Les rangées sont retournées à la catégorie des « Grandes personnes à la chasse ». L’importance de leur objectif continue de croître et des dommages dépassant la simple perte de données ou de paiement d’une rançon (productivité, revenus, réputation et responsabilité). Quels sont les outils légaux, les droits et les obligations de savoir?
Par Me Pierre-Randolph Dufau Avocat à la cour, fondateur de la SELAS PRD avocats
Le juge français ne semble pas être déterminé à permettre aux entreprises, aux victimes d’une telle attaque, de tirer parti de la force majeure pour débarrasser leurs responsabilités contractuelles (Cour d’appel de Paris, le 7 février 2020). Au contraire, la tendance de la jurisprudence est d’exiger davantage de prévention, d’obligations et de responsabilités. SUITE ET LIEN
Programmes de phishing, campagnes de logiciels malveillantes et autres opérations utilisent un nombre total de travailleurs ombragers. Pour leur offrir de meilleures opportunités de travail légitimes pourraient aider à réduire le crime?
Une collaboration de recherche avec l’Université technique tchèque à Prague et GoSecure et SecureWorks entreprises de sécurité Cyber a analysé les activités des personnes en marge de la cybercriminalité, les projets sous – jacents tels que la création de sites Web, finissent par être utilisés pour des attaques de phishing, les affiliés Systèmes pour diriger le trafic sur les sites Web compromis ou contrefaits ou écrire sur le code trouvé dans les logiciels malveillants.
Les gens sur l’origine de ces projets font parce qu’il est un moyen facile de gagner de l’argent. Mais faire ce travail, ils jettent les bases de campagnes malveillantes pour les cyber-criminels.
Un regard sur le web L’étude, Mass Effect: Comment Opporitistic travailleurs conduisent dans la cybercriminalité et présenté au Black Hat États-Unis, trouve ses origines dans une analyse de l’Université technique tchèque qui a révélé des roues geost, un botnet et une campagne de logiciels malveillants Android comme des centaines infectés de milliers d’utilisateurs. Ce travail a permis aux chercheurs d’examiner les journaux pour certaines des personnes impliquées.
Ils ont pu trouver des traces de personnes dans ces journaux sur des forums en ligne et d’autres plates-formes de discussion et avoir une idée de leurs motivations.
«Nous avons commencé à comprendre que même s’ils étaient impliqués dans la diffusion de programmes malveillants, ils n’étaient pas nécessairement cerveaux, mais plutôt des travailleurs informels, ceux qui travaillent sur de petits projets», a déclaré Masarah Forfait-Clouston, chercheur de sécurité à Gosécur.
Bien que ces personnes sont au bas de la hiérarchie, ils exécutent des tâches utiles pour les cyber-criminels à des sites d’utilisation et d’outils, ils créent des activités malveillantes, y compris le phishing et les logiciels malveillants communication.
« Ils essaient de gagner leur vie et peut – être le salaire du crime mieux, donc ils vont là – bas, » a déclaré Sebastian Garcia, professeur adjoint à l’Université technique tchèque, affirmant que nous devons accorder plus d’ attention aux personnes qui oscillent entre la cybercriminalité et l’ activité juridique.
« Il y a beaucoup de gens dans ces forums publics que les sociétés de sécurité ne se rapportent pas, mais ce sont ceux qui soutiennent la majorité du travail, la création de pages web pour les e – mails de phishing, l’ APK, le cryptage, les logiciels malveillants, mulet, » dit – il.
L’arbre qui dissimule la forêt « Si nous nous concentrons toujours sur des cerveaux » délinquants motivés « qui ont vraiment développé le Botnemetten et les moyens de gagner de l’argent avec tout cela, nous oublions les travailleurs », avertit M. Paquet-Clouston. « En tant que société, nous oublions souvent que beaucoup de gens sont impliqués et que ce n’est pas nécessairement des personnes très motivées, mais plutôt ceux qui finissent par faire l’activité », a-t-elle déclaré.
Mais cela ne signifie pas nécessairement que les personnes impliquées dans ces systèmes doivent être traitées comme des cybercriminels de vol élevé, en particulier lorsque certains ne savent même pas que leurs compétences sont utilisées pour la cybercriminalité.
En fait, il serait possible de donner à bon nombre de ces personnes la possibilité d’utiliser leurs avantages de compétences plutôt que de les utiliser pour l’aider à la criminalité.
Les grandes attaques des grandes entreprises et l’exposition de 50 à 65 millions d’enregistrements ont un prix élevé, jusqu’à 401 millions de dollars.
Selon une étude IBM, le coût moyen d’une attaque est de plus de 4 millions de dollars.
Le coût des piratages professionnelles atteint un niveau record
Le coût moyen d’une attaque a maintenant dépassé le barreau fatidique de 4 millions de dollars et a atteint un niveau record en vertu de la crise de la santé. Dans un rapport publié mercredi d’IBM, Big Blue estime que, en 2021, coûte une violation de données typique des entreprises de 4,24 millions USD. Le coût est de 10% supérieur à 2020.
En France, les secteurs les plus touchés sont des services financiers, du secteur pharmaceutique ainsi que de la technologie. Au niveau international, aux secteurs de la santé et des services financiers qui enregistrent les violations les plus chères.
Logiciels malveillants et hameçonnage
IBM estime qu’environ 60% des entreprises se sont tournées vers «Cloud» pour poursuivre leurs activités, bien que le renforcement du contrôle de la sécurité n’ait pas nécessairement suivi. Lorsque l’utilisation de travaux distants a explosé, elle était la même pour les infractions de données dont les quantités ont augmenté de 1 million de dollars – les taux les plus élevés de 4,96 millions de dollars contre 3, 89 millions de dollars.
Le vecteur d’attaque le plus courant des victimes de données d’un transfert de données est un compromis sur les informations d’identification, soit extraits des souches de données soumises, vendues ou obtenues par une attaque de force brute. Une fois que le réseau est infiltré, les informations personnelles identifiables (IPI) sont devenues des clients, notamment des noms et des adresses électroniques, volées dans près de la moitié des cas.
En 2021, il a fallu un total de 287 jours pour détecter et contenir une violation de données ou 7 jours de plus que l’année précédente. Au total, une organisation moyenne n’enregistrera pas d’entrer dans les 212 jours. Il ne sera donc pas capable de résoudre complètement le problème avant que 75 jours supplémentaires soient passés.
Les infractions de données dans le secteur de la santé ont été les plus chères, avec une moyenne de 9,23 millions de USD suivi des services financiers – 5,72 millions de dollars – et des médicaments, avec 5,04 millions de dollars.
Selon IBM, les entreprises qui utilisent des solutions de sécurité sont basées sur des algorithmes d’intelligence artificielle (AI), l’apprentissage automatique, l’analyse et le cryptage, ont tous diminué le coût potentiel d’une violation qui permet aux entreprises. Économisez en moyenne entre 0,1 25 et 1,49 million de dollars.
« L’augmentation des infractions de données sont une autre dépense supplémentaire pour les entreprises en fonction des changements technologiques rapides lors de la pandémie », a déclaré Chris McCurdy, vice-président de la sécurité IBM. « Bien que le coût des infractions de données ait atteint un niveau record au cours de la dernière année, le rapport a également démontré des signes positifs de l’impact des tactiques de sécurité modernes, telles que l’AI, l’automatisation et l’adoption d’une approche de confiance zéro – qui pourrait être payée en réduisant coûte ces incidents plus tard. «
BackdoorDiplomacy ne coupe pas les cheveux en quatre en matière de cyberespionnage.
Ce nouveau groupe de hackers vise les diplomates européens
Un groupe de cyberattaques récemment découvert cible des diplomates européens, africains et moyen-orientaux. Mis en évidence jeudi par des chercheurs d’ESET, le groupe appelé BackdoorDiplomacy, a été lié à des attaques réussies contre des ministères des Affaires étrangères dans de nombreux pays d’Afrique, du Moyen-Orient, d’Europe et d’Asie ainsi que contre un petit sous-ensemble d’entreprises de télécommunications en Afrique et au moins un organisme de bienfaisance au Moyen-Orient.
Selon les chercheurs d’ESET, ce groupe est opérationnel depuis au moins 2017. Il cible à la fois les systèmes Linux et Windows et semble préférer exploiter les appareils vulnérables face à Internet comme vecteur d’attaque initial.
S’il trouve des serveurs Web ou des interfaces de gestion de réseau présentant des points faibles, tels que Des problèmes logiciels ou une mauvaise sécurité de téléchargement de fichiers affectent le groupe. Dans un cas observé par ESET, un bogue appelé F5 – CVE-2020-5902 – a été utilisé pour déployer une porte dérobée Linux, tandis que BackdoorDiplomacy dans un autre cas a adopté les vulnérabilités du serveur Microsoft Exchange pour déployer China Chopper, un webshell.
Bien que BackdoorDiplomacy ait été enregistré en tant que groupe de hackers à part entière, il semble avoir des connexions ou au moins quelque chose en commun avec d’autres groupes. Le protocole de chiffrement du réseau utilisé par APT est presque identique à celui utilisé par la porte dérobée Whitebird du groupe Calypso, et ce malware a été déployé contre des cibles diplomatiques au Kazakhstan et au Kirghizistan dans les années 2017-2020.
En outre, ESET pense avoir des points communs avec CloudComputating / Platinum, qui a ciblé les organisations diplomatiques, gouvernementales et militaires en Asie au cours des années précédentes. D’autres index de codage et de mécanisme sont similaires à Rehashed Rat et MirageFox – également connus sous le nom d’APT15.
Dans le cadre d’autres recherches menées ce mois-ci, Check Point Research a découvert une nouvelle porte dérobée développée par des acteurs chinois de la menace pour une période de trois ans. Le malware, appelé VictoryDll_x86.dll, a été utilisé pour compromettre un réseau appartenant au département d’État d’un gouvernement d’Asie du Sud-Est.
De temps en temps, les attaquants analysent l’appareil pour un déplacement latéral, installent une porte dérobée personnalisée et mettent en œuvre une variété d’outils pour effectuer la surveillance et le vol de données. La porte dérobée, appelée Turian, serait basée sur la porte dérobée Quarian, un malware associé à des attaques contre des cibles diplomatiques en Syrie et aux États-Unis en 2013. L’implant principal est capable de récolter et d’exfiltrer des systèmes informatiques, de prendre des captures d’écran, mais aussi d’écraser. , déplacer/supprimer ou voler des fichiers.
Certains des outils utilisés incluent EarthWorm Network Tunnel Software, Mimikatz, NetCat et des logiciels développés par la National Security Agency (NSA) des États-Unis et dévoilés par ShadowBrokers, tels que EternalBlue, DoublePulsar et EternalRocks. VMProtect a dans la plupart des cas été utilisé pour essayer de cacher les activités du groupe.
Les diplomates peuvent avoir besoin de gérer des informations sensibles transmises via des disques et des supports de stockage amovibles. Pour étendre la portée de ses activités de cyber-espionnage, BackdoorDiplomacy recherche les clés USB et tente de copier les fichiers qu’elles contiennent dans une archive protégée par mot de passe, qui est ensuite envoyée à un centre de commande et de contrôle (C2) via la porte dérobée.
Le score CVSS est utilisé presque systématiquement pour évaluer le danger des vulnérabilités. Mais savez-vous quel calcul se cache derrière le score sur 10?
Il faut dire que la cybersécurité regorge de termes spécifiques et autres acronymes (et anglophones, d’ailleurs) pour qualifier les scénarios d’attaque. On parle de RCE, XSS, de « web shell » ou même d’élévation de privilèges. Les balles d’avertissement sont le plus souvent destinées aux spécialistes et n’utilisent que du jargon. Ils soulignent rarement les risques concrets qu’une nouvelle vulnérabilité pose au public.
Des entreprises françaises ont été victimes d’une longue campagne de cyberattaques. Une intrusion via la solution de surveillance Centreon et un état de fonctionnement de sandworm faisant référence à un groupe de cyberespionnage russe.
MAJ: » L’attaque concerne une version open source obsolète du logiciel, déployée sans respect des recommandations d’hygiène de l’Anssi. Les clients de Centreon ne sont pas concernés. »
L’Agence nationale de sécurité des systèmes d’information (Anssi) a mis en garde lundi contre la découverte d’un piratage informatique « affectant plusieurs appareils français » via le logiciel français Centreon, qui compte parmi ses clients de grandes entreprises et le ministère de la Justice. LIEN
L’attaque, qui a duré de fin 2017 à 2020, « rappelle les méthodes déjà utilisées par le groupe de renseignement russe Sandworm, mais elle ne garantit pas qu’il s’agit bien de lui », a déclaré Gérome Billois, spécialiste de la cybersécurité de Wavestone. . La durée de l’attaque avant sa découverte suggère que les attaquants sont « extrêmement discrets, plutôt connus pour être dans la logique du vol de données et de renseignements », a-t-il ajouté.
Air France, Airbus, EDF, Orange, RATP, Thales ou encore Total sont quelques-uns des noms utilisant Centreon, ainsi que le ministère de la Justice. Centreon revendique plus de 600 clients dans le monde, dont 70% ont leur siège en France.
Le policier de la cybersécurité en France fait des compromis qui ont été identifiés fin 2017 et jusqu’en 2020. C’est donc une découverte tardive qui indique une campagne de cyberattaque particulièrement discrète.
L’affaire rappelle l’énorme cyberattaque attribuée à la Russie, qui visait les États-Unis en 2020, alors que des pirates informatiques exploitaient une mise à jour d’un logiciel de surveillance développé par une société texane, SolarWinds, et utilisé par des dizaines de milliers d’entreprises et d’administrations à travers le monde.
L’attaque «a mis à plat les systèmes informatiques et le téléphone de l’hôpital avec un danger évident et évident pour les soins aux patients».
Après des mois d’attaques massives de ransomwares contre des entreprises et organisations françaises, un hôpital entier est désormais bloqué par une attaque informatique. Un ransomware bloque depuis mardi le fonctionnement du système informatique de l’hôpital de la ville de Dax (Landes). Le seul moyen de contacter l’hôpital est donc désormais le 15 ou le compte Twitter de l’entreprise.
« Au vu de l’ampleur de l’attaque », le parquet de Dax, qui avait initialement saisi l’enquête pour « accès frauduleux à un système de traitement automatisé de données », avait renoncé à compétence au profit du parquet de Paris, qui a compétence nationale en matière de cybercriminalité, A déclaré l’AFP. L’attaque «a mis à plat les systèmes informatiques et le téléphone de l’hôpital avec un danger évident et évident pour les soins aux patients».
Le malware a chiffré le contenu des disques durs sur la plupart des ordinateurs de l’établissement. « Les données n’ont pas été volées, elles sont toujours sur nos serveurs, mais elles sont cryptées et donc plus disponibles », a déclaré Aline Gilet-Caubère, directrice générale adjointe de l’hôpital du Sud Ouest.
L’attaque a des conséquences sur les soins
Outre le système informatique et le système téléphonique, l’attaque aura des conséquences sur les soins. Les outils de stérilisation, par exemple, mais aussi ceux de radiothérapie et de chimiothérapie, sont indirectement affectés par cette attaque. Le centre de vaccination Covid-19 de l’hôpital a également été contraint de fermer ses portes.
Des experts de l’Agence nationale de sécurité des systèmes d’information (Anssi) sont prêts à tenter de reprendre le contrôle. L’intervention de l’Agence dans ce type de situation a presque doublé en un an.
En septembre 2020, une attaque de ransomware contre un hôpital allemand a entraîné la mort. La patiente, qui avait besoin de soins médicaux d’urgence, était décédée après avoir été détournée vers un hôpital de la ville de Wuppertal, à plus de 30 km de sa destination d’origine, l’hôpital universitaire de Düsseldorf, qui a été victime d’une cyberattaque. C’était la première fois qu’une mort humaine était signalée comme étant indirectement causée par une attaque de ransomware.
Les attaques de ce type se sont multipliées ces dernières années. Le fonctionnement du CHU de Rouen a été gravement perturbé en 2019 après une attaque similaire. Des experts d’Anssi sont également intervenus, et la variante de ransomware utilisée aurait été Cryptomix Clop. En décembre 2020, les hôpitaux de Narbonne (Aude) et d’Albertville-Moûtiers (Savoie) avaient également été touchés par des ransomwares.
Face à ces attaques, la tentation de payer pour la récupération de données est grande. Mais en 2017, le Kansas Heart Hospital (Witchita, Kansas) a payé pour récupérer ses données en vain. Les ravisseurs ont refusé de déverrouiller le système d’information retenu en otage une fois la rançon payée et ont exigé un nouveau paiement.
En novembre 2020, Capcom a subi une attaque majeure sur ses serveurs. Et si l’on en croit les dernières informations sur ce sujet, des dizaines de milliers de personnes ont été touchées.
Jeux vidéo
Lors de cette cyberattaque, dont l’éditeur japonais a été victime, de nombreuses données personnelles ont été volées à la fois aux employés et aux utilisateurs. Les noms et adresses de ces derniers se rapportent. De plus, des informations confidentielles sur divers jeux comme Resident Evil Village et Monster Hunter Rise sont apparues sur Internet après l’incident.
Malheureusement, cet accident a eu plus de conséquences que prévu. Aujourd’hui, Capcom affirme qu’environ 390 000 personnes ont été directement touchées par la cyberattaque. C’est 40 000 de plus par rapport au communiqué de presse précédent. Les pirates ont également volé des documents financiers appartenant à l’entreprise.
134 000 joueurs touchés
En détail, Capcom mentionne le fait que les informations personnelles de 3 248 partenaires commerciaux, 3 994 employés et 9 164 anciens employés ont été volées de cette manière. En termes de joueurs, 134 000 fichiers ont été volés au service client japonais, 14 000 sur la boutique en ligne nord-américaine et 4 000 sur le site d’esports.
Dans combien de temps devriez-vous recevoir un ransomware, le groupe Sprite Spider émerge de l’ombre. Son point fort: utilise désormais un package de code ransomware efficace et difficile à détecter.
Lors de la récente conférence SANS Cyber Threat Intelligence, deux responsables de la cybersécurité de CrowdStrike, Sergei Frankoff et Eric Loui, respectivement chercheur principal en sécurité et analyste principal du renseignement, ont donné des détails sur un nouveau joueur majeur de ransomware nommé Sprite Spider. Comme beaucoup d’autres attaquants de ransomwares, la cybercriminalité derrière les attaques de Sprite Spider s’est rapidement développée en capacité de sophistication et de négociation depuis 2015. Aujourd’hui, Sprite Spider est même sur le point de devenir l’un des plus importants. Acteurs de menace de ransomware 2021 avec un profil de menace comparable à celui des acteurs APT il y a cinq ou dix ans. L’émergence de Sprite Spider n’est pas surprenante étant donné – comme beaucoup d’autres gangs de ransomwares organisés – qu’elle attire des hackers qui sont souvent embauchés et payés par des acteurs travaillant pour le compte d’un pouvoir étatique. LIEN
Suite à l’invasion d’entreprises à travers le monde, on dit que le groupe de rançongiciels Ryuk a mis 150 millions de dollars dans la poche avec le paiement d’une rançon.
Les opérateurs de ransomware Ryuk auraient gagné plus de 150 millions de dollars en Bitcoin en payant de l’argent de piratage à des entreprises du monde entier.
c’est pas très clair!
La société de renseignement sur les menaces Advanced Intelligence (AdvIntel) et la société de cybersécurité HYAS ont publié jeudi une étude qui suit les paiements effectués sur 61 adresses Bitcoin, précédemment attribuées et liées aux attaques de ransomware de Ryuk.
« Ryuk reçoit une partie importante de la rançon d’un courtier bien connu qui effectue des paiements au nom des victimes du ransomware », affirment les deux sociétés. «Ces paiements s’élèvent parfois à des millions de dollars, mais ils se comptent généralement par centaines de milliers. «
AdvIntel et HYAS expliquent que les fonds extorqués sont collectés sur des comptes de dépôt, puis transférés au blanchiment d’argent. Ensuite, soit ils retournent au marché noir et sont utilisés pour payer d’autres services criminels, soit ils sont échangés dans un véritable échange de crypto-monnaie.
Mais ce qui a le plus attiré l’attention des enquêteurs, c’est que Ryuk a converti son Bitcoin en véritable monnaie fiduciaire à l’aide de portails de crypto-monnaie bien connus tels que Binance et Huobi – probablement via des identités volées. D’autres groupes de ransomwares préfèrent généralement utiliser des services d’échange plus obscurs.
Cette enquête met également à jour nos chiffres sur les activités de Ryuk. Les derniers chiffres étaient datés de février 2020, après que des collaborateurs du FBI se soient exprimés lors de la conférence RSA. À l’époque, le FBI affirmait que Ryuk était de loin le groupe de ransomware actif le plus rentable avec plus de 61,26 millions de dollars générés entre février 2018 et octobre 2019, selon les plaintes reçues par son «Internet Crime Complaint Center».
Cette nouvelle étude de 150 millions de dollars montre clairement que Ryuk a conservé sa place au sommet, du moins pour le moment.
Au cours de l’année écoulée, d’autres groupes de ransomwares – tels que REvil, Maze et Egregor – se sont également fait un nom et ont été très actifs et ont infecté des centaines d’entreprises. Cependant, à l’heure actuelle, aucun rapport ne permet d’estimer les sommes déclarées de ces groupes. L’enquête la plus récente de ce type était celle de la société de cybersécurité McAfee, publiée en août 2020, qui estimait que le groupe de ransomware Netwalker avait accumulé environ 25 millions de dollars de rançon entre mars et août 2020.
Anssi a publié un nouveau rapport, cette fois axé sur l’activité ransomware de Ryuk. Particulièrement impliqué dans l’attaque de Sopra Steria en France, ce logiciel malveillant se distingue de la concurrence et ne se contente pas de dupliquer les méthodes de ses concurrents.
Ryuk LE ransomware 2020?
Ryuk est un ransomware actif depuis 2018 et dont les opérateurs sont particulièrement actifs. C’est ce qui a valu le titre de «ransomware le plus rentable» selon le FBI en 2018 et généré plus de 61 millions de dollars de rançon entre février 2018 et octobre 2019.
Cependant, Ryuk n’aborde pas les méthodes qui ont fait le succès de groupes malveillants comme Maze ou Revil: pas de chantage pour le vol de données, pas de place pour montrer les victimes ou les communiqués de presse ici. Pourtant, ce ransomware, qui est actif depuis deux ans maintenant, reste une menace majeure, et Anssi a publié un rapport de statut.
Ryuk est un ransomware dont le but est de crypter les données de la victime pour exiger une rançon. Anssi indique que les cibles privilégiées des opérateurs de ce ransomware sont les grandes entreprises capables de payer les grosses rançons requises, principalement aux États-Unis et au Canada. L’agence note également que les opérateurs de Ryuk ne réservent pas d’autres groupes vis-à-vis des établissements de santé: « en octobre 2020, Ryuk serait responsable de 75% des attaques sur le secteur de la santé qu’il attaquerait depuis le premier semestre 2019 ». Des dizaines d’hôpitaux américains ont été victimes d’une campagne de Ryuk au début d’octobre visant les services dans les hôpitaux de l’UHS. Le FBI et le CISA américain ont également mis en garde contre le risque de nouvelles attaques basées sur Ryuk dans un nouveau communiqué d’information publié fin octobre.
Trickbot, Emotet et le bazar Comme de nombreux ransomwares, Ryuk n’est que la dernière étape d’une chaîne d’infection multi-malware. Les auteurs du rapport indiquent que l’infection Trickbot, au moins jusqu’en septembre 2020, aurait été le point d’entrée privilégié des opérateurs Ryuk pour s’implanter dans les réseaux d’entreprise. Trickbot, avec Emotet et bien d’autres, est un malware de type chargeur qui se propage généralement via des campagnes de courrier électronique malveillantes pour infecter un appareil cible, puis se propager à travers le réseau interne d’une victime et se déplacer jusqu’à ce qu’il compromette un contrôleur de domaine. La dernière étape est la mise en œuvre du ransomware, le cryptage des machines et la demande de rançon. Et si ce type d’attaque prend généralement du temps, certains opérateurs Ryuk se démarquent par leur rapidité: Anssi indique ainsi que dans certains cas le temps de la première infection et du cryptage est réduit de quelques jours. (2 à 5) en trois heures ».
En 2020, cependant, les opérateurs de Ryuk semblent s’être progressivement tournés vers un nouveau chargeur, connu sous le nom de BazarLoader, actif depuis mars 2020. «Comme TrickBot, Bazar serait utilisé comme un accès en tant que service pour faire des compromis ou même qualifier un SI pour le compte d’autres groupes d’attaquants. On ne sait pas si BazarLoader, comme TrickBot, fonctionne également sur un modèle d’affiliation », précise l’agence, qui précise que le logiciel est principalement distribué par le groupe derrière Trickbot. D’autres chargeurs ont également été identifiés dans des attaques impliquant le malware Ryuk: Buer et Le logiciel Silent Night a également été utilisé dans l’attaque qui a implémenté Ryuk.
Raas ou pas Raas, c’est la question
L’un des points qui sépare Ryuk du reste de l’écosystème de la cybercriminalité des groupes de ransomware est la question du modèle commercial de Ryuk. Pour de nombreux ransomwares apparus ces derniers mois, le modèle économique utilisé est généralement celui de RaaS (Ransomware as a service): le groupe à l’origine des ransomwares commercialise ses logiciels sur des forums clandestins auprès d’autres groupes, qui s’assurent ensuite de les diffuser réseaux informatiques de leurs victimes.
Pour Anssi, Ryuk n’est « pas officiellement un RaaS »: l’agence déclare ainsi qu’elle n’a observé aucune promotion des opérateurs Ryuk sur les forums clandestins. Ryuk est néanmoins exploité par plusieurs acteurs malveillants, selon Anssi. S’il n’est pas vendu au public, il pourrait être mis à la disposition de partenaires de confiance par le créateur du code malveillant, ou il pourrait être exploité indépendamment par plusieurs groupes à l’aide d’outils et de formes de propagation communs. .
Il est donc difficile de savoir qui tire exactement les fils de Ryuk: le rapport de l’agence met en évidence le rôle central joué par deux acteurs malveillants, le groupe WizardSpider derrière Trickbot et le groupe identifié comme UNC1878. Selon FireEye, ce dernier groupe est responsable de 83% des attaques impliquant Ryuk. L’agence note également l’implication d’autres groupes tels que FIN6 dans la prolifération du ransomware Ryuk ainsi que du code et des méthodologies entre Ryuk et un autre ransomware connu sous le nom de Conti. Si Ryuk n’est pas «officiellement un RaaS», il n’en est pas moins un acteur profondément enraciné dans la sphère de la cybercriminalité et avec de nombreux liens avec des groupes tiers.
Un nouveau virus particulièrement sophistiqué fait actuellement rage sur les smartphones Android. Ce dernier fait partie d’un ransomware, un malware qui crypte les données pour que les victimes en extraient de l’argent en détenant une clé de décryptage. Ce type de virus tue régulièrement de nombreuses personnes dans le monde, à la fois sur les ordinateurs et les smartphones.
Le nouveau malware découvert par les chercheurs en cybersécurité de Microsoft est connu sous le nom d’AndroidOS / MalLocker.B. Il fait partie d’une toute nouvelle souche de ransomwares et se propage via des applications Android publiées sur des forums et des sites tiers en dehors du Play Store. Une fois installés sur le téléphone, les logiciels malveillants utilisent le mécanisme de notification des appels entrants ainsi que le bouton Accueil pour verrouiller l’accès au téléphone. Sur Android, la plupart des ransomwares bloquent simplement l’accès aux fichiers stockés sur l’appareil au lieu de les crypter.
Une fois mis en œuvre, le virus MalLocker.B affiche un message persistant sur l’écran du téléphone, prétendument émanant des forces de l’ordre locales, une technique largement utilisée par les auteurs de ransomwares. L’avis indique ainsi que ce dernier doit payer une amende pour un crime commis par la victime.
En détruisant le système d’appel entrant, le ransomware peut afficher son message sur tout l’écran du smartphone. De plus, il est capable d’afficher son message en permanence même si l’utilisateur appuie sur le bouton ou tente de basculer vers une autre application ouverte, car il a également la main sur la fonction du bouton Accueil.
Cette double fonction du ransomware est nouvelle et sans précédent. Malheureusement, il est presque toujours impossible de contourner ces types d’attaques. Et même s’ils paient, les fabricants de ransomwares risquent de ne pas redonner aux victimes l’accès au téléphone. Dans certains cas, ils peuvent partager ou détruire les fichiers kidnappés même si la victime a payé la rançon.
La seule solution pour éviter ce genre de mauvaise surprise est de ne pas télécharger une application en dehors du Play Store et de privilégier les applications de développeurs renommés. Assurez-vous de lire les commentaires ci-dessous la description des applications pour vous assurer qu’elles sont fiables.
Dans un communiqué de presse publié cette semaine, le Cigref met en garde contre la montée des cyberattaques et la menace que cette hausse fait peser sur l’économie française. Et ce alors que de plus en plus d’entreprises en France sont concernées par les attaques de ransomwares.
Le Cigref s’inquiète de la reprise des attaques par ransomware
Un risque informatique pour les entreprises Francaises:
Depuis le début de l’année scolaire, les assaillants n’ont pas désarmé et l’épidémie de rançon commence à se manifester. Le Cigref, organisation qui regroupe un réseau de grandes entreprises et administrations françaises sur le thème du numérique, indique avoir adressé une lettre au Premier ministre l’avertissant de «l’augmentation du nombre et de l’intensité des cyberattaques» et de l’impact de cette situation sur l’économie française.
« Les pertes d’exploitation des centaines d’entreprises, grandes et petites, qui ont subi une cyberattaque ne sont plus anecdotiques, comme le montre trop souvent l’actualité », a déclaré Cigref dans son communiqué de presse. L’organisation reconnaît les efforts déjà consentis par l’Etat à travers Anssi, mais note «l’insuffisance des réponses de la communauté internationale et des Etats face à la réalité d’une menace qui se déploie à l’échelle mondiale.» Le Cigref saisit également l’occasion pour pour pointer du doigt les fournisseurs de systèmes numériques dont les pratiques sont jugées inadéquates: le Cigref appelle à une régulation de ces acteurs pour améliorer la sécurité globale des entreprises utilisant ces outils.
Covid + ransomware = pas bon!
Le contexte est en effet délicat pour les entreprises déjà touchées par la crise sanitaire et les mesures d’endiguement mises en place par le gouvernement. Mais la période a également été marquée par une vague d’attaques de ransomwares qui a frappé les entreprises françaises. Nous avions publié des retours de Paris Habitat, mais de nombreuses autres victimes d’attaques de ransomwares ont été touchées ces dernières semaines.
On peut citer le quotidien Paris Normandie, la société de services informatiques Umanis, Scutum ou encore Siplec. Il y en a beaucoup d’autres dont les attaques ont été revendiquées par des groupes de cybercriminalité mais non confirmées par les victimes. Et on ne parle que des victimes qui ont été déclarées depuis début novembre, mais beaucoup passent sous le radar et ne communiquent pas et espèrent que les assaillants ne communiquent pas non plus (ce qui est loin d’être évident).
Outre les entreprises, de nombreuses administrations et collectivités locales sont également touchées: les chambres d’agriculture du Centre-Val de Loire et de la Nouvelle-Aquitaine ont ainsi porté le poids de ces attaques, ainsi que Vincennes ou la ville de Bondy, qui rapporte avoir été touchée deux fois de suite. une attaque informatique en dix jours. Une nouvelle typologie des victimes préoccupe particulièrement Anssi, qui publie désormais un guide de sécurité pour les communes et envisage de profiter du plan de relance pour lancer un plan de sécurisation des systèmes informatiques des collectivités locales.
La tendance à la hausse des cyberattaques est observée depuis plusieurs mois maintenant: leMagIt avait réalisé un premier recensement des cyberattaques en septembre, laissant supposer avoir identifié des dizaines de victimes en France et plus de 700 dans le monde. . Cigref n’est donc pas déplacé pour rien: la facture (ou rançon) de l’économie française peut s’avérer salée.
La firme Paris Habitat confirme avoir été touchée par des ransomwares, ce qui a conduit à la paralysie de ses services pendant plusieurs jours. Cependant, Paris Habitat a refusé de payer la rançon et a reconstruit son système sur la base de sauvegardes.
Après près de trois semaines de silence radio, Paris Habitat fournit des détails sur la cyberattaque qui a paralysé ses services. Comme l’ont mentionné MagIT et plusieurs sources internes, c’est en fait un ransomware qui a affecté les services informatiques du bailleur social parisien. «L’attaque a eu lieu dans la soirée du 27 octobre et a été détectée par nos systèmes informatiques le 28 au matin», explique Marie Godard, directrice adjointe de Paris Habitat. «On pense que le vecteur d’intrusion est une attaque de phishing, mais notre enquête n’est pas encore terminée. Cependant, le groupe derrière l’attaque a été identifié comme étant Sodinokibi. «
Il y a donc eu une demande de rançon, mais Marie Godard explique que « la question ne s’est pas posée. On s’est rendu compte que nous avions des sauvegardes audio remontant au mardi 27 octobre, ce qui nous a évité d’avoir à envisager de payer une rançon. » Paris Habitat garantit qu’il n’y a pas eu de perte ou de vol de données. Quinze jours après la première attaque, Sodinokibi n’a en fait publié aucune donnée sur son site Internet Paris Habitat, suggérant que les données des utilisateurs n’ont pas été effectivement volées.
Pour limiter l’attaque, la direction a choisi d’arrêter tout son système informatique mercredi avant de redémarrer progressivement les systèmes à partir de vendredi. « Nous avons immédiatement alerté nos partenaires directs de la situation », a déclaré le directeur adjoint. Paris Habitat héberge en effet un data center à Paris, qui héberge également AP-HP et Eau de Paris. Mais «la partition entre les différents SI a permis de limiter le risque de reproduction», assure Marie Godard.
En reconstruction
La continuité du service a été assurée en s’appuyant sur le réseau de gardiens d’immeubles de Paris Habitat: le site internet sur place a ainsi référé les locataires à leur concierge ou à un numéro de téléphone unique permettant l’Information. Un site Internet du personnel a également été mis en place pour leur fournir des informations sur le redémarrage des systèmes et les mesures à mettre en œuvre pour le confinement. Lorsque l’attaque a été déclarée quelques jours avant l’annonce du confinement, il valait mieux tuer deux oiseaux d’une pierre. «Le problème maintenant est de récupérer en s’assurant que tout est fiable», a déclaré le directeur adjoint, qui a déclaré que le groupe travaillait avec Frame IP pour remettre les systèmes en marche.
«Nous devons nous assurer que toutes les données sont fiables et que les machines des employés le sont également. Au total, donc, plus de 1 500 ordinateurs portables doivent être ciblés pour s’assurer qu’ils ne sont pas compromis. Selon le directeur adjoint, il y a déjà eu plus de 1 200 unités. Elle explique que les services sont progressivement redémarrés, puisque le site doit être de nouveau en ligne « avant la fin de la semaine ». Le groupe a déposé une plainte et BEFTI et OCLCTIC sont chargés de l’enquête. Un rapport a également été fait à la CNIL. Paris Habitat explique également avoir prévenu Anssi de l’attaque.
Sodinokibi ou Revil fait référence à un groupe de cybercriminalité particulièrement actif, spécialisé dans les attaques de ransomwares. Apparu en avril 2019, ce ransowmare fonctionne sur le modèle de RaaS (Ransomware as a Service), ce qui signifie qu’il loue ses malwares à des groupes tiers, «affiliés», responsables de la réalisation des attaques, alors que les créateurs du malware sont normaux responsable de la négociation et de la récupération de la rançon puis de la redistribution des gains. Revil est un groupe connu pour télécharger et revendre les données qu’il vole à ses victimes via un site dédié. Mais jusqu’à présent, le groupe n’a pas revendiqué la responsabilité de l’attaque ou téléchargé des données appartenant à Paris Habitat.
Si vous êtes limité à Toulon, La Garde ou Hyères (comme tout le monde) et que vous cherchez une bonne bière à consommer chez vous, j’ai définitivement ce qu’il vous faut.
Il s’agit de « Bières du Monde et d’Ailleurs », un PUB développé à La crau / La Moutonne et installé maintenant sur La Garde, qui aide les travailleurs à exprimer leur bonheur avec une bonne bière bien fraîche pour leur post-travail. La belle vie je vous dit.
Bières du Monde & D’Ailleurs ouvert au format cave à emporter du lundi au samedi de 12H à 20H Ouvert au format cave à emporter du lundi au samedi de 12H à 20H Bières du Monde & D’Ailleurs à emporter du lundi au samedi de 12H à 20H Bières du Monde et D’Ailleurs ouvert à emporter du lundi au samedi de 12H à 20H
Le Trésor américain traite les victimes de ransomwares comme des collaborateurs
Dans une directive émise par le département du Trésor américain, le gouvernement déclare que des sanctions peuvent être envisagées pour les entreprises qui paient une rançon après une attaque de ransomware. L’idée de sanctionner les paiements de rançon gagne du terrain outre-Atlantique.
Tout le monde déconseille fortement de payer la rançon, mais beaucoup le font. Aux États-Unis, un rappel du département du Trésor américain pourrait encore refroidir les entreprises ciblées contre les ransomwares: l’OFAC (Office of Foreign Access Control) a publié une directive sur le paiement d’une rançon, déclarant que les entreprises qui acceptent de céder à l’extorsion de groupes de cybercriminalité, dans certains les cas pourraient également être sanctionnés par les autorités américaines.
Cette nouvelle mesure ne s’applique pas à tous les paiements de rançon: la directive publiée par l’OFAC explique que seuls les paiements aux groupes concernés par des sanctions prononcées par l’OFAC sont concernés par cette mesure. Le document répertorie plusieurs acteurs bien connus du monde du ransomware qui ont été visés par les sanctions de l’OFAC: le créateur du ransomware Cryptolocker Eugene Bogachev, les deux développeurs iraniens du ransomware Samsam, les groupes nord-coréens Lazarus, Bluenoroff et Andariel et enfin Evil Corp groupe, connu pour avoir développé le malware Dridex et plusieurs ransomwares toujours actifs.
Pour l’OFAC, le paiement d’une rançon à ces groupes ou à leurs affiliés peut soumettre les victimes à une enquête pour contourner les sanctions gouvernementales. Les entreprises publiques, mais aussi les partenaires qui ont participé au processus de réaction à l’incident ou qui ont réalisé l’opération, pourraient donc être concernés. L’OFAC demande aux entreprises concernées par ce scénario de contacter ces équipes avant de payer une rançon. «Les paiements de rançon profitent aux acteurs malveillants et peuvent saper les objectifs de sécurité nationale et de politique étrangère des États-Unis. Pour cette raison, les demandes de licence impliquant des rançons requises du fait d’activités malveillantes rendues possibles par le numérique seront examinées par l’OFAC au cas par cas avec présomption de refus », précise l’OFAC dans sa communication.
L’affaire de piratage Garmin, qui aurait accepté le paiement d’une rançon de 10 millions de dollars en crypto-monnaie à des personnes affiliées au groupe Evil Corp, a peut-être demandé à l’OFAC d’émettre le rappel. Comme le rapporte ZDNet.com, plusieurs journalistes ont posé la question au département du Trésor américain au moment de l’annonce du paiement de Garmin.
La rentrée scolaire a été marquée par un nombre sans précédent de cyberattaques connues impliquant des ransomwares. Le fruit de la connexion entre plusieurs facteurs. Et ceux-ci ne suggèrent aucun règlement réel.
En septembre, nous avons enregistré près de 270 attaques de ransomwares dans le monde, une explosion par rapport aux mois précédents, alors que juin et août ont déjà été marqués par une activité intense des cybercriminels. Mais attention aux trompe-l’œil.
En France, nous avons dénombré 10 cas confirmés, auxquels s’ajoute un cas suspect, mais non confirmé à ce moment, vers le 8 août et à peu près le même en juillet. Les attaques confirmées sont répertoriées sur la chronologie que nous mettons à jour régulièrement. Sur Intrinsec, Cyrille Barthélemy rapporte 13 cas «en crise» en septembre contre 10 en août.
Et de préciser que sa capacité d’intervention n’était évidemment pas la même en plein été qu’en début d’année scolaire. Chez I-Tracing, Laurent Besset a noté 9 interventions sur le mois dernier contre 4 en dessous de la précédente. Chez Advens, Benjamin Leroux fait 3 interventions majeures et moins de 5 interventions plus petites. Mais toujours 150 détections de menaces qui pourraient conduire à une détonation de ransomware, principalement Emotet.
Début septembre, l’Agence nationale de sécurité des systèmes d’information (Anssi) a rapporté avoir traité 104 attaques de ransomwares depuis le début de l’année contre 54 sur l’ensemble de 2019. Et bien sûr, cela ne prend pas en compte les cas hors de son champ d’application.
Concernant la plateforme Cybermalveillance.gouv.fr, le directeur général de GIP Acyma, Jérôme Notin, a encore signalé 1.082 signalements de ransomwares début septembre depuis le lancement de la plateforme le 4 février, avec 44% d’entreprises ou d’associations et 10 % d’administrations ou de communautés. En septembre, Jérôme Notin a enregistré 131 demandes d’assistance, contre 104 en août et 122 en juillet.
En France, à ce stade, il semble difficile de parler d’une explosion. Mais si la tendance à la hausse semble moins prononcée que pour le reste du monde, la menace semble sans doute rester à un niveau élevé.
Il y a au moins deux explications possibles de la situation, qui suggèrent que la menace ne diminuera probablement pas dans un proche avenir. Nous les développons ci-dessous le long de la chronologie.
La rentrée scolaire a été marquée par un nombre sans précédent de cyberattaques connues impliquant des ransomwares. Le fruit de la connexion entre plusieurs facteurs. Et ceux-ci ne suggèrent aucun règlement réel.
L’été meurtrier 2 (toujours pas le film), un ransomware.
En septembre, nous avons enregistré près de 270 attaques de ransomwares dans le monde, une explosion par rapport aux mois précédents, alors que juin et août étaient déjà marqués par une activité intense des cybercriminels. Mais attention aux trompe-l’œil.
En France, nous avons dénombré 10 cas confirmés, auxquels s’ajoute un cas suspect, mais non confirmé à ce moment, vers le 8 août et à peu près le même en juillet. Les attaques confirmées sont répertoriées sur la chronologie que nous mettons à jour régulièrement. Sur Intrinsec, Cyrille Barthélemy rapporte 13 cas «en crise» en septembre contre 10 en août.
Et de préciser que sa capacité d’intervention n’était évidemment pas la même en plein été qu’en début d’année scolaire. Chez I-Tracing, Laurent Besset a noté 9 interventions sur le mois dernier contre 4 en dessous de la précédente. Chez Advens, Benjamin Leroux fait 3 interventions majeures et moins de 5 interventions plus petites. Mais toujours 150 détections de menaces qui pourraient conduire à une détonation de ransomware, principalement Emotet.
Début septembre, l’Agence nationale de sécurité des systèmes d’information (Anssi) a rapporté avoir traité 104 attaques de ransomwares depuis le début de l’année contre 54 sur l’ensemble de 2019. Et bien sûr, cela ne prend pas en compte les cas hors de son champ d’application.
Concernant la plateforme Cybermalveillance.gouv.fr, Jérôme Notin, PDG de GIP Acyma, a encore signalé début septembre 1.082 signalements de ransomwares à ce jour depuis le lancement de la plateforme le 4 février, avec 44% d’entreprises ou d’associations et 10 % d’administrations ou de communautés. En septembre, Jérôme Notin a enregistré 131 demandes d’assistance, contre 104 en août et 122 en juillet.
En France, à ce stade, il semble difficile de parler d’une explosion. Mais si la tendance à la hausse semble moins prononcée que pour le reste du monde, la menace semble sans doute rester à un niveau élevé.
Il y a au moins deux explications possibles de la situation, qui suggèrent que la menace ne diminuera probablement pas dans un proche avenir. Nous les développons ci-dessous le long de la chronologie.
les groupes de hackers modifient leurs objectifs et les prix
Les groupes de hackers de ransomware améliorent de plus en plus leur stratégie. Ainsi que le profil de leurs victimes potentielles, comme le souligne IBM.
Les attaques de ransomwares continuent de croître, ce qui, selon IBM, suggère que les gangs exigeant une rançon augmentent leurs demandes de rançon et deviennent plus sophistiqués sur la façon dont ils calculent la rançon qu’ils tentent de faire chanter. Le nombre d’attaques de ransomwares auxquelles l’équipe dédiée d’IBM est confrontée a triplé au deuxième trimestre 2020. Il représente désormais un tiers de tous les incidents de sécurité auxquels IBM est confronté entre avril et juin 2020.
Rien qu’en juin, un tiers de toutes les attaques de ransomware traitées par l’équipe IBM jusqu’à présent cette année se sont produites. Le rapport indique que les demandes de rançon augmentent rapidement, certaines atteignant 40 millions de dollars, révélant en outre que les attaques de Sodinokibi représentent un tiers des demandes de rançon auxquelles IBM Security X-Force a répondu au cours de l’année. Pour IBM, l’industrie a radicalement changé au cours des derniers mois.
La rançon frappe le plus durement l’industrie manufacturière, représentant près d’un quart de tous les incidents recensés par IBM aujourd’hui, suivi du secteur des services puis du secteur public. « Les attaques contre ces trois secteurs suggèrent que les acteurs de la menace recherchent des victimes avec une faible tolérance aux temps d’arrêt », a déclaré le personnel du groupe américain. « Les organisations qui nécessitent une disponibilité élevée peuvent perdre des millions de dollars chaque jour en raison de la fermeture de l’entreprise. En conséquence, elles peuvent être plus susceptibles de payer une rançon pour retrouver l’accès aux données et reprendre leurs activités. Des activités », note également. la direction d’IBM. LIEN
Selon la US Insurance Coalition, les attaques de ransomwares représentent 41% des réclamations depuis le début de l’année. Bitdefender rapporte une multiplication par 7 des rapports sur un an. LIEN
Le tribunal de Paris a été victime d’une cyberattaque en envoyant de faux courriels à plusieurs juges et avocats, dont certains sont associés à des affaires très sensibles. Une première enquête remise aux services de renseignement internes a été ouverte pour déterminer les causes de l’incident et ses auteurs.
LA JUSTICE SE MODERNISE ?
Le tribunal de Paris a été victime d’une attaque informatique, révèle le Journal du Dimanche (JDD) le 6 septembre. Une première enquête sur les «attaques contre des systèmes automatisés de traitement de données contenant des données à caractère personnel mis en œuvre par l’État» a été ouverte pour déterminer les causes de l’incident et ses auteurs. Il a été remis à la direction générale de la sécurité intérieure (DGSI), chef du renseignement français, compte tenu de la sensibilité de l’affaire.
Cette institution judiciaire est composée de quatre unités: le siège, le parquet de Paris, le parquet national (PNF) et le parquet national contre le terrorisme. C’est la juridiction qui traite la plupart des affaires en France, dont certaines sont très sensibles comme l’affaire Sarkozy-Kadhafi.
ENVOYER DE FAUX EMAILS Cette cyberattaque consistait à envoyer de faux courriels à plusieurs juges et avocats. Pierre Cornut-Gentille et Jean-Marc Delas, avocats en droit pénal des affaires, ont reçu des messages sous forme d’échanges entre les deux collègues ou entre les cabinets des cabinets. Pierre Cornut-Gentille a été prévenu par « la fausse adresse ». Méfiant, l’avocat a décidé de « ne pas cliquer ». «Du coup je n’ai pas été joint, comme l’a confirmé mon informaticien», raconte-t-il. De son côté, Jean-Marc Delas a vu que son activité avait été fortement perturbée par l’attaque suite à l’ouverture d’un mail contaminé. «En fin de compte, je me suis retrouvé dans une situation où je n’avais plus accès à mon ordinateur», explique-t-il.
Aude Buresi, juge d’instruction à la place financière responsable du financement illégal de l’ancienne affaire ONU et Kerviel, a également été victime de l’attaque. Elle a dû revoir le calendrier de ses examens. Les invocations d’il y a plusieurs semaines ont été reportées. Selon des sources judiciaires, elle n’est pas la seule juge à avoir payé le prix de cet incident. Rémy Heitz, le procureur de la République, a également été visé. Il estime que le piratageinformatique doit être pris très au sérieux en ce qui concerne les personnes concernées et les données potentiellement volées par les cybercriminels.
LE SERVICE POUR L’INTÉRIEUR, AUSSI! Mais selon Le Figaro, cette cyberattaque ne se limite pas au tribunal de Paris. Dimanche après-midi, le ministère de l’Intérieur a déclaré qu’il était « actuellement victime d’une campagne d’attaques de courrier ». Il a bloqué la réception par email des fichiers au format .doc « pour éviter les risques de contamination ». Il est impossible de savoir pour le moment si les deux attaques sont liées.
Le Tribunal de Paris vient s’ajouter à la longue liste des organisations victimes d’une cyberattaque. Côté public on retrouve le conseil de quartier d’Eure-et-Loir, le CHU de Rouen, l’Agence nationale de l’éducation des adultes (Afpa), les services administratifs du Grand Est, le groupe AP-HP … Quant aux entreprises privées, Bouygues Construction victime d’un ransomware ainsi que de la filiale «Transport et logistique» du groupe Bolloré. Et cette tendance est partagée par la plupart des États du monde. Aux États-Unis, pas moins de 50 collectivités locales ont été touchées par un incident de sécurité depuis janvier 2020. LIEN
L’absence de protocole rend les entreprises vulnérables aux cyberrisques
Les experts en sécuritéinformatique de Proofpoint ont publié les résultats de l’analyse DMARC (Domain-Based Message Verification Reporting and Compliance) montrant dans quelle mesure les compagnies aériennes sont exposées aux cyberattaques.
Réalisée sur 296 compagnies aériennes membres de l’Association du transport aérien international (IATA), qui représente 82% du trafic mondial, l’étude montre que 61% des compagnies aériennes n’ont pas de registre DMARC publié, ce qui les rend plus vulnérables aux cybercriminels, il s’agit de voler leur identité et ainsi d’augmenter le risque de fraude par e-mail. LIEN
Le gendarme européen de la cybersécurité a été alerté en début d’année sur la sécurité informatique dans les hôpitaux. Liste des recommandations à suivre pour assurer la sécurité de leur réseau informatique.
L’UE fournit dix conseils pour protéger les hôpitaux contre les cyberattaques
Les hôpitaux deviennent une cible de plus en plus tentante pour les cybercriminels. D’autant moins depuis la crise sanitaire, qui place le réseau hospitalier et le marché de la santé au premier plan des risques croissants de cyberattaques.
La taille des réseaux hospitaliers, l’importance vitale du parc de PC dans les réseaux qui restent opérationnels, car la manière dont une grande partie des systèmes informatiques liés à la santé fonctionnent sur des systèmes d’exploitation non pris en charge signifie que la protection des hôpitaux contre les cyberattaques devient de plus en plus compliquée tâche aujourd’hui.
Les pirates informatiques en profitent, soit pour distribuer des ransomwares, soit pour tenter de voler des informations personnelles sensibles aux patients. Pour lutter contre ces menaces croissantes, l’ENISA, l’agence européenne de cybersécurité, a publié en début d’année une liste de recommandations destinées aux responsables informatiques des hôpitaux. Bien que cette liste s’adresse principalement au secteur de la santé, la plupart des recommandations émises par Bruxelles ont une portée plus large.
« Protéger les patients et assurer la résilience de nos hôpitaux est une partie essentielle du travail de l’Agence pour rendre le secteur européen de la santé cyber-sûr », a déclaré Juhan Lepassaa, PDG de l’ENISA, entre autres. Le document intitulé «Directives pour la passation de marchés pour la cybersécurité dans les hôpitaux» recommande dix bonnes pratiques pour rendre le secteur de la santé plus résilient aux cyberattaques.
Impliquer le service informatique dans les achats
Cela semble évident, mais impliquer l’informatique dans l’approvisionnement dès le départ garantit que la cybersécurité est prise en compte dans toutes les phases du processus d’approvisionnement technologique. Ce faisant, des recommandations peuvent être faites sur la manière dont les nouvelles technologies s’intègrent dans le réseau existant et quelles mesures de sécurité supplémentaires peuvent être nécessaires.
Mettre en place un processus d’identification et de gestion des vulnérabilités
Nous vivons dans un monde imparfait, et il existe des produits qui contiennent des vulnérabilités, connues ou non encore découvertes. Avoir une stratégie en place pour faire face aux vulnérabilités tout au long du cycle de vie d’un appareil peut aider l’équipe de sécurité à se tenir au courant des problèmes de sécurité potentiels.
Développer une politique de mise à jour matérielle et logicielle
Les chercheurs en sécurité découvrent souvent de nouvelles vulnérabilités dans les appareils et les systèmes d’exploitation. Cependant, le réseau informatique de l’hôpital a toujours été incapable de garantir l’utilisation des correctifs – et c’est l’une des raisons pour lesquelles le ransomware WannaCry a eu un tel impact sur le NHS, le service public de la santé à travers le canal.
Le document, publié par Bruxelles, recommande donc aux services informatiques de déterminer le moment le plus approprié pour appliquer les correctifs dans chaque segment du réseau, ainsi que de déterminer des solutions pour les machines qui ne peuvent pas être réparées, par ex. Segmentation.
Renforcez les contrôles de sécurité pour la communication sans fil
L’accès aux réseaux hospitaliers doit être limité par des contrôles stricts, ce qui signifie que le nombre d’appareils connectés doit être surveillé et connu afin que tout appareil inattendu ou indésirable essayant d’y accéder soit identifié. Le document publié par les autorités européennes recommande que le personnel non autorisé n’ait pas accès au Wi-Fi et que les mots de passe réseau soient conçus pour être forts et difficiles à déchiffrer.
Création de politiques de test plus strictes
Les hôpitaux qui acquièrent de nouveaux produits informatiques devraient établir un ensemble minimum de tests de sécurité à effectuer sur les nouveaux appareils ajoutés aux réseaux – y compris des tests de pénétration, une fois ajoutés au réseau, pour prendre en compte les tentatives des pirates. abuser.
Créez des plans d’affaires pour la continuité
Des plans de continuité des activités doivent être élaborés chaque fois qu’une défaillance du système menace de perturber les services hospitaliers de base – qui dans ce cas sont les soins aux patients – et le rôle du prestataire dans ces cas. doit être bien défini.
Prendre en compte les problèmes d’interopérabilité
La capacité des machines à transmettre des informations et des données est essentielle au bon fonctionnement des hôpitaux, mais elle peut être compromise en cas de cyberattaque ou de temps d’arrêt. L’hôpital doit avoir des plans de sauvegarde au cas où cette opération serait compromise.
Autoriser le test de tous les composants
Les systèmes doivent être testés régulièrement pour s’assurer qu’ils offrent une bonne sécurité en combinant convivialité et sécurité – par exemple, le service informatique doit s’assurer que les utilisateurs n’ont pas changé des mots de passe complexes pour des mots de passe plus simples. Tout cela doit être pris en compte lors des tests, explique le document fourni par l’ENISA.
Autoriser l’audit des réseaux informatiques La conservation des journaux des tests et de l’activité du réseau permet de suivre plus facilement ce qui s’est passé et comment les attaquants ont accédé au système en cas de compromission, ainsi que d’évaluer quelles informations ont été compromises. «La sécurisation des journaux est l’une des tâches de sécurité les plus importantes», explique le document.
Il y a quelques jours, Garmin a été victime d’une cyberattaque de type ransomware. En raison de ce dernier, les utilisateurs de nombreux services Garmin ne pouvaient pas accéder aux services des appareils. Il semble que l’entreprise ait payé une partie de la rançon demandée par les pirates en échange des données volées.
Canon a été victime d’une attaque de pirates. Grâce aux ransomwares, les pirates auraient détourné 10 To de données sur les serveurs de l’entreprise. Le lot concerne à la fois les données internes et les données clients.
Un mémo interne envoyé par Canon à ses employés révèle qu’une attaque de ransomware Maze a ciblé plusieurs sites Web et services Internet du groupe.
Alors que le distributeur du ransomware GrandCrab vient d’être arrêté en Biélorussie, les auteurs de ce ransomware sont toujours en cours d’exécution.
Un distributeur de ransomware GandCrab arrêté en Biélorussie
Les autorités biélorusses viennent d’annoncer l’arrestation d’un homme de 31 ans accusé de distribution de ransomware depuis GandCrab. L’homme, dont l’identité n’a pas été révélée, a été arrêté à Gomel, une petite ville du sud-est de la Biélorussie, à la frontière avec la Russie et l’Ukraine. Les autorités ont déclaré que l’homme n’avait pas été condamné avant son arrestation, mais s’était inscrit à un forum de piratage pour devenir un affilié au ransomware GandCrab.
Ce dernier aurait loué l’accès à un panel web avec des paramètres modifiés pour obtenir une version personnalisée de GandCrab, qu’il enverrait ensuite sous forme de fichiers capturés à d’autres internautes via des techniques de spam. Les victimes qui ont ouvert les fichiers ont été infectées et ont vu leurs fichiers chiffrés, les forçant à payer une rançon pour obtenir une application de déchiffrement et récupérer leurs fichiers.
Les autorités biélorusses ont déclaré que le suspect avait infecté plus de 1 000 ordinateurs alors qu’il était affilié à GandCrab. Pour chaque victime, le suspect a exigé environ 1200 dollars payés en bitcoins, sans préciser combien. Le directeur adjoint de la division criminelle de haute technologie du ministère biélorusse de l’Intérieur, Vladimir Zaitsev, a déclaré que le suspect avait infecté des victimes dans plus de 100 pays, dont la plupart sont situés en Inde, aux États-Unis, en Ukraine, en Angleterre, en Allemagne, en France, en Italie et en Russie.LIEN
Quatre ans après son lancement, l’initiative No More Ransom a permis à plus de 4 millions de victimes d’attaques de ransomwares de récupérer leurs fichiers gratuitement.
650 millions d’euros économisés grâce à l’initiative No More Ransom
Au cours des quatre premières années de l’initiative No More Ransom d’Europol, plus de 4 millions de victimes d’attaques de ransomwares ont évité de payer plus de 650 millions d’euros en réponse aux demandes d’extorsion de groupes de cybercriminels.
Lancé pour la première fois en 2016 avec quatre membres de base, No More Ransom fournit des outils de décryptage gratuits pour les ransomwares et n’a cessé de croître depuis. Aujourd’hui, il compte 163 partenaires dans les domaines de la cybersécurité, de la police, des services financiers et autres. Ensemble, ils ont mis des outils de décryptage gratuits à la disposition de plus de 140 familles de ransomwares, téléchargés plus de 4,2 millions de fois.
Les principaux contributeurs au projet incluent Emisoft, fournisseur de 54 outils de décryptage pour 45 familles de ransomwares; membre fondateur de Kaspersky, qui a fourni 5 outils à 32 familles de ransomwares; et Trend Micro, qui a fourni 2 outils de décryptage à 27 familles de ransongware. Parmi les autres sociétés de cybersécurité qui ont participé à No More Ransom, figurent également Avast, Bitdefender, Check Point, ESET et le membre fondateur McAfee.
Un outil populaire
No More Ransom est désormais disponible en 36 langues et accueille des invités de 188 pays à travers le monde. Les visiteurs sont principalement situés en Corée du Sud, aux États-Unis, au Brésil, en Russie et en Inde.
«No More Ransom est l’association entre tous les partenaires clés et les forces de l’ordre du monde entier, et tout le monde évolue dans la même direction. Comme tout le monde contribue à cette menace, nous trouvons des mesures concrètes pour lutter contre les ransomwares en tant que mesure préventive », explique Edvardas Šileris, directeur du Centre européen de cybercriminalité d’Europol, dans un entretien avec ZDNet.
«En fin de compte, ce n’est pas combien d’argent ils économisent qui compte, mais plutôt combien de personnes récupèrent leurs fichiers gratuitement. Il est tout aussi important pour un parent de restaurer les photos de ses proches que pour une entreprise de restaurer son réseau », ajoute-t-il.
La menace grandit
Bien que No More Ransom se soit avéré utile aux victimes de ransomwares, Europol lui-même ajoute que la prévention reste le meilleur moyen de se protéger contre les attaques. D’autant plus aujourd’hui que la nature en constante évolution des ransomwares signifie qu’il existe de nombreuses formes de logiciels malveillants qui ne disposent pas d’outils de décryptage gratuits … et peut-être pas. jamais.
Europol recommande plusieurs mesures de précaution, telles que la sauvegarde hors ligne de fichiers importants. Ainsi, en cas d’attaque, ils peuvent être récupérés immédiatement, qu’un outil de décryptage soit disponible ou non. L’organisation recommande également aux utilisateurs de ne pas télécharger de programmes à partir de sources suspectes ou d’ouvrir des pièces jointes provenant d’expéditeurs inconnus pour éviter d’être victimes d’une attaque de phishing.
Malgré les efforts de No More Ransom et d’autres initiatives de cybersécurité, les ransomwares restent très efficaces pour les cybercriminels, qui parviennent souvent à gagner des centaines de milliers, voire des millions, de dollars en une seule attaque. Cependant, l’application de mises à jour et de correctifs de sécurité aux PC et aux réseaux peut contribuer grandement à arrêter ces types d’attaques. LIEN
Une attaque virale de type rançongiciel a été détectée par notre réseau informatique le 22 juillet 2020
La victime d’une attaque de ransomware NetWalker dans la nuit du mardi 21 juillet au mercredi 22 juillet a contraint le groupe Rabot Dutilleul à verser la somme de huit millions d’euros à des hackers, faute de quoi des informations sensibles pourraient être révélées.
Huit millions d’euros. C’est le montant que les hackers réclament au groupe de construction Rabot Dutilleul, dont le siège est à Lille, rapporte La Voix du Nord. La compagnie du nord a été victime dans la soirée du mardi 21 juillet au mercredi 22 juillet d’une cyberattaque à grande échelle. Les centres de données informatiques de Tourcoing et Anzin ont été affectés par le ransomware NetWalker.
Des hackers ont également attaqué les serveurs de l’agence à travers la France, selon les informations recueillies par le quotidien régional. Ils réclament une rançon de 973 bitcoins soit près de huit millions d’euros. Si l’équipe de construction ne répond pas à ses exigences, les pirates menacent de publier des informations sensibles sur l’entreprise.
LE GROUPE RABOT DUTILLEUL VICTIME D’UNE CYBERATTAQUE
L’incident n’est pas encore sous contrôle
« Le département informatique a immédiatement pris des mesures de protection pour arrêter la propagation des ransomwares », a déclaré Rabot Dutilleul dans un communiqué publié jeudi 23 juillet. Cependant, l’incident n’est pas encore sous contrôle. « Les équipes techniques sont pleinement mobilisées pour revenir à la normale le plus rapidement possible avec le soutien d’experts externes en cybercriminalité », a ajouté le groupe.
Cette attaque n’est pas anodine en termes de fonctionnement de la société. Cette dernière activité est actuellement « plus lente ». Une plainte a été déposée. Compte tenu de l’ampleur de cette affaire, la Direction centrale de la police judiciaire et la SDLC, la sous-direction de la lutte contre la cybercriminalité mènent conjointement une enquête, a déclaré La Voix du Nord.
Garmin a dû fermer plusieurs de ses services, entravé par une attaque massive de ransomware. L’entreprise annonce plusieurs jours de disruption, le temps de reprendre les choses en main. Le service Garmin Connect en particulier est en panne. En conséquence, de nombreux utilisateurs des montres connectées de la marque ont du mal à synchroniser leurs données de suivi.
Garmin a subi une attaque de ransomware dévastatrice le 22 juillet. Si vous possédez une montre intelligente de marque et que vous rencontrez des difficultés pour synchroniser vos données avec Garmin Connect, vous n’êtes pas seul. Le service fait partie de ceux affectés par la cyberattaque. Sur les réseaux sociaux, de nombreux utilisateurs se disent accueillis par un message d’erreur indiquant que le service est temporairement en panne, ce que la marque confirme dans un communiqué. À partir de ce moment, le problème n’est toujours pas résolu. Les conséquences pour l’entreprise et ses clients devraient durer plusieurs jours.
Toutes les smartwatches Garmin sont concernées
«Nos serveurs sont actuellement hors service pour maintenance, ce qui affecte Garmin Connect Mobile, notre site Web et Garmin Express. Nous faisons de notre mieux pour résoudre le problème le plus rapidement possible ». L’attaque concernant les serveurs de la marque, toutes les montres connectées à Garmin sont potentiellement affectées. L’arrêt affecte également les centres d’appels de la marque, qui ne peuvent pas recevoir d’appels, d’e-mails ou de messages via leur chat en ligne.
Garmin se tait sur les causes de cette énorme panne de courant, cachée sous couvert de maintenance. Mais selon les indiscrétions des salariés de la marque, il est actuellement en cours de fonctionnement de produits en vrac appelés WastedLocker, information confirmée par Phil Stokes, un chercheur en sécurité au sein de la société SentinelOne.
On pense que le ransomware WastedLocker était à l’origine de l’incident
Ce n’est pas la première fois qu’un ransomware détruit une entreprise ou une institution. En août 2019, de tels malwares ont attaqué plus d’une centaine d’hôpitaux français. En décembre de cette année-là, une cyberattaque s’est écrasée en raison du réseau de ransomware New Orleans. Mais récemment, c’est WastedLocker qui est l’essentiel de la conversation. Ce correctif relativement nouveau a été créé par Evil Corp, un formidable groupe de cybercriminels russes. Ce malware est répandu depuis mai 2020 et a déjà affecté des entreprises de plusieurs secteurs, y compris de grandes entreprises du Fortune 500 aux États-Unis. Garmin également connu pour son GPS et ses Dashcams ont été ajoutés à la liste. Nous ne connaissons pas encore l’ampleur des dégâts que cette cyberattaque a causés à l’entreprise.
Selon le site Web ZDnet, la «maintenance» annoncée par la marque devrait se poursuivre jusqu’à ce week-end, selon une note interne de Garmin qui aurait été divulguée après avoir été partagée avec ses partenaires à Taiwan.
Le courrier électronique était autrefois la principale méthode de distribution des ransomwares. Maintenant, de nouvelles formes de ransomware l’utilisent à nouveau.
Les attaques de ransomwares par e-mail sont à nouveau en hausse, avec plusieurs nouvelles familles de ransomwares récemment distribuées via des messages de phishing.
Le courrier électronique a été le moyen le plus productif d’infecter les victimes avec des rançongiciels pendant un certain temps, mais ces dernières années, les attaquants ont réussi à utiliser des ports RDP externes, des serveurs publics non sécurisés et d’autres vulnérabilités de réseau d’entreprise pour crypter des réseaux entiers – ce qui nécessite souvent des centaines de milliers de dollars pour accéder à nouveau aux données.
Ces dernières semaines, cependant, les chercheurs de Proofpoint ont constaté une augmentation du nombre d’attaques de ransomwares distribuées par e-mail. Certains escrocs ont envoyé des centaines de milliers de messages chaque jour. Les attaques par e-mail utilisent une variété de leurres pour inciter les gens à les ouvrir, y compris les lignes d’objet liées au coronavirus.
L’une des plus grandes campagnes de messagerie électronique est celle d’un nouveau ransomware appelé Avaddon: en une semaine en juin, ce ransomware a été distribué dans plus d’un million de messages, ciblant principalement des organisations aux États-Unis. Avaddon utilise une technique assez basique comme leurre, avec des lignes de sujet prétendant se rapporter à une photo de la victime, attaquant la vanité ou l’insécurité potentielle de la victime. Si la pièce jointe est ouverte, elle télécharge Avaddon à l’aide de PowerShell.
Les ordinateurs infectés mettent une rançon qui nécessite 800 $ en bitcoins en échange d’un « logiciel spécial » pour décrypter le disque dur.
Les gens à la croisée des chemins
L’attaquant derrière Avaddon offre une assistance 24h / 24 et 7j / 7 pour garantir que les victimes disposent des outils nécessaires pour payer la rançon et avertit que si les utilisateurs tentent de récupérer leurs fichiers sans payer, ils risquent de les perdre pour toujours.
Une autre campagne de ransomware par e-mail, détaillée par des chercheurs, a été baptisée « Mr. Robot ». Il cible les entreprises de divertissement, de fabrication et de construction à travers les États-Unis. Les messages prétendument émanant du ministère de la Santé ou des Services de santé utilisent des sujets liés aux résultats du test Covid-19 dans le but d’encourager les victimes à cliquer sur un lien pour afficher un document.
Si la victime clique dessus, un ransomware est installé et les attaquants ont besoin de 100 $ pour récupérer les fichiers. C’est une petite quantité par rapport à de nombreuses campagnes de rançongiciels, ce qui suggère que ce malware cible les utilisateurs à domicile plutôt que les entreprises.
Mais non seulement les organisations en Amérique du Nord sont confrontées à un nombre croissant d’attaques par ransomware de messagerie: elles visent également l’Europe.
Les chercheurs notent que le ransomware de Philadelphie – qui revient après une aberration de trois ans – est destiné aux entreprises alimentaires et de fabrication allemandes avec des leurres de langue allemande qui prétendent provenir du gouvernement allemand.
Les e-mails prétendent contenir des informations sur la fermeture éventuelle de l’entreprise en raison de la pandémie de Covid-19 et exhortent la victime à cliquer sur un lien: s’ils le font, le rançongiciel Philadelphie est installé, avec une note en anglais exigeant le paiement de 200 $.
Alors que le nombre d’attaques par ransomware par courrier électronique est encore faible par rapport à 2016 et 2017, lorsque Locky, Cerber et GlobeImposter étaient massivement distribués, le récent pic des attaques par courrier électronique montre à quel point les cybercriminels peuvent être flexibles.
«Il est raisonnable de dire que les attaques de ransomwares basées sur les e-mails sont laissées dans l’esprit des acteurs malveillants. Ils ont tendance à être flexibles et agiles dans leur travail », a déclaré Sherrod DeGrippo, directeur principal de la recherche et de l’enregistrement des menaces chez Proofpoint.
«Ils veulent se concentrer sur ce qui donne le plus de gain financier et changer de tactique pour obtenir les meilleurs résultats. Cela peut être un simple test d’eau pour voir quels taux de réussite sont disponibles avec cette méthode », a-t-elle ajouté.
L’une des raisons pour lesquelles certains attaquants ont pu revenir au courrier électronique est le nombre de personnes travaillant à distance et la dépendance à l’égard du courrier électronique qu’il implique. « Le courrier électronique permet aux acteurs malveillants de s’appuyer sur le comportement humain pour réussir en un seul clic », a déclaré DeGrippo.
Dans de nombreux cas, il est possible de se défendre contre les ransomwares – et autres attaques de logiciels malveillants – en s’assurant que les réseaux sont corrigés avec les dernières mises à jour de sécurité, empêchant les attaquants d’exploiter les vulnérabilités logicielles connues.
Cependant, les entreprises doivent également prévoir de tenir compte du fait qu’à un moment donné, quelqu’un cliquera par erreur sur un lien malveillant dans un e-mail de phishing.
« Les entreprises doivent supposer que quelqu’un de leur organisation cliquera et développera toujours une stratégie de sécurité qui protège d’abord les gens », a déclaré DeGrippo.
« Les entreprises doivent veiller à évaluer la vulnérabilité des utilisateurs finaux et à tirer des enseignements des menaces actuelles en leur fournissant des compétences utiles pour se protéger au travail et dans leur vie personnelle. »
Rançongiciel en français, est un logiciel malveillant qui prend en otage des données. Le ransomware crypte et bloque les fichiers sur votre ordinateur et demande une rançon en échange d’une clé qui leur permet de les décrypter. Le ransomware, qui est apparu pour la première fois en Russie, s’est répandu dans le monde entier, principalement aux États-Unis, en Australie et en Allemagne. Souvent, le ransomware s’infiltre sous la forme d’un ver informatique, via un fichier téléchargé ou reçu par e-mail, et crypte les données et les fichiers de la victime. Le but est d’extorquer une somme d’argent qui est le plus souvent payée en monnaie virtuelle pour éviter les traces.LIEN
Plusieurs utilisateurs de MacBook Air ou MacBook Pro 13 pouces lancés cette année signalent une erreur liée à la gestion ou plutôt à la gestion incorrecte des périphériques USB 2.0 connectés à leur machine via un concentrateur USB-C. L’accessoire cesse de fonctionner de manière aléatoire et ne peut pas être reproduit. Par exemple, lorsqu’il s’agit d’une souris USB-A, d’une interface audio USB-A et d’un moniteur HDMI externe connecté au Mac avec un concentrateur USB-C, les deux premières cabines, tandis que HDMI l’alimentation continue d’être distribuée entre l’ordinateur et le moniteur secondaire.
Certains utilisateurs ont essayé de réinitialiser SMC, de redémarrer en mode sans échec, de réparer le volume avec l’utilitaire de disque, de réinstaller macOS Catalina, certains ont même fait remplacer leur MacBook dans l’Apple Store… Mais rien n’y fait. Y compris les tests de plusieurs hubs différents. Seul le modèle CalDigit Thunderbolt 3, très complet mais non fourni, semble offrir un peu de répit.
Apple, qui est remis en question par de nombreux propriétaires de ces Mac, en est certainement conscient. Il faut espérer qu’une solution est en cours d’élaboration et qu’elle sera proposée rapidement.LIEN
Le ransomware de « Big game hunt » diffère de ses prédécesseurs qui ont combattu sans distinction. L’activité la plus courante dans les ransomwares reste l’arnaque non sophistiquée qui cible une très grande échelle. Mais de plus en plus de cybercriminels ont les ressources pour développer des campagnes beaucoup plus sophistiquées et du temps pour pénétrer profondément dans les systèmes d’information, planifier et identifier les ressources les plus précieuses, puis tout détruire uniquement après avoir rentabilisé leur investissement.
Ces attaques de rançongiciels de «gros gibier» peuvent représenter un danger moins fréquent mais beaucoup plus grave pour la victime. Pour cette raison, la détection préventive est devenue extrêmement importante pour les entreprises. Cet article explique pourquoi:
Les vagues précédentes étaient différentes
Les anciennes campagnes de rançongiciels comme Locky étaient critiques et n’avaient pas la sophistication des attaques modernes. Leurs auteurs ont ciblé le plus grand nombre, souvent dans le cadre de vastes campagnes de phishing. Les destinataires non acceptants ont cliqué sur un lien malveillant. Les ransomwares pourraient alors gagner de l’espace jusqu’à ce que les fichiers chiffrés soient stockés sur leur machine ou dans le cas des entreprises de leur centre de données. C’était généralement suffisant pour collecter des sommes importantes en très peu d’efforts.
L’attaque bien documentée de WannaCry a marqué le début d’une nouvelle vague de ransomwares. Cependant, la propagation sans discrimination s’est avérée plus dangereuse car elle exploitait les vulnérabilités de manière plus sophistiquée. WannaCry et NotPetya se sont propagés de pair à pair et hors des frontières de l’entreprise, infiltrant des systèmes non corrigés et prenant à la fois des données et des otages de données. Bien que les cybercriminels n’aient pas nécessairement obtenu des fortunes en échange de leurs efforts, ces attaques ont été dévastatrices et ont offert un avenir troublant.
Que pouvez-vous attendre d’un ransomware de gros gibier?
Les ransomwares manquent toujours de subtilité. Loin de saper de petites quantités régulières ou d’espionnage discret des communications d’entreprise, ils s’apparentent davantage à des vols à main armée. Le but est d’être vu, effrayé et payé. Les ransomwares ne sont pas non plus très furtifs, surtout lorsqu’ils ont commencé à chiffrer des fichiers ou à désactiver des systèmes.
Inversement, le ransomware «chasse au gros gibier» infecte discrètement de nombreux systèmes sur le réseau de la victime avant de faire du bruit et de rester silencieux jusqu’au stade de la destruction.
L’énorme télétravail introduit pendant la crise du COVID-19 a permis à de nombreux attaquants d’infiltrer plus facilement les réseaux et de prendre le temps de se préparer à des attaques plus sophistiquées … comme nous le verrons peut-être dans les mois à venir.
Active Directory, l’épine dorsale des nouvelles attaques de ransomwares
Nous avons récemment étudié un nouveau type de ransomware appelé Save the Queen, qui se propage à partir des serveurs Active Directory de la victime (contrôleurs de domaine).
Les contrôleurs de domaine ont les clés du monde numérique. Presque tout autre système s’y connecte, ce qui le rend très important et en fait une cible principale pour la distribution de ransomwares. En raison de leur importance, la manipulation des serveurs Active Directory nécessite des droits d’accès étendus, exactement ce dont les cybercriminels bénéficient dans ce cas. L’ANSSI s’intéresse – et est au courant – depuis longtemps sur ce sujet et vient de publier une collection sur AD Security: https://www.cert.ssi.gouv.fr/uploads/guide -ad.html
L’accès est l’une des raisons pour lesquelles les ransomwares de gros gibier sont si troublants. Pour les cybercriminels, infiltrer un réseau est un jeu d’enfant. Ils peuvent facilement accéder à des applications de niveau supérieur ou à des comptes administratifs. Ils peuvent également utiliser leur propre infrastructure contre leur victime. Les auteurs de Save the Queen l’ont fait.
Avec tous ces accès, l’attaquant peut accéder à des données extrêmement sensibles: informations financières, propriété intellectuelle, monétiser ces informations confidentielles, copier des fichiers importants avant de les chiffrer pour menacer de les publier. Il faudrait être naïf pour penser qu’ils n’ont pas réussi à s’en éloigner et le phénomène est suffisamment grave pour mériter d’être inversé. Certains cybercriminels peuvent ne pas vouloir s’embêter à chercher quand ils peuvent se contenter d’une entrée et d’une introduction rapide, efficace et facile. Mais plus ces groupes sont organisés et efficaces pour gagner de l’argent sur la propriété de quelqu’un d’autre, plus ils sont susceptibles de ne laisser aucune miette à leurs victimes.
Quatre étapes pour protéger votre entreprise * Sachez où les données de propriété intellectuelle, les informations financières, les données personnelles et les e-mails sensibles sont stockés avant que les cybercriminels ne tentent de les voler, de les transmettre ou de les chiffrer. Limitez l’accès à ceux qui en ont absolument besoin pour réduire la surface de l’attaque. * Identifiez la période pendant laquelle l’indisponibilité d’un système ou de données aura les pires conséquences, par exemple, les jours précédant la semaine la plus occupée de l’année. Les cybercriminels sont intéressés par ce type d’informations sur leurs victimes. Mieux vaut avoir élaboré un plan d’affaires pour la continuité / reprise plutôt que d’avoir à improviser sous pression. * Une grande partie de la prévention des ransomwares repose sur les sauvegardes. Bien qu’évidemment important, le défi consiste à décider lesquels restaurer, en particulier en ce qui concerne les fichiers. Sans suivi de l’activité du système de fichiers, de nombreuses entreprises doivent saisir une rançon pour savoir ce qui a été chiffré et quand. Si le registre d’activité de fichier n’existe pas, il doit être créé. Cela fournit ensuite des informations sur les activités des utilisateurs infectés. * Profitez de l’automatisation. Des journaux d’activité et d’analyse adéquats permettent de détecter et d’arrêter les attaques potentielles avant qu’elles ne se propagent. Hiérarchisez et analysez les activités des ensembles de données et les systèmes critiques tels que les grands entrepôts de données, Active Directory et d’autres données télémétriques qui peuvent alerter lorsqu’un cybercriminel est entré sur le réseau.
Actuellement, les fournisseurs de télécommunications offrent un moyen simple d’accéder aux ressources, notamment en raison des capacités de recherche et de filtrage offertes par les outils de collaboration utilisés. Dans le même temps, la plupart des entreprises ne sont pas prêtes à détecter une activité inhabituelle générée par ces utilisateurs externes. Le but principal de toute entreprise est de détecter les cybercriminels qui tentent d’en profiter pour neutraliser leurs activités le plus rapidement possible.LIEN
Paralyser les systèmes informatiques les plus importants des grandes industries: tel est l’objectif d’Ekans, une rançon. Très sophistiqué, ce serait l’œuvre de pirates indépendants, pas d’un État.
Ekans /Abo Il peut se déboîter la mâchoire pour avaler tout rond des proies plus grosses que lui. Il se replie ensuite sur lui-même pour digérer.
Les cyberattaques contre les systèmes industriels sont assez rares et sont attribuées à presque tous les États, compte tenu de leur niveau sophistiqué. C’est notamment ce qui s’est passé en Ukraine avec la division de la distribution électrique lors du piratage de la centrale d’Ivano Frankivsk fin 2015 ou même avec la destruction de centrifugeuses d’enrichissement nucléaire en Iran en 2010.
Cette fois, les chercheurs des sociétés de cybersécurité Sentinel One et Dragos ont découvert le ciblage de code pour les installations industrielles. Il peut être attribué à des pirates indépendants selon eux. Le code appelé Ekans, ou Snake, est spécifiquement destiné aux raffineries, aux réseaux de distribution d’électricité et aux lignes de production des usines. Au lieu d’essayer de détruire ou de prendre le contrôle des installations, c’est la technique simple du ransomware. Tout d’abord, le code arrête 64 processus liés aux logiciels spécifiques aux commandes industrielles. C’est à partir de ceux-ci que les pirates peuvent accéder et chiffrer les données qui interagissent avec des systèmes importants. Les auteurs demandent le paiement d’une rançon pour les libérer.
Ne payez pas pour perdre gros
Comme toujours, l’attribution de l’attaque est compliquée et, au cours de ses enquêtes, Dragos a retiré une attribution potentielle à une équipe d’État iranienne. Le mode de fonctionnement semble beaucoup plus proche de celui utilisé par les criminels venant dans les hôpitaux de rançon. Ils savent que ces institutions feront tout leur possible pour payer une rançon afin d’assurer la continuité de leur mission. Et pour les industriels, c’est une véritable bénédiction car la plus petite paralysie peut coûter très cher.
Ce n’est pas la première fois qu’un ransomware conçu par des pirates indépendants attaque les processus des systèmes de contrôle industriels. Selon Dragos, une autre souche de code connue sous le nom de Megacortex a été identifiée au printemps 2019. Elle comprenait les mêmes fonctionnalités et pourrait bien avoir été développée par la même équipe.
Ransomware: Les opérateurs de Revil / Sodinokibi ont brièvement revendiqué le vol d’une très grande quantité de données de ce spécialiste de l’imagerie 3D. Avant de supprimer les traces. Une intrusion aurait pu se produire via un système Citrix NetScaler vulnérable ou un service RDP disponible sur Internet, entre autres.
FARO Technologies est un spécialiste reconnu de la mesure et de l’imagerie 3D. L’année dernière, l’entreprise s’est distinguée notamment par sa collaboration avec AGP (Arts Graphiques et Patrimoine) pour réaliser une opération de numérisation 3D de Notre-Dame de Paris en cas d’urgence.
L’objectif: « en une journée, procéder à un examen 3D précis du bâtiment après incendie pour établir un diagnostic des dégâts ». Auparavant, les outils FARO avaient déjà été utilisés pour numériser de nombreux bâtiments historiques, dont le monastère du Mont-Saint-Michel. Mais la portée de sa technologie va bien au-delà, par exemple, de l’inspection de grandes structures complexes, y compris même pendant la construction, ou de la modélisation de scènes de crime, entre autres.
FARO Technologies est apparu pour la première fois sur le site, les opérateurs du ransomware Revil / Sodinokibi annonçant leurs victimes de la résistance à l’extorsion le 20 mai. Avec une menace: révéler une partie de leur vol, ce qui représente 1,5 To de données. Ce qui a été fait deux jours plus tard.
Dans leur publication originale, les cybercrapules ont revendiqué le vol de « plusieurs téraoctets de données » qui concernaient l’entreprise et ses clients, mais aussi des graphiques et du code source. Surtout, ils ont affirmé qu’ils étaient déjà en pourparlers pour « vendre les données les plus intéressantes » tout en accusant leur victime « d’essayer de cacher le piratage et la fuite de données ».
Le 25 mai, les cybercriminels ont mis à jour leur annonce: « Il n’y aura pas d’autre publication. FARO Technologies a trouvé un acheteur pour vos données. Pas le montant que nous espérions, mais toujours valable. » Très rapidement, toute mention de cette victime disparaîtrait. du site Revil / Sodinokibi Operators, récemment contacté par les rédacteurs, a déclaré n’avoir aucune information à partager sur ce sujet.
De son côté, il ne semble pas que FARO Technologies ait communiqué l’incident, ni à la presse ni à ses investisseurs: au moment de la publication de ces lignes, son site Internet est muet sur le sujet, de même que ses déclarations au policier boursier SEC.
Nous avons contacté le spécialiste de l’imagerie 3D à deux reprises le 27 mai avant d’obtenir un premier contact de son attaché de presse externe. Ce n’est qu’après un échange téléphonique que la réponse officielle de FARO Technologies est tombée le 4 juin: « Nous connaissons cette publication et nous l’étudions ». Cinq jours plus tard, après un premier rappel, rien de plus.
Cette annonce de FARO Technologies s’avère d’autant plus surprenante que les opérateurs Revil / Sodinokibi ne se lancent pas immédiatement sur l’affichage de leurs victimes: ils commencent par laisser la place à des négociations. Ainsi, les cibles des ransomwares ont initialement au moins sept jours pour céder aux demandes de leurs extorqueurs avant de doubler leur prix. Dans certains cas, cette première phase peut même durer deux semaines, selon plusieurs observations.
Ce n’est qu’après avoir considéré que les négociations ont échoué que les cyber-vagues ont commencé à menacer de transmettre les données volées dans le système d’information de leurs victimes – et même récemment de les vendre au plus offrant, par le biais d’enchères tenues à leur propre site Web. Par conséquent, il ne serait pas surprenant que le lancement du rançongiciel chez FARO Technologies ait eu lieu dans la première moitié de mai, ou même plus tôt.
Pendant ce temps, nous avons découvert un service RDP exposé directement sur Internet par une machine qui semble appartenir à FARO Technologies, selon les données de BinaryEdge. Dans de mauvais rapports sur les packages, Troy a déclaré à Mursch que pendant un certain temps, la société avait exposé un système Citrix Netscaler affecté par la célèbre vulnérabilité CVE-2019-19781, connue sous le nom de Shitrix. Il a été découvert le 11 janvier.
Onyphe a également constaté que le système avait été identifié comme vulnérable lors d’un incident survenu le 15 janvier. Et pour préciser que ce système est resté en ligne au moins entre le 8 décembre et le 8 février. Cependant, il n’existe aucun lien établi entre ces observations et les exigences des opérateurs Revil / Sodinokibi. Jusqu’à présent, après une nouvelle augmentation, FARO n’a rien dit de plus sur l’incident.LIEN
Le réseau informatique interne de la ville, son site Internet et le réseau judiciaire ont été paralysés pendant des heures. « Les systèmes d’information suivent actuellement les protocoles recommandés. Cela comprend la fermeture des serveurs, de nos connexions Internet et des PC. Veuillez ne pas vous connecter au réseau ni utiliser des applications informatiques pour le moment », ont averti des courriers électroniques reçus par des autorités locales.
Plus de 50 autorités locales ont été affectées par des ransomwares depuis janvier.
Les réseaux informatiques de la ville américaine de Knoxville, dans le Tennessee, ont été attaqués par des ransomwares, rapporte les médias locaux WVLT dans un article publié le 11 juin 2020. Knoxville est la 134e ville des États-Unis par la taille de sa population, avec 188 000 habitants. C’est également le 51e État ou municipalité des États-Unis à être touché par les ransomwares cette année, selon les déclarations de Brett Callow, chercheur au sein du cabinet de sécurité Emsisoft, à Ars Technica.
La ville de Knoxville, dans le Tennessee, a été victime d’une rançon qui a paralysé son réseau informatique, son site Internet et le réseau judiciaire. C’est la 51ème autorité locale des États-Unis à être victime de ransomware depuis le début de l’année.
Ils ont depuis été récupérés, bien que l’attaque puisse encore occasionner des inconvénients mineurs. Les services d’urgence tels que la police, les pompiers et la ligne d’assistance 911 n’ont pas été affectés lorsqu’ils fonctionnaient sur des systèmes distincts. De plus, aucun serveur de sauvegarde n’a été atteint, grâce auquel les services de la ville pouvaient rapidement revenir à la normale.
David Brace, directeur exécutif et maire adjoint, a déclaré que le Bureau des enquêtes du Tennessee et le Bureau fédéral des enquêtes (FBI) soutiennent la ville dans la résolution de cet incident. Alors que les enquêteurs n’ont pas encore trouvé l’étendue des rançongiciels, David Brace dit qu’aucune donnée sur la cybercriminalité n’a été volée.
Ces pièces jointes sont incluses en millions de dollars
Ces attaques informatiques sont parfois très coûteuses. Deux des incidents les plus connus se sont produits en 2018 à Atlanta et à Baltimore, entraînant des coûts de 12,2 millions de dollars et 18 millions de dollars, respectivement. Il est donc temps pour les villes de réaliser que le coût de leurs réseaux coûtera toujours moins cher qu’une attaque informatique. LIEN
Selon une enquête réalisée par Veritas, la responsabilité personnelle des dirigeants d’entreprise a été remise en cause en cas d’attaque de ransomware, selon 40% des 12 000 consommateurs interrogés dans le monde. Les Français, cependant, lancent d’abord des pierres sur les cybercriminels devant les dirigeants.
La responsabilité personnelle des dirigeants d’entreprise remise en cause.
Très souvent, lorsque des cyberattaques ont lieu, RSSI est en première ligne. A la fois pour éteindre le feu et prendre les précautions nécessaires pour éviter le pire, mais parfois même lorsqu’il s’agit de se trouver «responsable». S’ils s’avèrent plus ou moins exposés, les RSSI ne sont pas les seuls désignés, c’est également le cas des dirigeants de l’entreprise elle-même, à savoir leur PDG. Selon une enquête réalisée par Veritas, pour laquelle 12 000 consommateurs dans 6 pays (États-Unis, Royaume-Uni, Allemagne, France, Japon et Chine) ont été interrogés en avril 2020, 40% pensent même qu’ils sont personnellement responsables lorsque les entreprises sont compromises par attaques de rançongiciels.
Les administrateurs ne sont pas épargnés par les dommages subis et les jugements attendus sont aussi divers que surprenants. 42% exigent que les PDG s’excusent publiquement pour les ransomwares, tandis que 35% veulent qu’ils paient une amende. 30% des répondants vont jusqu’à déclarer que les PDG en question ne devraient plus pouvoir diriger une entreprise à l’avenir, tandis que 27% demandent leur démission, 25% une baisse de salaire et 23% demandent même sur la prison.
Les consommateurs français plus indulgents envers les PDG «En tant que consommateurs, nous acquérons de plus en plus de connaissances sur les ransomwares, nous ne pardonnons donc pas aux entreprises qui ne le prennent pas aussi au sérieux que nous», a déclaré Simon Jelley, vice-président des produits chez Veritas. . Cependant, il semble que les Français soient les répondants les plus indulgents des pays interrogés, avec moins d’un quart (24%) voulant blâmer les chefs d’entreprise, un peu plus de la moitié (55%) dans la conviction que seuls les criminels peuvent être accusés. pour les attaques de ransomwares, et seulement un tiers (36%) prévoient de se passer des services d’une entreprise attaquée. LIEN
Son nom bien choisi provoque la terreur et son comportement en fait un ransomware discutable. Thanos prospère sous Windows 7, 8.1 et 10 depuis octobre 2019 sous différents noms, mais ce n’est qu’en janvier 2020 qu’il a fait l’objet d’un rapport détaillé publié par la société Inskit Group. Il s’agit d’une famille de ransomware qui possède à son ancêtre un seul outil développé par un hacker nommé Nosophoros.
Cet outil est capable de générer un ransomware personnalisé basé sur 43 paramètres de configuration différents. La solution est disponible sur le Dark Web et en particulier sur les forums de piratage russes comme les logiciels de type « ransomware as a service ». En d’autres termes, Nosophorus recrute d’autres pirates pour diffuser des logiciels malveillants. Ce dernier obtient une part de revenu d’environ 60 à 70% pour tout paiement de rançon.
Thanos: premier ransomware à tirer parti de l’erreur RIPlace qui la rend indétectable
RIPlace est une technologie de camouflage qui a été dévoilée comme preuve de concept fin 2019 par des scientifiques de Nyotron. Il est utilisé pour modifier des fichiers indétectables par Windows et par un antivirus. Par conséquent, les attaquants peuvent contourner diverses protections contre les ransomwares pour crypter les fichiers sur les machines ciblées.
Lire aussi – Ransomware: les pirates s’excusent pour les dégâts qu’ils ont causés à leurs victimes!
Nyotron a partagé sa découverte avec les fournisseurs d’antivirus et Microsoft. À l’époque, la plupart d’entre eux estimaient que cette technique ne devait pas être traitée comme une vulnérabilité, d’autant plus que son utilisation réelle n’a pas été prouvée. Seuls Kaspersky et Carbon Black (appartenant à VMware) avaient modifié leur logiciel pour empêcher cette technique d’être appliquée.
Dans un nouveau rapport publié le 10 juin 2020, Inskit Group décrit comment la vulnérabilité RIPlace est utilisée par Thanos, le premier ransomware à l’utiliser. Les chercheurs pensent que les logiciels malveillants continueront d’être exploités, individuellement ou collectivement, dans le cadre du programme d’affiliation de son créateur. La nouvelle version devrait inciter Microsoft et d’autres fournisseurs de protection à intervenir.
Le but initial du créateur du virus « I Love You » n’était pas de créer des logiciels malveillants dangereux mais de surfer gratuitement sur Internet.
L’écrivain de code informatique, qui a causé des milliards de dollars de pertes au début des années 2000, vit maintenant une vie modeste et à faible kilométrage à Manille, selon la BBC.
Le 4 mai 2000, le virus « I Love You » s’est propagé à travers le monde de manière fulgurante. En quelques jours, il a frappé les systèmes informatiques du Pentagone, de la CIA et de grandes entreprises comme L’Oréal, Siemens et Nestlé. Ce petit morceau de code a infecté des dizaines de milliers d’ordinateurs, ce qui en fait l’un des virus les plus virulents de l’histoire.
L’auteur a été identifié quelques jours plus tard: un Philippin de 24 ans nommé Onel de Guzman. Il ne sera pas inquiet, car à cette époque, la législation de son pays ne contient pas ce type d’infraction. Vingt ans après l’incident, un journaliste britannique l’a trouvé à Manille, la capitale, et l’a interrogé sur ses motivations dans un reportage publié le 4 mai sur le site Internet de la BBC.
Selon l’auteur du virus « I Love You », son objectif initial n’était pas de créer des logiciels malveillants dangereux, mais simplement de surfer gratuitement sur Internet. À ce moment-là, vous pouviez vous connecter au réseau à partir de différentes lignes téléphoniques avec le mot de passe et l’ID de quelqu’un d’autre. On dit que De Guzman a envoyé une version initiale de son virus à quelques cibles pour récupérer leurs codes, des personnes avec lesquelles il avait l’habitude de socialiser dans les salles de chat en ligne.
Recherche dans le carnet d’adresses
C’est plus tard que le jeune homme arme son virus pour qu’il se propage automatiquement et fouille dans les ordinateurs infectés à la recherche du carnet d’adresses du logiciel de messagerie Outlook et s’envoie ensuite à des dizaines de correspondants. De Guzman a l’idée de nommer son virus LOVE-LETTER-FOR-YOU.TXT.VBS. « Je pensais que beaucoup de gens veulent une petite amie, ils veulent de l’amour », a-t-il déclaré à la BBC aujourd’hui.
Beaucoup de gens cliquent sur ce message qui, si vous regardez trop vite, regarde un fichier texte « TXT » mais se révèle être un morceau de code informatique « VBS » si vous intervenez pour lire son nom jusqu’au bout. Agressif infecte la mémoire de l’ordinateur en remplaçant les photos ou les morceaux de musique qu’il détruit au cours du processus. « I Love You » est responsable de dommages estimés à 10 milliards de dollars.
Onel de Guzman a aujourd’hui 44 ans. Interrogé par la BBC, il a regretté les dégâts causés. «Je n’aurais jamais imaginé que le virus irait aux États-Unis et en Europe. Cela m’a surpris », dit-il maintenant. Il va même jusqu’à confesser … souffrant de sa renommée. «Parfois, ma photo apparaît sur Internet. Mes amis me disent: « Mais c’est toi! » Je suis une personne timide, je ne veux pas. «
Un petit atelier
Un discours qui contraste avec celui qu’il a prononcé quand il était plus jeune. En 2000, quelques mois à peine après la création du virus, le jeune homme a déclaré au New York Times: « Je pense que je fais partie de l’histoire des Philippines. Il ne peut pas être supprimé. À l’époque, la blessure ne lui causait pas autant d’émotion. De Guzman souligne la responsabilité de Microsoft de commercialiser des «produits vulnérables».
Le jeune homme imagine même un avenir en tant que concepteur de logiciels inviolables. Selon lui, de nombreuses sociétés informatiques ont tenté de le pousser dans les semaines qui ont suivi la publication du virus, mais Onel de Guzman ne trouve pas de travail lorsque son avenir juridique se précise quelques mois plus tard.
Il n’obtient pas non plus son diplôme universitaire après avoir rejeté sa thèse finale. Cette thèse a été reproduite avant la date fatidique du 4 mai, décrivant un programme informatique proche du virus « I Love You ». Son professeur l’a ensuite rejeté avec la déclaration « C’est illégal. Nous ne formons pas de voleurs ».
Onel de Guzman gère maintenant un petit atelier pour téléphones portables avec un comptoir étroit et désordonné. C’est là que la BBC l’a trouvé après une longue enquête à travers des forums obscurs dédiés à l’internet souterrain philippin, puis des dizaines d’ateliers à Manille. LIEN1 LIEN2
Ransomware: Le groupe reconnaît une cyberattaque sur ses serveurs Congo le 14 mai. Il rend toujours compte des enquêtes en cours sans fournir plus de détails. L’attaquant menace bientôt de divulguer des données volées.
Le groupe Bolloré est apparu sur le blog des opérateurs de ransomware NetWalker ce week-end. L’incident remonte en fait à la mi-mai, mais il ne semble pas toucher autant le groupe que l’une de ses différentes filiales. LIEN
Les ransomwares sont dangereux parce que, dans de nombreux cas, la victime estime qu’elle n’a pas d’autre choix que de payer, en particulier lorsque l’alternative consiste à laisser toute l’organisation en faillite pendant des semaines, voire des mois, alors qu’elle tente de reconstruire le réseau à partir de zéro.
Mais payer une rançon pour les cybercriminels peut en fait doubler le coût de la récupération, selon l’analyse des chercheurs de Sophos publiée dans le nouveau rapport State of Ransomware 2020.
Une étude des organisations touchées par des attaques de ransomwares a révélé que le coût total moyen d’une attaque de ransomwares pour les organisations qui ont payé une rançon est de près de 1,4 million de dollars, tandis que pour celles qui n’en ont pas. fait une demande de rançon, le coût moyen est la moitié de celui-ci, estimé à 732 000 $. LIEN
Le code source de l’une des souches de ransomware les plus rentables et avancées disponibles aujourd’hui est disponible sur deux forums de piratage en russe.
Le code source d’une souche de ransomware majeure appelée Dharma a été vendu sur deux forums de hackers russes au cours du week-end.
Le FBI a classé la RSA Security Conference Dharma de cette année comme le deuxième programme de rançon le plus lucratif de ces dernières années, après avoir extorqué plus de 24 millions de dollars en paiements aux victimes entre novembre 2016 et novembre 2019. Maintenant, son code source est en vente pour un prix de $ 2 000 – ce qui inquiète les chercheurs en sécurité.
Plusieurs experts en ransomware ont déclaré que la vente du code de ransomware Dharma entraînerait probablement sa publication éventuelle sur Internet et à un public plus large. Ceci, à son tour, se traduira par une diffusion plus large parmi plusieurs groupes de cybercriminalité et une augmentation possible des attaques.
La raison pour laquelle tout le monde s’inquiète est que Dharma est une souche avancée de ransomware, créée par un auteur de malware expérimenté. Ses outils de cryptage sont très avancés et indescriptibles depuis 2017. Pour être plus précis, les seuls ransomwares ont été « décryptés », c’est lorsque des étrangers ont révélé les clés de décryptage des clés – et non à cause d’une erreur de cryptage. Lien
La spécialiste de la lingerie fine Lise Charmel a été frappée par un ransomware en novembre dernier qui chiffrait les postes de travail et paralysait son activité. La société lyonnaise s’est rendue à la réception le 27 février 2020, il était temps de se remettre.
Coup chaud à Lise Charmel. La société lyonnaise, spécialisée dans les sous-vêtements fins, a conclu une réception le 27 février 2020 à Lyon devant le tribunal de commerce. Cette décision a été prise à la suite des difficultés du groupe très gravement déstabilisé depuis le 8 novembre 2019 suite à une cyberattaque. « Le matin du 8 novembre, à 7 heures du matin, les employés des services logistiques ont trouvé leur poste chiffré », a déclaré à la Salade Lyonnaise Olivier Piquet, PDG de Lade Charmel. Lien
Les ransomwares deviennent un sujet de base pour toutes les organisations publiques et privées. Pour les seuls États-Unis, leur impact économique est estimé à 7,5 milliards de dollars pour l’année 2019, selon un rapport de la société Emisoft. Ces cyberattaques affectant les hôpitaux, les administrations ou les entreprises causent également des dommages humains car de nombreuses personnes sont gênées dans leur travail ou n’ont plus accès à un service.
Selon un rapport de chercheurs de la société Dragos, certains ransomwares pourraient bien aller au-delà de ces menaces habituelles. Les chercheurs ont en fait découvert des logiciels malveillants appelés Ekans qui diffèrent de ce que nous savons. Son code recherche spécifiquement les systèmes de contrôle industriels et tente de les arrêter. Le logiciel est capable de reconnaître 64 processus différents qui pourraient théoriquement lui permettre d’intervenir sur des sites industriels sensibles.
L’impact d’Ekans reste limité à l’heure actuelle
Cependant, selon Dragos, il n’y a rien à paniquer pour le moment. Les ransomwares restent assez limités en termes d’efficacité car ils ne disposent pas de mécanismes intégrés pour les diffuser. Cependant, il est important d’en être conscient car la spécificité de sa conception a des raisons d’être inquiète. Il y aurait donc une réelle intention de cibler des processus qui n’étaient pas présents auparavant dans ce type de malware.
Depuis la découverte d’Ekans en décembre 2019, nous soupçonnons l’implication des pouvoirs publics et notamment de l’Iran, mais selon les chercheurs, l’existence d’une telle connexion est très difficile à établir. Par le passé, les gouvernements ont déjà utilisé des logiciels malveillants pour intervenir dans des installations industrielles. On se souvient surtout du ver Stuxnet il y a dix ans. Il aurait été créé par la NSA en collaboration avec les services secrets israéliens. L’objectif était alors d’infecter les ordinateurs de contrôle des centrifugeuses d’enrichissement d’uranium en Iran.Lien
La filiale Construction de Bouygues, touchée par un ransomware le 30 janvier 2020, traverse actuellement une grave crise informatique. « Les équipes informatiques de Bouygues Construction, accompagnées d’experts externes et internes au groupe Bouygues, continuent de restaurer le système d’information et de mettre progressivement les fonctionnalités en service », a indiqué la société dans un communiqué mercredi. La société a été ciblée par un groupe de cybercriminels identifiés sous le nom TA2101 par les différents centres de réponse aux alertes et aux attaques (CERT), qui ont utilisé le rançongiciel Maze pour bloquer 237 ordinateurs et voler, une richesse de données variant selon les différentes sources (200 Go pour Zataz et jusqu’à plusieurs To selon l’ordinateur Bleeping).
« Ils [les pirates informatiques] m’ont informé qu’ils avaient 200 Go de données, 700 ou 1 000 téraoctets de données que vous voyez circuler, ce qui correspond à la taille totale du volume des 237 ordinateurs et serveurs cryptés », a expliqué le fondateur Damien Bancal de Zataz et leader du cluster 8brain cyber intelligence. « Les chiffres concernent les noms de domaine, les rapports, les passeports et concernent un peu plus de soixante pays: Canada, France, Autriche, Tchécoslovaquie, Pologne … ». A ce jour, selon une source interne chez Bouygues Construction, 200 machines ont été nettoyées. Bouygues Construction est loin d’être la seule entreprise en France ciblée par le groupe pirate et le rançongiciel Maze, c’est également le cas notamment pour les hôtels Holiday Inn et Hilton.Lien
Il s’agit d’une première mondiale: les sociétés de cybersécurité Dragos et Sentinel One ont identifié une solution capable de comprendre et de chiffrer non seulement les systèmes d’information d’entreprise mais également les communications entre les machines industrielles à l’intérieur de l’atelier. Une découverte qui suggère de nouvelles cybermenaces.
Une tendance majeure des cyberattaques en 2019 est le ransomware (ransomware) en passe de monopoliser le front de la cyberactualité en 2020. Et avec le piratage des systèmes d’information de Bouygues Construction depuis le 30 janvier, revendiqué par le groupe de cyber malware Labyrinth, et que l’industrie va suivre Aujourd’hui pour l’Australian Maritime Freight Group, l’industrie semble s’imposer comme l’une des nouvelles cibles de choix.
Jusqu’à présent, presque tous les ransomwares se limitaient à infiltrer les systèmes d’information d’entreprise (TI) pour ces industries et à crypter les informations qui y sont stockées. Généralement, une telle opération paralyse certainement un grand nombre de terminaux pendant quelques jours ou quelques semaines, mais ne cause pas de dommages physiques. Mais la situation pourrait devenir plus préoccupante en 2020. Lien
À la Nouvelle-Orléans, la propagation rapide des ransomwares a contraint le personnel de la ville à fermer la plupart des systèmes informatiques. Le maire a même déclaré une urgence dans son administration. Le FBIenquête.
À la fin de la semaine dernière, la ville de la Nouvelle-Orléans aux États-Unis a dû décider d’arrêter et d’arrêter tous ses ordinateurs, la cible d’une cyberattaque particulièrement virulente utilisant un ransomware (ou ransomware). Pour rappel, ces programmes informatiques qui sont déjà à l’origine d’incidents graves (on se souvient des dégâts causés par WannaCry ou NotPetya) bloquent l’accès aux machines, chiffrent les données et nécessitent le paiement d’une rançon en échange de la clé qui permet de retrouver l’accès à son ordinateur.
C’est donc un logiciel de ce type qui n’a été utilisé que quelques heures dans les systèmes informatiques de l’administration de la ville de Louisiane, obligeant LaToya Cantrell, maire de la ville, à déclarer une urgence au sein de son administration. Rien de moins.
Le groupe vient de reconnaître avoir connu une attaque par ransomwares, ainsi qu’une attaque sur les points de vente de sa filiale Courir. Mais il continue de limiter sa communication.
Le groupe Go Sport vient de reconnaître, de la part de nos confrères de Challenges, qu’il devait faire face à une rançon fin octobre. Son président, Philippe Favre, déclare avoir « préféré essayer de résoudre le problème plutôt que d’en parler ». Et pour s’assurer « qu’il a fallu un bon mois pour reprendre une activité normale ». Selon lui, l’impact opérationnel a été limité. Lien
Vendredi dernier, une attaque informatique à grande échelle a visé le CHU de Rouen et paralysé le système d’information de l’institution. En conséquence, le personnel a été contraint de passer plusieurs jours sans ordinateur, ce qui a entraîné de nombreux retards. Si nous ne connaissons pas actuellement l’origine du piratageinformatique, ce serait une attaque par Ransomware.
Ces dernières années, les établissements de santé ont été particulièrement ciblés sur les cyberattaques car ils contiennent des données sensibles, parfois sans les moyens nécessaires à la sécurité de leurs ordinateurs. Vendredi dernier, le CHU de Rouen a été pris pour victime. Lien
Un « cryptovirus » d’origine inconnue a été injecté sur un ordinateur de Agglo de Grand-Cognac.
L’attaque remonte au samedi 12 octobre, vers 14 heures. Un « cryptovirus » d’origine inconnue a été injecté sur un ordinateur de Agglo de Grand-Cognac. « Cela a eu pour effet de chiffrer toutes les données sur les serveurs et toutes les sauvegardes », a déclaré le président Jérôme Sourisseau.
Agglo était, pour le moment, discret sur les conséquences de cette attaque, indiquant simplement que toutes les adresses électroniques de l’agent ne fonctionnaient pas. Mardi matin, Jérôme Sourisseau s’est réuni au personnel de Jarnac pour expliquer ce qui s’est passé.
Le virus est d’un nouveau genre. Des montagnes de données semblent certainement perdues. Les éléments qui se trouvaient sur d’autres serveurs, y compris les données sur les ressources humaines (paie, congés) et les finances (mandats, facturation) ne sont pas affectés. Le site Agglo est également opérationnel. En revanche, Grand-Cognac a tout perdu pour des dossiers d’urbanisme, des marchés publics, des coursiers …
La médiathèque Stéphane-Hessel et le centre socioculturel Passerelle ont proposé des cours d’informatique aux personnes âgées afin de les rendre autonomes sur ordinateur. C’est l’une des activités les plus populaires proposées dans le cadre des semaines bleues. Confortablement installés dans la salle, quatorze stagiaires, répartis en deux groupes, ont suivi une introduction à l’informatique, à la gestion informatique, à la gestion de fichiers et au traitement de photos. Ils ont attrapé ces outils, qui font partie de la vie quotidienne. Ces cours, où la capacité de travailler fait partie de la technique, se sont déroulés en quatre sessions de trois heures chacune. Le petit nombre de stagiaires a permis à Audrey Morel, la coordinatrice numérique, de se rapprocher des « apprentis » de l’ordinateur. « L’objectif est de rendre l’ordinateur accessible à tous, réduisant ainsi l’écart entre les générations », a déclaré l’orateur, qui a également déclaré que de nombreuses personnes âgées se sentaient impuissantes face aux nouvelles technologies. Lien
Qu’est-ce qui se met en place au niveau du lycée, alors que la France marque son retard par rapport à certains pays ?
Gérard Berry, brillant informaticien-polytechnicien, qui a longtemps enseigné à l’INRIA, l’institut national de recherche dédié aux sciences du numérique, a été titulaire de la chaire « Algorithmes, machines et langages » de 2013 à 2019. Son riche parcours a été consacré par une médaille d’or du CNRS en 2014.
Cette semaine et la semaine prochaine, je vous propose de plonger dans la révolution de la science informatique, en sa compagnie dans le cadre de la série de cours donnée en 2019 sous le titre « Où va l’informatique ? » Comment l’hyper-puissance de l’informatique provoque-t-elle de véritables inversions mentales entre façons de faire et entre les générations ? Article France Culture
Bien qu’il soit indiqué qu’un correctif est en cours de révision, aucune date de publication n’a été avancée. Microsoft indique uniquement qu’un correctif sera proposé « dès que possible ». De nouvelles mises à jour cumulatives sont attendues dans la cartouche de juillet mardi.
Le problème n’est pas uniquement lié à la mise à jour cumulative KB4497934. Il concerne toutes les mises à jour publiées en mai 2019. Les détails sont en détail.
Windows 10 v1809 – 21 mai 2019 – KB4497934 (version OS 17763,529)
Windows 10 v1803 – 21 mai 2019 – KB4499183 (version OS 17134.799)
Windows 10 v1709-28 Mai 2019 – KB4499147 (version OS 16299.1182)
Windows 10 v1703 – 28 mai 2019 – KB4499162 (version OS 15063.1839)
Windows 10 v1607 – 23 mai 2019 – KB4499177 (version OS 14393.2999)
Ce problème se trouve également dans Windows Server 2016 et Windows Server 2019. Savoir qu’il n’y a pas de solution est le seul moyen de résoudre le problème et de désinstaller cette mise à jour. Cependant, cela n’est pas recommandé en raison de leur nature. Ceci est un correctif de sécurité.
L’association LAIQUE.EU, située à Hyères, vous accueille pour des cours d’informatique, niveau débutant ou avancé, sans limite d’âge.
L’association regroupe des membres partageant les mêmes attentes: acquérir des compétences en informatique et savoir utiliser un ordinateur. Association pour l’échange et l’assistance mutuelle, LAIQUE.EU est un lieu où vous pouvez vous initier à l’informatique de manière ludique, entre débutants. L’association offre à ses membres une structure éducative, un cadre et une éducation.
Cliquez pour accéder à l'application.
Cliquez pour accéder à l'application.
