé … «lettres Stadler». Pour l’analyste, «ces composés semblent trop souvent être des coïncidences». Et ce, même si NetWalker fait confiance aux «partenaires», alors que Nefilim opérerait plutôt dans le vide. Car rien ne dit qu’un des partenaires NetWalker n’a pas regardé les données que Nefilim a précédemment publiées pour les utiliser dans le cadre de l’attaque sur Triniti Metro …

Un espoir: la limitation des ressources disponibles
Récemment, de nouveaux groupes de cybercriminalité sont apparus qui combinent le cryptage et le vol de données avec la menace de divulgation pour soutenir leurs efforts d’extorsion. Mais la capacité des cybercriminels à exploiter toutes les pistes qu’ils obtiennent n’est pas illimitée. Des appels aux «partenaires» ont lieu régulièrement sur les forums qu’ils visitent. Et les profils recherchés ont un haut niveau de compétence: bien que les outils disponibles gratuitement ne manquent pas, la phase de reconnaissance manuelle avant la mise en œuvre et la détonation du ransomware nécessite une certaine expertise. Cependant, rien ne garantit que certains spécialistes des étapes intermédiaires des attaques n’interviendront pas pour différents groupes.

De toute évidence, toutes ces voies ne doivent pas être exploitées en même temps: la lenteur de nombreuses organisations à fermer les portes d’entrée qu’elles laissent ouvertes sur Internet n’aide que les cybercriminels. Attention donc: un répit peut donner l’impression de se retirer de la menace, du moment qu’il ne s’agit que d’une illusion. Et une chose semble certaine: il n’est pas temps de se détendre.