Catégories
Attaque informatique Mac Ransomware Sécurité Service informatique

Le piratage de McDonald’s, les données de 3 millions de clients français volés

Les noms, les dates d’anniversaire, les téléphones portables, les adresses électroniques et les transactions PayPal client apparaissent sur les données volées.

Le piratage de McDonald’s, les données de 3 millions de clients français volés

DataAcching est une activité récurrente des pirates malveillants. Il y a quelques jours, le groupe de pirates lançant une cyberattaque contre le centre de l’hôpital de l’Ile-de-France de South à Corbeil-Esonnes en août a commencé à communiquer des données qu’il avait recueillies. Cette fois, c’est la France de McDonald’s qui a été affectée. La société de restauration rapide a été soumise à des informations personnelles sur trois millions de clients.

C’est au tour de McDonald’s d’obtenir un piratage. La chaîne de restauration rapide révèle que les pirates ont pu infiltrer leur réseau et restaurer diverses données, à la fois les clients et les employés.

C’est au tour de McDonald’s d’obtenir un piratage. La chaîne de restauration rapide révèle que les pirates ont pu infiltrer leur réseau et restaurer diverses données, à la fois les clients et les employés.

Un pirate a pu mettre la main d’une base de données appartenant à McDonald’s France. Cependant, il est difficile de valider les informations selon le site. Les données qui ont été transmises sont partiellement cryptées. Cela signifie qu’ils sont inutiles sous cette forme. Une clé est nécessaire pour les déchiffrer. De même, vous ne pouvez pas être sûr du contenu exact de la base de données, spécifie Zataz( ZATAZ L’ACTU CYBERSÉCURITÉ, DEPUIS PLUS DE 25 ANS).

Un piratage destiné à McDonald’s dans plusieurs pays.

Un piratage destiné à McDonald’s dans plusieurs pays.

Le pirate aurait bénéficié d’une erreur dans l’utilisation mobile de la barre de restauration rapide. En chiffrant une partie des données, McDonald’s avait pris des mesures pour limiter l’effet d’une attaque. Le pirate espère que d’autres pirates réussiront à trouver la clé de décryptage. Les clients sont informés qui utilisent l’application pour modifier leur mot de passe.
Le pirate a rendu la base de données des figures disponibles pendant 24 heures avant de le retirer. « Si quelqu’un découvre comment déchiffrer, il aura un baiser », a-t-il déclaré. Le fichier pesait 385 Mo. Il a déjà fourni des éléments non changés sur des clients tels que des noms, des dates d’anniversaire, des téléphones mobiles, des adresses électroniques, des transactions PayPal, etc. Tant d’éléments qui pourraient déjà être utilisés à mauvaises extrémités.

La victime de McDonald’s France de piratage, près de 3 millions de données ont été partagées.

La victime de McDonald’s France de piratage, près de 3 millions de données ont été partagées.

En fait, la plate-forme de surveillance de Zataz a récemment déclaré qu’elle avait surpris une conversation sur un énorme piratage sur McDonald’s France. Pendant quelques heures, un pirate a mis un fichier de 385 Mo à la disposition d’autres utilisateurs d’Internet qui inclurait des informations privées sur des millions de clients en France.

McDonald’s piraté: les pirates ont volé les données des clients et des employés.

Parmi les données stockées, l’identité des clients, mais aussi les numéros de téléphone, les dates d’anniversaire, les adresses électroniques, les transactions PayPal … La bonne nouvelle est que la base de données signée McDonald’s, partiellement cryptée, est la plupart des informations contenues donc inutiles. «Un détail de sécurité que le pirate de diffuseur met entre les mains de ses camarades malveillants.

3 millions de données clients McDonalds France piraté et dans la nature.

Cependant, le Pirate a apparemment lancé un appel pour déchiffrer les informations. Il est de retour pour voir maintenant si les pirates pourront déchiffrer les informations du fichier qui pourraient être utilisées par des personnes malveillantes.

Piratage chez McDo.

Dans un message transféré à ses employés américains, McDonald’s a indiqué que les pirates ont pu accéder à certaines coordonnées professionnelles pour les employés et les franchisés, ainsi que des informations sur les restaurants, tels que le nombre de sièges et les terrains de jeux de la région. L’entreprise s’assure qu’aucune donnée n’a été volée aux États-Unis et que les données des employés n’étaient ni sensibles ni personnelles. Le groupe conseille aux employés et aux franchisés de prêter attention aux e-mails de phishing -e et d’être discrets lorsqu’on leur a demandé des informations.

Sur le côté de la Corée du Sud et de Taïwan, les pirates ont mis la main sur les adresses e-cail, les numéros de téléphone et les adresses de livraison des clients. Les branches coréennes et taïwanaises de McDonald’s ont informé les régulateurs de cette intrusion. Le groupe prévoit également de contacter ses employés en Afrique du Sud et en Russie car les pirates semblent avoir accès à leurs données.

Actuellement, il est impossible de savoir si les données seront vraiment « utilisables » ou non par des pirates. En attendant, il est évidemment fortement recommandé de changer rapidement votre mot de passe si vous êtes un successeur sincère de l’application McDonald’s (MCDO +) et si vous gardez ce cheeseburger gratuit acquis en utilisant vos points de fidélité.

Mais 2022 Hackers: Comment les pirates informatiques font leur beurre avec McDonald’s et les Points.

Catégories
Assurance Attaque Cybercriminels Déchiffrement Etude Evil Corp EvilQuest GandCrab Hakbit Hive informatique LockBit Mac MacOS maze Mobile Nefilim NetWalker PayloadBin prix Ragnar Locker Ransomware revil Ryuk Sauvegarde Sauvegarde informatique Sécurité Service informatique Shade sodinokibi SolarWinds Spectre Sunburst Technologie ThiefQuest

Conseils pour vous protéger des ransomwares

Avez-vous reçu un message douteux qui contient des pièces jointes ? Avez-vous trouvé une clé USB par hasard ? Prenez soin de ransomware ou rançongiciels ! Vos données peuvent être chiffrées et c’est le drame! Voici des conseils pour réduire les risques.

Conseils pour vous protéger des ransomwares

Qu’est-ce qu’un ransomware ou rançongiciels?

De plus en plus, vous recevez des messages douteux contenant des pièces jointes ou des liens qui vous invitent à les ouvrir. Il faut se méfier ! Malvey -Software appelé « rançon » ou « ransomware » peut s’y cacher. Leur objectif ? Cryptez (COD) vos données pour vous faire une rançon. Bien sûr, cela ne garantit pas la récupération de vos données. Il est donc préférable de vous protéger de ce type d’attaque.

Comment vous protéger des ransomwares?

Comment vous protéger des ransomwares?

Bonne attitude N ° 1:
Faites des sauvegardes régulières de vos données (eCura.fr)

C’est la meilleure façon de couper l’herbe sous le pied des pirates qui veulent prendre vos données comme otages! Déplacez la sauvegarde physique de votre réseau (hors du réseau), placez-la dans un endroit sûr et assurez-vous qu’il fonctionne!

Bonne attitude N ° 2:
N’ouvrez pas les messages dont l’origine ou le formulaire est discutable

Ne soyez pas trompé par un simple logo! Pire encore, le pirate a peut-être récupéré certaines de vos données plus tôt (par exemple, les noms de vos clients) et créer des adresses électroniques E qui ressemblent à un détail proche de vos interlocuteurs habituels.

Alors gardez beaucoup de vigilant! Certains messages semblent complètement authentiques.

Apprenez à identifier les emails E (ou d’autres formes de récupération de vos données) sur le site à l’Agence nationale pour les systèmes d’information (ANSSI).

Avez-vous des doutes? Contactez directement un informaticien. Services informatique Hyères

Bonne attitude N ° 3:
Apprenez à identifier les extensions douteuses

Vous recevez généralement des fichiers .doc ou .mp4 (par exemple) et le fichier de message que vous êtes dans le doute se termine par un autre type d’extension ? Ne les ouvrez pas ! Voici quelques exemples d’extensions douteuses: .pif, .com, .bat; .Exe, .vbs, .lnk, … Prenez soin de l’ouverture des pièces jointes du type .scr ou .cab. Comme l’agence nationale pour les systèmes d’information (ANSSI) se souvient, ce sont des extensions de compression des campagnes CTB-Locker qui rage entre les individus, les PME ou la mairie.

Bonne attitude N° 4 :
mettez à jour vos principaux outils

On ne vous le dira jamais assez : traitement de texte, lecteur PDF, navigateur, mais aussi antivirus… Veillez à mettre à jour vos logiciels !

Si possible, désactivez les macros des solutions de bureautique qui permettent d’effectuer des tâches de manière automatisée. Cette règle évitera en effet la propagation des rançongiciels via les vulnérabilités des applications.

Considérez que, d’une manière générale, les systèmes d’exploitation en fin de vie, qui ne sont plus mis à jour, donnent aux attaquants un moyen d’accès plus facile à vos systèmes.

Bonne attitude N ° 5 : Utilisez un compte « utilisateur » plutôt qu’un compte « administrateur »

Évitez de naviguer à partir d’un compte administrateur. L’administrateur d’un ordinateur a un certain nombre de privilèges, comme effectuer certaines actions ou accéder à certains fichiers cachés sur votre ordinateur. Préférez l’utilisation d’un compte utilisateur. Cela ralentira, même, découragera le voleur dans ses actes malveillants.

Catégories
Aérien Armée Attaque Banque Cybercriminels Déchiffrement Etude Europe Hôpital hyères informatique Mac MacOS Mairie Mobile Orange presse prix Professionnel Ransomware Sauvegarde Sauvegarde informatique Sécurité Service informatique Technologie Transport vidéo Ville de Hyères Windows

Le groupe d’ingénierie français Akka est affecté par une attaque au ransomware

Akka Technologies, un groupe d’ingénierie et de conseil français, a été frappé par une attaque de ransomware qui affectent une bonne partie de l’entreprise et les 21 000 employés.

Le groupe d’ingénierie français Akka est affecté par une attaque au ransomware

Akka est l’un des plus grands conseils technologiques et technologiques européens. Il vient d’être acheté par le groupe suisse Adecco, qui l’a retiré début mai à la Bourse. Adecco fusionnera l’entreprise avec sa filiale MODIS, qui se spécialise également dans l’ingénierie, pour créer un nouveau géant de service en technologie capable de rivaliser avec des acteurs plus importants dans le secteur tels que Cap Gemini.

Ingénierie, pour créer un nouveau géant de service dans une technique capable de concurrencer les plus grands acteurs du secteur en tant que Cap Gemini.

Il s’agit d’une attaque de ransomware où le pirate trouve les données sur sa victime et revendique une rançon pour donner les clés pour déchiffrer. Akka Technologies ne veut pas donner de détails sur l’étendue de l’attaque pour ne pas informer l’attaquant.

Catégories
Aérien Android Apple Armée Association Attaque Avaddon Bitcoins COVID-19 Déchiffrement Ekans Entreprise de construction Etude EvilQuest GandCrab Hakbit Hôpital hyères informatique Mac MacOS Mairie maze Nefilim NetWalker Non classé Orange presse prix Professionnel Ragnar Locker Ransomware revil Rugby Ryuk Sécurité Shade sodinokibi SolarWinds Spectre Sunburst Technologie ThiefQuest vidéo

Le coût des « piratages » professionnelles atteint un niveau record

Les grandes attaques des grandes entreprises et l’exposition de 50 à 65 millions d’enregistrements ont un prix élevé, jusqu’à 401 millions de dollars.

Selon une étude IBM, le coût moyen d’une attaque est de plus de 4 millions de dollars.

Le coût des piratages professionnelles atteint un niveau record

Le coût moyen d’une attaque a maintenant dépassé le barreau fatidique de 4 millions de dollars et a atteint un niveau record en vertu de la crise de la santé. Dans un rapport publié mercredi d’IBM, Big Blue estime que, en 2021, coûte une violation de données typique des entreprises de 4,24 millions USD. Le coût est de 10% supérieur à 2020.

En France, les secteurs les plus touchés sont des services financiers, du secteur pharmaceutique ainsi que de la technologie. Au niveau international, aux secteurs de la santé et des services financiers qui enregistrent les violations les plus chères.

Logiciels malveillants et hameçonnage

IBM estime qu’environ 60% des entreprises se sont tournées vers «Cloud» pour poursuivre leurs activités, bien que le renforcement du contrôle de la sécurité n’ait pas nécessairement suivi. Lorsque l’utilisation de travaux distants a explosé, elle était la même pour les infractions de données dont les quantités ont augmenté de 1 million de dollars – les taux les plus élevés de 4,96 millions de dollars contre 3, 89 millions de dollars.

Le vecteur d’attaque le plus courant des victimes de données d’un transfert de données est un compromis sur les informations d’identification, soit extraits des souches de données soumises, vendues ou obtenues par une attaque de force brute. Une fois que le réseau est infiltré, les informations personnelles identifiables (IPI) sont devenues des clients, notamment des noms et des adresses électroniques, volées dans près de la moitié des cas.

Services informatique Hyères

En 2021, il a fallu un total de 287 jours pour détecter et contenir une violation de données ou 7 jours de plus que l’année précédente. Au total, une organisation moyenne n’enregistrera pas d’entrer dans les 212 jours. Il ne sera donc pas capable de résoudre complètement le problème avant que 75 jours supplémentaires soient passés.

Les infractions de données dans le secteur de la santé ont été les plus chères, avec une moyenne de 9,23 millions de USD suivi des services financiers – 5,72 millions de dollars – et des médicaments, avec 5,04 millions de dollars.

Selon IBM, les entreprises qui utilisent des solutions de sécurité sont basées sur des algorithmes d’intelligence artificielle (AI), l’apprentissage automatique, l’analyse et le cryptage, ont tous diminué le coût potentiel d’une violation qui permet aux entreprises. Économisez en moyenne entre 0,1 25 et 1,49 million de dollars.

« L’augmentation des infractions de données sont une autre dépense supplémentaire pour les entreprises en fonction des changements technologiques rapides lors de la pandémie », a déclaré Chris McCurdy, vice-président de la sécurité IBM. « Bien que le coût des infractions de données ait atteint un niveau record au cours de la dernière année, le rapport a également démontré des signes positifs de l’impact des tactiques de sécurité modernes, telles que l’AI, l’automatisation et l’adoption d’une approche de confiance zéro – qui pourrait être payée en réduisant coûte ces incidents plus tard. « 

Catégories
Attaque hyères informatique Mac MacOS Mairie Orange Sécurité Service informatique

Evitez l’attaque qui efface les données d’un WD My Book Live

Ce fut une vilaine surprise pour certains utilisateurs de disques durs réseau Western Digital My Book Live dont le contenu a été automatiquement supprimé à distance dans le cadre d’une réinitialisation de leurs paramètres.

Le 23 juin, de nombreux utilisateurs de WD My Book Live ont eu une très mauvaise surprise lorsqu’ils ont découvert que toutes les données stockées sur leur disque dur réseau (NAS) avaient disparu. Et sans raison apparente, car ils n’avaient effectué aucune opération particulière. En quelques heures, les témoignages se sont multipliés en ligne et sur Twitter, prouvant qu’il ne s’agissait pas d’accidents isolés. Le forum de support de Western Digital, le fabricant de ces systèmes de stockage très populaires, s’est rapidement rempli de messages désespérés appelant à l’aide. « J’ai un WD My Book Live connecté à mon réseau local qui fonctionne bien depuis des années », écrit la personne qui a lancé le fil. « Je viens d’apprendre que toutes les données sont parties là-bas aujourd’hui : les catalogues semblent être là, mais ils sont vides. Auparavant, le volume de 2 To était presque plein : maintenant il est à pleine capacité. » Certains utilisateurs rapportent même que l’accès au NAS est désormais interdit, car l’appareil leur demande un nouveau mot de passe, qu’ils n’ont bien sûr pas. Bref, panique et catastrophe car les données supprimées sont perdues à jamais. Adieu documents, photos, vidéos et autres fichiers personnels collectés au fil des années sur ces appareils conçus uniquement pour effectuer des sauvegardes.

début Juillet WD a identifié l’erreur qui est considérée comme la source du piratage qui a entraîné la suppression de données à distance pour de nombreux utilisateurs de disques durs My Book Live. Ce bug a été introduit en 2011 par une mise à jour du firmware visant à améliorer le processus d’identification des utilisateurs. « Nous avons examiné les journaux que nous avons reçus des clients concernés pour comprendre et caractériser l’attaque. Ils montrent que les pirates sont directement connectés aux appareils My Book Live concernés à partir d’une variété d’adresses IP dans différents pays. » Explique l’entreprise.

Plus important encore, le fabricant annonce qu’une campagne gratuite de récupération de données débutera le mois prochain sans dire si toutes les personnes impliquées seront en mesure de retrouver toutes les données perdues. WD lancera également un programme de mise à niveau avantageux pour ces derniers et les encouragera à acquérir un NAS My Cloud à un prix préférentiel en échange de leur NAS My Book Live.

Pour plus d’informations, visitez la page d’assistance de Western Digital.

Catégories
Aérien Android Apple Association Attaque Bitcoins COVID-19 Ekans Entreprise de construction Etude EvilQuest GandCrab Hakbit Hôpital hyères informatique Mac MacOS Mairie maze Nefilim NetWalker Non classé Orange presse prix Professionnel Ragnar Locker Ransomware revil Ryuk Sécurité Service informatique Shade sodinokibi SolarWinds Sunburst Technologie ThiefQuest vidéo

Comment la vulnérabilité informatique est-elle mesurée?

Le score CVSS est utilisé presque systématiquement pour évaluer le danger des vulnérabilités. Mais savez-vous quel calcul se cache derrière le score sur 10?

Il faut dire que la cybersécurité regorge de termes spécifiques et autres acronymes (et anglophones, d’ailleurs) pour qualifier les scénarios d’attaque. On parle de RCE, XSS, de « web shell » ou même d’élévation de privilèges. Les balles d’avertissement sont le plus souvent destinées aux spécialistes et n’utilisent que du jargon. Ils soulignent rarement les risques concrets qu’une nouvelle vulnérabilité pose au public.

SUITE… Avec Numerama.com

Catégories
Attaque Etude Hôpital hyères informatique Mac Mairie maze Orange presse prix Professionnel Ragnar Locker Ransomware Ryuk Service informatique Technologie

Des auteurs de ransomwares arrêtés en Ukraine

La police ukrainienne a arrêté le 9 février plusieurs membres d’un groupe de cybercriminels à l’origine de plusieurs attaques informatiques dans le monde, dont le quotidien Ouest France, la police et des sources proches ont raconté l’affaire ce jeudi.

Cette « opération internationale », menée en coordination avec les policiers français et ukrainiens ainsi qu’avec le FBI, a mis un terme à la diffusion du ransomware appelé « Egregor », décrit la police dans un communiqué.

Piratage informatique

Au moins 150 entreprises ont été attaquées, principalement aux États-Unis et en Europe, avec des pertes estimées à environ 66 millions d’euros, selon les premiers éléments de l’étude publiée par les services de sécurité ukrainiens (SBU). Selon une source proche du dossier, au moins trois personnes ont été arrêtées dans cet acte. Les domiciles des suspects ont été perquisitionnés et le matériel informatique saisi est « toujours utilisé » par les enquêteurs français envoyés sur les lieux, selon la police.

Les solutions de sécurité informatique Hyères

C’est un rapport d’Europol en septembre qui a conduit le parquet de Paris à ouvrir une enquête en France, remise à la sous-direction cybercriminalité (SDLC). Le groupe a pratiqué la technique de la « double extorsion »: d’une part le cryptage et le vol des données de l’entreprise ciblée, d’autre part la menace de publier ces données compromises sur un site internet si l’entreprise refusait de payer une rançon en bitcoins, le la plus célèbre des monnaies virtuelles.

Le ransomware s’est propagé par pré-intrusion « via l’envoi d’e-mails de phishing et un accès à distance Windows mal sécurisé au bureau », a déclaré la police française. Particulièrement sophistiqué, « Egregor » pourrait prendre le contrôle des imprimantes connectées aux ordinateurs infectés et imprimer la rançon, « amplifiant encore l’impact psychologique de l’extorsion », a déclaré la même source.

Plusieurs entreprises françaises ont été visées par «Egregor», dont le quotidien Ouest France, le transporteur Gefco et le géant du jeu vidéo Ubisoft. Deux attaques de ransomware ont été ciblées ces derniers jours contre des hôpitaux de Villefranche-sur-Saône (Rhône) et de Dax (Landes), mais elles ne portent pas la signature «Egregor». Il a travaillé sur le modèle du logiciel à la demande (Raas, Ransomware as a Service): ses créateurs l’ont mis à disposition d’autres hackers, «affiliés», qui ont pris la responsabilité des attaques avant de partager les bénéfices.

Les détenus font partie « plutôt que de l’équipe de conception et de production », a déclaré Catherine Chambon, directrice adjointe de la lutte contre la cybercriminalité à la magistrature centrale. Si Catherine Chambon qualifie l’opération contre «Egregor» de «démantèlement assez efficace», elle exhorte à rester «très prudente et modeste» sur ce qui ressemble à «un brouillard».

L’origine du mal

Selon l’Agence nationale de sécurité des systèmes d’information (Anssi), « Egregor serait lié à la fin de l’activité du groupe d’attaquants derrière le ransomware Maze », notamment à l’origine d’une attaque contre Bouygues Construction en janvier 2020. À son tour,  » Egregor « pourrait-il renaître sous une autre forme? « Il est possible que ce soit la vie d’un ransomware », a répondu Catherine Chambon. «L’idée est de mettre progressivement en sécurité les cybercriminels afin qu’ils se sentent moins impunis. Même si, une fois qu’il y a un crime, il a peu de chances de disparaître ».

Catégories
Android Apple Attaque Bitcoins COVID-19 Ekans Etude EvilQuest GandCrab Hakbit Hôpital hyères informatique Mac MacOS Mairie maze Nefilim NetWalker Non classé Orange prix Ragnar Locker Ransomware revil Ryuk Sécurité Service informatique Shade sodinokibi Technologie ThiefQuest vidéo

Ryuk LE ransomware 2020?

Anssi a publié un nouveau rapport, cette fois axé sur l’activité ransomware de Ryuk. Particulièrement impliqué dans l’attaque de Sopra Steria en France, ce logiciel malveillant se distingue de la concurrence et ne se contente pas de dupliquer les méthodes de ses concurrents.

Ryuk LE ransomware 2020?

Ryuk est un ransomware actif depuis 2018 et dont les opérateurs sont particulièrement actifs. C’est ce qui a valu le titre de «ransomware le plus rentable» selon le FBI en 2018 et généré plus de 61 millions de dollars de rançon entre février 2018 et octobre 2019.

Cependant, Ryuk n’aborde pas les méthodes qui ont fait le succès de groupes malveillants comme Maze ou Revil: pas de chantage pour le vol de données, pas de place pour montrer les victimes ou les communiqués de presse ici. Pourtant, ce ransomware, qui est actif depuis deux ans maintenant, reste une menace majeure, et Anssi a publié un rapport de statut.

Ryuk est un ransomware dont le but est de crypter les données de la victime pour exiger une rançon. Anssi indique que les cibles privilégiées des opérateurs de ce ransomware sont les grandes entreprises capables de payer les grosses rançons requises, principalement aux États-Unis et au Canada. L’agence note également que les opérateurs de Ryuk ne réservent pas d’autres groupes vis-à-vis des établissements de santé: « en octobre 2020, Ryuk serait responsable de 75% des attaques sur le secteur de la santé qu’il attaquerait depuis le premier semestre 2019 ». Des dizaines d’hôpitaux américains ont été victimes d’une campagne de Ryuk au début d’octobre visant les services dans les hôpitaux de l’UHS. Le FBI et le CISA américain ont également mis en garde contre le risque de nouvelles attaques basées sur Ryuk dans un nouveau communiqué d’information publié fin octobre.

Trickbot, Emotet et le bazar
Comme de nombreux ransomwares, Ryuk n’est que la dernière étape d’une chaîne d’infection multi-malware. Les auteurs du rapport indiquent que l’infection Trickbot, au moins jusqu’en septembre 2020, aurait été le point d’entrée privilégié des opérateurs Ryuk pour s’implanter dans les réseaux d’entreprise. Trickbot, avec Emotet et bien d’autres, est un malware de type chargeur qui se propage généralement via des campagnes de courrier électronique malveillantes pour infecter un appareil cible, puis se propager à travers le réseau interne d’une victime et se déplacer jusqu’à ce qu’il compromette un contrôleur de domaine. La dernière étape est la mise en œuvre du ransomware, le cryptage des machines et la demande de rançon. Et si ce type d’attaque prend généralement du temps, certains opérateurs Ryuk se démarquent par leur rapidité: Anssi indique ainsi que dans certains cas le temps de la première infection et du cryptage est réduit de quelques jours. (2 à 5) en trois heures ».

En 2020, cependant, les opérateurs de Ryuk semblent s’être progressivement tournés vers un nouveau chargeur, connu sous le nom de BazarLoader, actif depuis mars 2020. «Comme TrickBot, Bazar serait utilisé comme un accès en tant que service pour faire des compromis ou même qualifier un SI pour le compte d’autres groupes d’attaquants. On ne sait pas si BazarLoader, comme TrickBot, fonctionne également sur un modèle d’affiliation », précise l’agence, qui précise que le logiciel est principalement distribué par le groupe derrière Trickbot. D’autres chargeurs ont également été identifiés dans des attaques impliquant le malware Ryuk: Buer et Le logiciel Silent Night a également été utilisé dans l’attaque qui a implémenté Ryuk.

Raas ou pas Raas, c’est la question
L’un des points qui sépare Ryuk du reste de l’écosystème de la cybercriminalité des groupes de ransomware est la question du modèle commercial de Ryuk. Pour de nombreux ransomwares apparus ces derniers mois, le modèle économique utilisé est généralement celui de RaaS (Ransomware as a service): le groupe à l’origine des ransomwares commercialise ses logiciels sur des forums clandestins auprès d’autres groupes, qui s’assurent ensuite de les diffuser réseaux informatiques de leurs victimes.

Pour Anssi, Ryuk n’est « pas officiellement un RaaS »: l’agence déclare ainsi qu’elle n’a observé aucune promotion des opérateurs Ryuk sur les forums clandestins. Ryuk est néanmoins exploité par plusieurs acteurs malveillants, selon Anssi. S’il n’est pas vendu au public, il pourrait être mis à la disposition de partenaires de confiance par le créateur du code malveillant, ou il pourrait être exploité indépendamment par plusieurs groupes à l’aide d’outils et de formes de propagation communs. .

Il est donc difficile de savoir qui tire exactement les fils de Ryuk: le rapport de l’agence met en évidence le rôle central joué par deux acteurs malveillants, le groupe WizardSpider derrière Trickbot et le groupe identifié comme UNC1878. Selon FireEye, ce dernier groupe est responsable de 83% des attaques impliquant Ryuk. L’agence note également l’implication d’autres groupes tels que FIN6 dans la prolifération du ransomware Ryuk ainsi que du code et des méthodologies entre Ryuk et un autre ransomware connu sous le nom de Conti. Si Ryuk n’est pas «officiellement un RaaS», il n’en est pas moins un acteur profondément enraciné dans la sphère de la cybercriminalité et avec de nombreux liens avec des groupes tiers.

Catégories
Apple informatique Mac MacOS Ragnar Locker Ransomware Sécurité Technologie vidéo

Capcom confirme le ransomware et le vol des données

La cyberattaque contre Capcom était en fait une cyberattaque par ransomware combinée à un vol des données. Les données de centaines de milliers de personnes sont compromises.

Plus tôt ce mois-ci, l’éditeur de jeux vidéo japonais Capcom – surtout connu pour ses franchises Street Fighter et Resident Evil – a déclaré avoir été victime d’une cyberattaque avec un piratage de son système d’information.

Les communications de Capcom étaient censées être assez rassurantes, tandis que des rapports commençaient simultanément à circuler sur une cyberattaque de ransomware (Ragnar Locker) et un filtrage de données à partir de réseaux au Japon, aux États-Unis et au Canada.

Plus tôt cette semaine, Capcom a fait une nouvelle communication. L’éditeur confirme avoir été victime d’une cyberattaque par ransomware et ajoute que des données personnelles ont été compromises.

Capcom a pu vérifier que les informations personnelles de neuf employés (anciens et actuels) étaient compromises, ainsi que les informations financières et les rapports de vente. Dans une section de données potentiellement compromise, Capcom classe les cas pour près de 350 000 personnes.

Dans ce cas, il s’agit de clients, de partenaires commerciaux, d’actionnaires ou même d’anciens salariés. Essentiellement au Japon et en Amérique du Nord, ce sont principalement des noms, des adresses électroniques et postales, des numéros de téléphone, des dates de naissance et même des photos.

Toujours dans le registre des données potentiellement compromises, Capcom ajoute que près de 14 000 personnes sont associées aux ressources humaines ainsi qu’à tout un ensemble de documents internes confidentiels.

Une combinaison de ransomware et de vol des données
Rappelons que Capcom avait initialement précisé qu’il n’y avait actuellement aucune indication d’un compromis sur les données clients. Le discours a considérablement changé. En revanche, Capcom – qui s’excuse – évite le risque de compromis avec les données bancaires ou de paiement. Tout simplement parce que Capcom ne stocke pas ces informations en interne.

Capcom travaille avec les forces de l’ordre au Japon et aux États-Unis. Les attaquants derrière le ransomware Ragnar Locker avaient en fait adressé une demande de rançon à Capcom pour le retour de données volées et la fourniture d’un outil de décryptage.

L’enquête sur l’incident de sécurité et les données exfiltrées a été entravée par le cryptage des données sur les serveurs et la suppression des journaux d’accès lors de la cyberattaque. Capcom a visiblement décidé de ne pas céder au chantage des attaquants. Ce n’est pas toujours le cas. En retour, les données exfiltrées sont mises en ligne.

Catégories
Android Apple Association Bitcoins COVID-19 Ekans hyères informatique Mac MacOS Ragnar Locker Ransomware revil Sécurité sodinokibi Technologie vidéo

Mattel a été victime cet été d’un ransomware

Le fabricant de jouets a été victime d’une attaque de ransomware l’été dernier. L’attaque a été rapidement interrompue et n’a eu aucun impact significatif sur l’entreprise.

Mattel a contenu l’attaque d’un ransomware

Le fabricant de jouets américain Mattel a révélé mercredi qu’il avait subi une attaque de ransomware qui paralysait certaines fonctions commerciales. Néanmoins, la société affirme s’être remise de l’attaque sans pertes financières importantes.

Mattel a contenu l’attaque
L’incident a eu lieu le 28 juillet, selon un formulaire trimestriel 10-Q, que la société a déposé plus tôt dans la journée auprès de la Securities and Exchange Commission des États-Unis.

Mattel a déclaré que l’attaque par ransomware avait initialement réussi et chiffré certains de ses systèmes.

«Après la découverte de l’attaque, Mattel a commencé à mettre en œuvre ses protocoles de réponse et à prendre une série d’actions pour arrêter l’attaque et restaurer les systèmes affectés. Mattel a contenu l’attaque et, bien que certaines fonctions commerciales aient été temporairement affectées, Mattel a rétabli les opérations », explique la société.

Aucun impact sérieux
Depuis plus d’un an, les gangs de ransomwares volent des données et se lancent dans un double stratagème d’extorsion qui menace de publier les données de l’entreprise piratée sur des sites Web publics appelés «sites de fuite» à moins que les victimes ne paient la rançon souhaitée.

Cependant, le fabricant de jouets explique qu’une enquête ultérieure a conclu que le gang de ransomwares derrière le cambriolage de juillet n’avait volé « aucune donnée commerciale sensible ou des données sur les clients, fournisseurs, consommateurs ou employés ». .

Dans l’ensemble, Mattel semble avoir échappé à l’incident avec seulement un bref temps d’arrêt et sans aucune blessure grave, ce qui est rarement suffisant pour être stressé. De nombreux exemples montrent des pertes financières de plusieurs dizaines de milliers de millions de dollars, comme c’est le cas avec Cognizant ou Norsk Hydro. Mattel souligne que l’attaque du ransomware a légèrement « eu aucun impact significatif sur ses opérations ou sa situation financière. »