Catégories
Aérien Android Apple Association Attaque Bitcoins COVID-19 Ekans Entreprise de construction Etude EvilQuest GandCrab Hakbit Hôpital hyères informatique Mac MacOS Mairie maze Nefilim NetWalker Non classé Orange presse prix Ragnar Locker Ransomware revil Ryuk Sécurité Service informatique Shade sodinokibi SolarWinds Sunburst Technologie ThiefQuest Uncategorized vidéo

Comment la vulnérabilité informatique est-elle mesurée?

Le score CVSS est utilisé presque systématiquement pour évaluer le danger des vulnérabilités. Mais savez-vous quel calcul se cache derrière le score sur 10?

Il faut dire que la cybersécurité regorge de termes spécifiques et autres acronymes (et anglophones, d’ailleurs) pour qualifier les scénarios d’attaque. On parle de RCE, XSS, de « web shell » ou même d’élévation de privilèges. Les balles d’avertissement sont le plus souvent destinées aux spécialistes et n’utilisent que du jargon. Ils soulignent rarement les risques concrets qu’une nouvelle vulnérabilité pose au public.

SUITE… Avec Numerama.com

Catégories
Attaque Etude Hôpital hyères informatique Mac Mairie maze Orange presse prix Ragnar Locker Ransomware Ryuk Service informatique Technologie Uncategorized

Des auteurs de ransomwares arrêtés en Ukraine

La police ukrainienne a arrêté le 9 février plusieurs membres d’un groupe de cybercriminels à l’origine de plusieurs attaques informatiques dans le monde, dont le quotidien Ouest France, la police et des sources proches ont raconté l’affaire ce jeudi.

Cette « opération internationale », menée en coordination avec les policiers français et ukrainiens ainsi qu’avec le FBI, a mis un terme à la diffusion du ransomware appelé « Egregor », décrit la police dans un communiqué.

Piratage informatique

Au moins 150 entreprises ont été attaquées, principalement aux États-Unis et en Europe, avec des pertes estimées à environ 66 millions d’euros, selon les premiers éléments de l’étude publiée par les services de sécurité ukrainiens (SBU). Selon une source proche du dossier, au moins trois personnes ont été arrêtées dans cet acte. Les domiciles des suspects ont été perquisitionnés et le matériel informatique saisi est « toujours utilisé » par les enquêteurs français envoyés sur les lieux, selon la police.

Les solutions de sécurité informatique Hyères

C’est un rapport d’Europol en septembre qui a conduit le parquet de Paris à ouvrir une enquête en France, remise à la sous-direction cybercriminalité (SDLC). Le groupe a pratiqué la technique de la « double extorsion »: d’une part le cryptage et le vol des données de l’entreprise ciblée, d’autre part la menace de publier ces données compromises sur un site internet si l’entreprise refusait de payer une rançon en bitcoins, le la plus célèbre des monnaies virtuelles.

Le ransomware s’est propagé par pré-intrusion « via l’envoi d’e-mails de phishing et un accès à distance Windows mal sécurisé au bureau », a déclaré la police française. Particulièrement sophistiqué, « Egregor » pourrait prendre le contrôle des imprimantes connectées aux ordinateurs infectés et imprimer la rançon, « amplifiant encore l’impact psychologique de l’extorsion », a déclaré la même source.

Plusieurs entreprises françaises ont été visées par «Egregor», dont le quotidien Ouest France, le transporteur Gefco et le géant du jeu vidéo Ubisoft. Deux attaques de ransomware ont été ciblées ces derniers jours contre des hôpitaux de Villefranche-sur-Saône (Rhône) et de Dax (Landes), mais elles ne portent pas la signature «Egregor». Il a travaillé sur le modèle du logiciel à la demande (Raas, Ransomware as a Service): ses créateurs l’ont mis à disposition d’autres hackers, «affiliés», qui ont pris la responsabilité des attaques avant de partager les bénéfices.

Les détenus font partie « plutôt que de l’équipe de conception et de production », a déclaré Catherine Chambon, directrice adjointe de la lutte contre la cybercriminalité à la magistrature centrale. Si Catherine Chambon qualifie l’opération contre «Egregor» de «démantèlement assez efficace», elle exhorte à rester «très prudente et modeste» sur ce qui ressemble à «un brouillard».

L’origine du mal

Selon l’Agence nationale de sécurité des systèmes d’information (Anssi), « Egregor serait lié à la fin de l’activité du groupe d’attaquants derrière le ransomware Maze », notamment à l’origine d’une attaque contre Bouygues Construction en janvier 2020. À son tour,  » Egregor « pourrait-il renaître sous une autre forme? « Il est possible que ce soit la vie d’un ransomware », a répondu Catherine Chambon. «L’idée est de mettre progressivement en sécurité les cybercriminels afin qu’ils se sentent moins impunis. Même si, une fois qu’il y a un crime, il a peu de chances de disparaître ».

Catégories
Attaque Etude hyères informatique Non classé presse prix Ransomware Ryuk Sécurité

Ryuk aurait réclamé plus de 150 millions de dollars

Suite à l’invasion d’entreprises à travers le monde, on dit que le groupe de rançongiciels Ryuk a mis 150 millions de dollars dans la poche avec le paiement d’une rançon.

Les opérateurs de ransomware Ryuk auraient gagné plus de 150 millions de dollars en Bitcoin en payant de l’argent de piratage à des entreprises du monde entier.

c’est pas très clair!

La société de renseignement sur les menaces Advanced Intelligence (AdvIntel) et la société de cybersécurité HYAS ont publié jeudi une étude qui suit les paiements effectués sur 61 adresses Bitcoin, précédemment attribuées et liées aux attaques de ransomware de Ryuk.

« Ryuk reçoit une partie importante de la rançon d’un courtier bien connu qui effectue des paiements au nom des victimes du ransomware », affirment les deux sociétés. «Ces paiements s’élèvent parfois à des millions de dollars, mais ils se comptent généralement par centaines de milliers. « 

AdvIntel et HYAS expliquent que les fonds extorqués sont collectés sur des comptes de dépôt, puis transférés au blanchiment d’argent. Ensuite, soit ils retournent au marché noir et sont utilisés pour payer d’autres services criminels, soit ils sont échangés dans un véritable échange de crypto-monnaie.

Mais ce qui a le plus attiré l’attention des enquêteurs, c’est que Ryuk a converti son Bitcoin en véritable monnaie fiduciaire à l’aide de portails de crypto-monnaie bien connus tels que Binance et Huobi – probablement via des identités volées. D’autres groupes de ransomwares préfèrent généralement utiliser des services d’échange plus obscurs.

Cette enquête met également à jour nos chiffres sur les activités de Ryuk. Les derniers chiffres étaient datés de février 2020, après que des collaborateurs du FBI se soient exprimés lors de la conférence RSA. À l’époque, le FBI affirmait que Ryuk était de loin le groupe de ransomware actif le plus rentable avec plus de 61,26 millions de dollars générés entre février 2018 et octobre 2019, selon les plaintes reçues par son «Internet Crime Complaint Center».

Cette nouvelle étude de 150 millions de dollars montre clairement que Ryuk a conservé sa place au sommet, du moins pour le moment.

Au cours de l’année écoulée, d’autres groupes de ransomwares – tels que REvil, Maze et Egregor – se sont également fait un nom et ont été très actifs et ont infecté des centaines d’entreprises. Cependant, à l’heure actuelle, aucun rapport ne permet d’estimer les sommes déclarées de ces groupes. L’enquête la plus récente de ce type était celle de la société de cybersécurité McAfee, publiée en août 2020, qui estimait que le groupe de ransomware Netwalker avait accumulé environ 25 millions de dollars de rançon entre mars et août 2020.

Catégories
Attaque informatique presse prix Ransomware Sécurité Service informatique SolarWinds Sunburst Technologie

Les pirates de SolarWinds ont infiltré les systèmes en septembre 2019

CrowdStrike a découvert un autre malware impliqué dans l’attaque de SolarWinds, appelé Sunspot. Il a permis au code Sunburst d’être inséré dans le code source d’Orion, le logiciel SolarWinds compromis par des pirates.

SolarWinds compromis par des pirates.

Un par un, les mystères restants du piratage d’entreprise de SolarWind ont été résolus. CrowdStrike, l’une des sociétés chargées d’enquêter sur l’incident, a publié le 11 janvier un rapport sur des logiciels malveillants jusque-là inconnus impliqués dans la cyberattaque. Ce malware appelé « Sunspot » serait le premier maillon de l’attaque avant le désormais célèbre « Sunburst ».

Il aurait été introduit sur le serveur d’une entreprise dès septembre 2019. Plus précisément, Sunspot a infecté le moteur de production de SolarWind, le système responsable de l’assemblage des logiciels du groupe. Son objectif: espionner l’usine du logiciel Orion, le logiciel de gestion de réseau de l’entreprise.

Comme le note ZDNet, après une phase d’observation, Sunspot a inséré le code nécessaire pour créer le cheval de Troie Sunburst dans le code source d’Orion. Résultat: entre mars et juin 2020, si un client SolarWinds a installé la mise à jour logicielle, Sunburst s’est installé via le même canal. Ce dernier a ouvert une porte aux serveurs des victimes – plus de 18 000 organisations – dans laquelle les hackers pouvaient pénétrer.

Ils ont ensuite dû déposer manuellement un troisième logiciel malveillant, encore plus puissant, appelé « Teardrop », sur des systèmes proches des organisations qu’ils avaient en vue. Ils ont continué à espionner 250 organisations, dont de nombreux départements et agences du gouvernement américain: armée, renseignement, énergie… Ce sont des domaines critiques compromis par des hackers, « probablement » russes selon les autorités américaines.

L’attaque sur SolarWinds a donc duré de septembre 2019 à juin 2020 et n’a été découverte qu’en décembre 2020. C’est un constat d’échec pour l’entreprise victime, qui a désormais confié l’amélioration. de sa sécurité aux grands noms du secteur.

De leur côté, les enquêteurs ont presque atteint le bout de la chaîne des attaques. Il ne leur reste plus qu’à comprendre comment les pirates ont réussi à implémenter Sunspot sur le moteur de production SolarWinds. Les hypothèses sont répandues, mais cet élément reste un mystère pour le moment. Ensuite, ils devront décider qui a organisé l’attaque: les Russes, mais qui exactement? Certains médias, dont le Washington Post, évoquent APT29, surnommé Cozy Bear, un groupe de hackers d’élite affiliés à l’une des agences de renseignement russes.

Catégories
Attaque Hôpital informatique presse Ransomware Sécurité Service informatique Technologie

Et une cyberattaque pour Fareva « abricant pharmaceutique ».

La société Fareva, qui travaille principalement sur la commercialisation d’un vaccin contre Covid-19, est paralysée depuis le 15 décembre par une cyberattaque de type ransomware. On espère que les systèmes seront à nouveau utilisés avant la fin de la semaine.

Leader mondial de la sous-traitance industrielle

Le sous-traitant pharmaceutique Fareva lutte contre les ransomwares depuis le 14 décembre, et le redémarrage de son unité de production se fait lentement, selon les informations de France Bleu Touraine.

L’attaque a été annoncée dans la presse le 17 décembre: selon Les Echos, c’est le centre de données de l’entreprise basé à Savigny-le-Temple qui a été touché. En effet rebond, plusieurs usines du groupe spécialisées dans le transport et le conditionnement de produits pharmaceutiques et cosmétiques ont été fermées par l’attaque, selon le quotidien. Un reportage que la direction termine avec Les Echos, indiquant que seuls les sites français seraient concernés par l’attaque.

La direction du groupe a alors confirmé que la réponse rapide de l’équipe informatique avait permis de limiter les pertes de données et prévoyait le retour des sites de production à partir du 4 janvier. Mais selon France Bleu Touraine, citant des sources syndicales, les machines de l’usine d’Amboise sont toujours restées immobiles lundi, la quasi-totalité des ouvriers de l’usine étant en emploi de courte durée depuis le 22 décembre. La reprise progressive de l’activité sur place est désormais attendue ce week-end.

Fareva est une société basée au Luxembourg. Il a notamment été choisi par le groupe allemand CureVac pour conditionner le vaccin contre Covid-19. Pour le président du groupe Bernard Fraisse, le lien entre l’attentat et l’annonce serait « évident ».

Et l’hôpital de Hyères?

Outre Fareva, plusieurs hôpitaux français ont été victimes de cyberattaques en décembre: le centre hospitalier d’Albertville-Mûtier en Savoie a annoncé avoir été touché par un ransomware le 22 décembre. Le centre hospitalier a pu continuer à fonctionner dans un accident, mais plusieurs services et équipements ont été rendus inaccessibles par l’attaque. Plus tôt ce mois-ci, c’était l’hôpital de Narbonne qui avait déclaré avoir été victime d’une cyberattaque, mais cette fois, il s’agissait d’exploiter la puissance de calcul de ses équipements pour extraire de la crypto-monnaie. Si les dégâts ont été limités, les mesures prises pour désinfecter le système d’information ont contraint les salariés de l’entreprise à travailler plusieurs jours sans accès à Internet.

En décembre, les agences de cybersécurité française et allemande ont publié une déclaration commune mettant en garde le secteur contre la recrudescence des attaques contre les organismes de santé.

Le secteur de la santé a été confronté à plusieurs attaques en décembre 2020. L’attaque contre l’Agence européenne des médicaments au début du mois a permis à des tiers non autorisés d’accéder aux documents connexes. l’approbation des vaccins. IBM a également signalé une augmentation des attaques de phishing ciblant les entreprises chargées de fournir des vaccins. À l’échelle mondiale, Checkpoint confirme une tendance similaire, indiquant qu’il a connu une augmentation de 45% des attaques ciblant le secteur de la santé depuis novembre 2020.

Catégories
Attaque informatique presse Ransomware Technologie

Le journal Ouest France piraté par un ransomware

Le groupe Ouest France, qui a été perturbé il y a quelques jours par un « virus mystérieux », a en fait été cyber-attaqué par un ransomware.

ZATAZ peut confirmer que le groupe de presse français Ouest France, cyberattaque du samedi 21 novembre, était du groupe de hackers Egregor. Ces opérateurs de ransomwares malveillants confirment cette intrusion en communiquant, à travers la divulgation de preuves, l’intrusion et les otages 2.0

Le journal Ouest France piraté par un ransomware

Ces terroristes numériques ont téléchargé un fichier de plus de 80 Mo (1% de ce qu’ils auraient volé) pour signaler ce piratage.

Un hack qui a abouti au blocage de nombreuses machines au sein du groupe de presse et à l’obligation de réduire la publication du journal. Ouest France n’a pu sortir qu’une seule édition (au lieu de neuf) le dimanche 22 novembre.

La direction du journal n’a alors déclaré aucune fuite de données et n’avoir vu aucune demande de rançon. LIEN