Catégories
Aérien Android Apple Association Attaque Bitcoins COVID-19 Ekans Entreprise de construction Etude EvilQuest GandCrab Hakbit Hôpital hyères informatique Mac MacOS Mairie maze Nefilim NetWalker Non classé Orange presse prix Ragnar Locker Ransomware revil Ryuk Sécurité Service informatique Shade sodinokibi SolarWinds Sunburst Technologie ThiefQuest Uncategorized vidéo

Comment la vulnérabilité informatique est-elle mesurée?

Le score CVSS est utilisé presque systématiquement pour évaluer le danger des vulnérabilités. Mais savez-vous quel calcul se cache derrière le score sur 10?

Il faut dire que la cybersécurité regorge de termes spécifiques et autres acronymes (et anglophones, d’ailleurs) pour qualifier les scénarios d’attaque. On parle de RCE, XSS, de « web shell » ou même d’élévation de privilèges. Les balles d’avertissement sont le plus souvent destinées aux spécialistes et n’utilisent que du jargon. Ils soulignent rarement les risques concrets qu’une nouvelle vulnérabilité pose au public.

SUITE… Avec Numerama.com

Catégories
Attaque Etude Hôpital hyères informatique Mac Mairie maze Orange presse prix Ragnar Locker Ransomware Ryuk Service informatique Technologie Uncategorized

Des auteurs de ransomwares arrêtés en Ukraine

La police ukrainienne a arrêté le 9 février plusieurs membres d’un groupe de cybercriminels à l’origine de plusieurs attaques informatiques dans le monde, dont le quotidien Ouest France, la police et des sources proches ont raconté l’affaire ce jeudi.

Cette « opération internationale », menée en coordination avec les policiers français et ukrainiens ainsi qu’avec le FBI, a mis un terme à la diffusion du ransomware appelé « Egregor », décrit la police dans un communiqué.

Piratage informatique

Au moins 150 entreprises ont été attaquées, principalement aux États-Unis et en Europe, avec des pertes estimées à environ 66 millions d’euros, selon les premiers éléments de l’étude publiée par les services de sécurité ukrainiens (SBU). Selon une source proche du dossier, au moins trois personnes ont été arrêtées dans cet acte. Les domiciles des suspects ont été perquisitionnés et le matériel informatique saisi est « toujours utilisé » par les enquêteurs français envoyés sur les lieux, selon la police.

Les solutions de sécurité informatique Hyères

C’est un rapport d’Europol en septembre qui a conduit le parquet de Paris à ouvrir une enquête en France, remise à la sous-direction cybercriminalité (SDLC). Le groupe a pratiqué la technique de la « double extorsion »: d’une part le cryptage et le vol des données de l’entreprise ciblée, d’autre part la menace de publier ces données compromises sur un site internet si l’entreprise refusait de payer une rançon en bitcoins, le la plus célèbre des monnaies virtuelles.

Le ransomware s’est propagé par pré-intrusion « via l’envoi d’e-mails de phishing et un accès à distance Windows mal sécurisé au bureau », a déclaré la police française. Particulièrement sophistiqué, « Egregor » pourrait prendre le contrôle des imprimantes connectées aux ordinateurs infectés et imprimer la rançon, « amplifiant encore l’impact psychologique de l’extorsion », a déclaré la même source.

Plusieurs entreprises françaises ont été visées par «Egregor», dont le quotidien Ouest France, le transporteur Gefco et le géant du jeu vidéo Ubisoft. Deux attaques de ransomware ont été ciblées ces derniers jours contre des hôpitaux de Villefranche-sur-Saône (Rhône) et de Dax (Landes), mais elles ne portent pas la signature «Egregor». Il a travaillé sur le modèle du logiciel à la demande (Raas, Ransomware as a Service): ses créateurs l’ont mis à disposition d’autres hackers, «affiliés», qui ont pris la responsabilité des attaques avant de partager les bénéfices.

Les détenus font partie « plutôt que de l’équipe de conception et de production », a déclaré Catherine Chambon, directrice adjointe de la lutte contre la cybercriminalité à la magistrature centrale. Si Catherine Chambon qualifie l’opération contre «Egregor» de «démantèlement assez efficace», elle exhorte à rester «très prudente et modeste» sur ce qui ressemble à «un brouillard».

L’origine du mal

Selon l’Agence nationale de sécurité des systèmes d’information (Anssi), « Egregor serait lié à la fin de l’activité du groupe d’attaquants derrière le ransomware Maze », notamment à l’origine d’une attaque contre Bouygues Construction en janvier 2020. À son tour,  » Egregor « pourrait-il renaître sous une autre forme? « Il est possible que ce soit la vie d’un ransomware », a répondu Catherine Chambon. «L’idée est de mettre progressivement en sécurité les cybercriminels afin qu’ils se sentent moins impunis. Même si, une fois qu’il y a un crime, il a peu de chances de disparaître ».

Catégories
Attaque Etude hyères informatique Non classé presse prix Ransomware Ryuk Sécurité

Ryuk aurait réclamé plus de 150 millions de dollars

Suite à l’invasion d’entreprises à travers le monde, on dit que le groupe de rançongiciels Ryuk a mis 150 millions de dollars dans la poche avec le paiement d’une rançon.

Les opérateurs de ransomware Ryuk auraient gagné plus de 150 millions de dollars en Bitcoin en payant de l’argent de piratage à des entreprises du monde entier.

c’est pas très clair!

La société de renseignement sur les menaces Advanced Intelligence (AdvIntel) et la société de cybersécurité HYAS ont publié jeudi une étude qui suit les paiements effectués sur 61 adresses Bitcoin, précédemment attribuées et liées aux attaques de ransomware de Ryuk.

« Ryuk reçoit une partie importante de la rançon d’un courtier bien connu qui effectue des paiements au nom des victimes du ransomware », affirment les deux sociétés. «Ces paiements s’élèvent parfois à des millions de dollars, mais ils se comptent généralement par centaines de milliers. « 

AdvIntel et HYAS expliquent que les fonds extorqués sont collectés sur des comptes de dépôt, puis transférés au blanchiment d’argent. Ensuite, soit ils retournent au marché noir et sont utilisés pour payer d’autres services criminels, soit ils sont échangés dans un véritable échange de crypto-monnaie.

Mais ce qui a le plus attiré l’attention des enquêteurs, c’est que Ryuk a converti son Bitcoin en véritable monnaie fiduciaire à l’aide de portails de crypto-monnaie bien connus tels que Binance et Huobi – probablement via des identités volées. D’autres groupes de ransomwares préfèrent généralement utiliser des services d’échange plus obscurs.

Cette enquête met également à jour nos chiffres sur les activités de Ryuk. Les derniers chiffres étaient datés de février 2020, après que des collaborateurs du FBI se soient exprimés lors de la conférence RSA. À l’époque, le FBI affirmait que Ryuk était de loin le groupe de ransomware actif le plus rentable avec plus de 61,26 millions de dollars générés entre février 2018 et octobre 2019, selon les plaintes reçues par son «Internet Crime Complaint Center».

Cette nouvelle étude de 150 millions de dollars montre clairement que Ryuk a conservé sa place au sommet, du moins pour le moment.

Au cours de l’année écoulée, d’autres groupes de ransomwares – tels que REvil, Maze et Egregor – se sont également fait un nom et ont été très actifs et ont infecté des centaines d’entreprises. Cependant, à l’heure actuelle, aucun rapport ne permet d’estimer les sommes déclarées de ces groupes. L’enquête la plus récente de ce type était celle de la société de cybersécurité McAfee, publiée en août 2020, qui estimait que le groupe de ransomware Netwalker avait accumulé environ 25 millions de dollars de rançon entre mars et août 2020.

Catégories
Attaque informatique prix Ransomware Sécurité Service informatique Technologie

Les groupes ciblent les victimes qui ne cèdent pas à leur ransomware (avec des DDos)

Les ransomwares ou ransomwares étaient déjà de loin la plus grande menace cybernétique en 2020, et ils continuent de croître à un rythme alarmant.

« 10 jours pour changer leur décision. » C’est l’avertissement que le gang Avalon a envoyé à l’une de leurs victimes via leur blog. Le groupe criminel informatique a paralysé le système informatique d’une organisation avec son ransomware, et maintenant ils veulent forcer leur victime à payer une rançon en échange d’une promesse de revenir à la normale.

Augmenter la pression sur la victime

Pour y parvenir, les voyous utilisent une méthode d’extorsion qui est malheureusement populaire depuis plus d’un an: les menaces contre les violations de données. L’entreprise ne souhaite-t-elle pas récompenser les cybercriminels en payant une rançon? Eh bien, il devra gérer la crise provoquée par la fuite ou la vente de ses données clients: un incident qui risque de ternir encore plus son image et d’entraîner la résiliation de contrats encore nécessaires à sa survie.

Attaque DDoS

Comme si ce double chantage ne suffisait pas, Avalon ajoute une autre couche: « Le site est actuellement sous attaque DDoS et nous l’attaquerons jusqu’à ce que la société nous contacte. » En d’autres termes, même si la victime parvient à récupérer progressivement certains de ses outils et services, les cybercriminels sont obligés de les faire dysfonctionner d’une manière différente. Une attaque DDoS consiste à surcharger un site Web en lui envoyant un grand nombre de requêtes au point qu’il s’exécute lentement ou même cesse de fonctionner. Pour les cybercriminels aussi riches que les opérateurs de ransomwares, il s’agit d’une attaque bon marché car il vous suffit de louer quelques machines. Bien sûr, il existe de nombreux outils et méthodes pour gérer et absorber ce type d’attaque, mais c’est un autre problème auquel les victimes doivent faire face si les équipes de sécurité sont déjà débordées par la gestion des ransomwares.

Comme le souligne Bleeping Computer, Avalon n’est pas le premier gang à utiliser ce type de menace – deux autres l’ont fait dès octobre 2020 – mais cela pourrait être un signe que cette tendance se généralisera parmi les cybercriminels.

Cette pratique est une autre mauvaise nouvelle pour les victimes, confrontées à des voyous dont les moyens et l’imagination croissent à un rythme excessif. Certains commencent à harceler leurs victimes par téléphone, d’autres contre-communiquent en achetant des paris publicitaires sur Facebook. d’autres encore impriment leur note de rançon sur tous les photocopieurs de leurs victimes

Comment ne pas être tenté de payer la rançon quand la pression est forte? Aujourd’hui, tout le monde est d’accord sur le principe: les mauvais ne doivent pas être payés. Céder à leurs demandes, c’est les encourager à poursuivre leurs opérations; la rançon finance leur développement, de sorte qu’à chaque fois ils reviennent avec un modus operandi plus sophistiqué; et de plus, il n’y a aucune garantie que les cybercriminels respecteront leur résiliation du contrat: Parfois, les rançons doublent le montant demandé après une première validation de leur victime.

Beaucoup paient.

Parce qu’il est long et coûteux de restaurer votre système d’une autre manière et peut augmenter le fardeau de l’entreprise bien plus que payer une rançon. Parce que la pression est trop forte aussi. Menaces de fuite, pression sur les employés et maintenant DDoS, c’est trop de problèmes à gérer, trop de dommages potentiels pour l’entreprise.

Certes, les entreprises de sécurité réalisent parfois de petits gains par rapport aux cybercriminels. Mais parviendront-ils un jour à freiner le cercle vicieux qui équilibre leurs relations de pouvoir avec les gangs?

Catégories
Attaque informatique presse prix Ransomware Sécurité Service informatique SolarWinds Sunburst Technologie

Les pirates de SolarWinds ont infiltré les systèmes en septembre 2019

CrowdStrike a découvert un autre malware impliqué dans l’attaque de SolarWinds, appelé Sunspot. Il a permis au code Sunburst d’être inséré dans le code source d’Orion, le logiciel SolarWinds compromis par des pirates.

SolarWinds compromis par des pirates.

Un par un, les mystères restants du piratage d’entreprise de SolarWind ont été résolus. CrowdStrike, l’une des sociétés chargées d’enquêter sur l’incident, a publié le 11 janvier un rapport sur des logiciels malveillants jusque-là inconnus impliqués dans la cyberattaque. Ce malware appelé « Sunspot » serait le premier maillon de l’attaque avant le désormais célèbre « Sunburst ».

Il aurait été introduit sur le serveur d’une entreprise dès septembre 2019. Plus précisément, Sunspot a infecté le moteur de production de SolarWind, le système responsable de l’assemblage des logiciels du groupe. Son objectif: espionner l’usine du logiciel Orion, le logiciel de gestion de réseau de l’entreprise.

Comme le note ZDNet, après une phase d’observation, Sunspot a inséré le code nécessaire pour créer le cheval de Troie Sunburst dans le code source d’Orion. Résultat: entre mars et juin 2020, si un client SolarWinds a installé la mise à jour logicielle, Sunburst s’est installé via le même canal. Ce dernier a ouvert une porte aux serveurs des victimes – plus de 18 000 organisations – dans laquelle les hackers pouvaient pénétrer.

Ils ont ensuite dû déposer manuellement un troisième logiciel malveillant, encore plus puissant, appelé « Teardrop », sur des systèmes proches des organisations qu’ils avaient en vue. Ils ont continué à espionner 250 organisations, dont de nombreux départements et agences du gouvernement américain: armée, renseignement, énergie… Ce sont des domaines critiques compromis par des hackers, « probablement » russes selon les autorités américaines.

L’attaque sur SolarWinds a donc duré de septembre 2019 à juin 2020 et n’a été découverte qu’en décembre 2020. C’est un constat d’échec pour l’entreprise victime, qui a désormais confié l’amélioration. de sa sécurité aux grands noms du secteur.

De leur côté, les enquêteurs ont presque atteint le bout de la chaîne des attaques. Il ne leur reste plus qu’à comprendre comment les pirates ont réussi à implémenter Sunspot sur le moteur de production SolarWinds. Les hypothèses sont répandues, mais cet élément reste un mystère pour le moment. Ensuite, ils devront décider qui a organisé l’attaque: les Russes, mais qui exactement? Certains médias, dont le Washington Post, évoquent APT29, surnommé Cozy Bear, un groupe de hackers d’élite affiliés à l’une des agences de renseignement russes.

Catégories
Android Apple Attaque Bitcoins COVID-19 Ekans Etude EvilQuest GandCrab Hakbit Hôpital hyères informatique Mac MacOS Mairie maze Nefilim NetWalker Non classé Orange prix Ragnar Locker Ransomware revil Ryuk Sécurité Service informatique Shade sodinokibi Technologie ThiefQuest vidéo

Ryuk LE ransomware 2020?

Anssi a publié un nouveau rapport, cette fois axé sur l’activité ransomware de Ryuk. Particulièrement impliqué dans l’attaque de Sopra Steria en France, ce logiciel malveillant se distingue de la concurrence et ne se contente pas de dupliquer les méthodes de ses concurrents.

Ryuk LE ransomware 2020?

Ryuk est un ransomware actif depuis 2018 et dont les opérateurs sont particulièrement actifs. C’est ce qui a valu le titre de «ransomware le plus rentable» selon le FBI en 2018 et généré plus de 61 millions de dollars de rançon entre février 2018 et octobre 2019.

Cependant, Ryuk n’aborde pas les méthodes qui ont fait le succès de groupes malveillants comme Maze ou Revil: pas de chantage pour le vol de données, pas de place pour montrer les victimes ou les communiqués de presse ici. Pourtant, ce ransomware, qui est actif depuis deux ans maintenant, reste une menace majeure, et Anssi a publié un rapport de statut.

Ryuk est un ransomware dont le but est de crypter les données de la victime pour exiger une rançon. Anssi indique que les cibles privilégiées des opérateurs de ce ransomware sont les grandes entreprises capables de payer les grosses rançons requises, principalement aux États-Unis et au Canada. L’agence note également que les opérateurs de Ryuk ne réservent pas d’autres groupes vis-à-vis des établissements de santé: « en octobre 2020, Ryuk serait responsable de 75% des attaques sur le secteur de la santé qu’il attaquerait depuis le premier semestre 2019 ». Des dizaines d’hôpitaux américains ont été victimes d’une campagne de Ryuk au début d’octobre visant les services dans les hôpitaux de l’UHS. Le FBI et le CISA américain ont également mis en garde contre le risque de nouvelles attaques basées sur Ryuk dans un nouveau communiqué d’information publié fin octobre.

Trickbot, Emotet et le bazar
Comme de nombreux ransomwares, Ryuk n’est que la dernière étape d’une chaîne d’infection multi-malware. Les auteurs du rapport indiquent que l’infection Trickbot, au moins jusqu’en septembre 2020, aurait été le point d’entrée privilégié des opérateurs Ryuk pour s’implanter dans les réseaux d’entreprise. Trickbot, avec Emotet et bien d’autres, est un malware de type chargeur qui se propage généralement via des campagnes de courrier électronique malveillantes pour infecter un appareil cible, puis se propager à travers le réseau interne d’une victime et se déplacer jusqu’à ce qu’il compromette un contrôleur de domaine. La dernière étape est la mise en œuvre du ransomware, le cryptage des machines et la demande de rançon. Et si ce type d’attaque prend généralement du temps, certains opérateurs Ryuk se démarquent par leur rapidité: Anssi indique ainsi que dans certains cas le temps de la première infection et du cryptage est réduit de quelques jours. (2 à 5) en trois heures ».

En 2020, cependant, les opérateurs de Ryuk semblent s’être progressivement tournés vers un nouveau chargeur, connu sous le nom de BazarLoader, actif depuis mars 2020. «Comme TrickBot, Bazar serait utilisé comme un accès en tant que service pour faire des compromis ou même qualifier un SI pour le compte d’autres groupes d’attaquants. On ne sait pas si BazarLoader, comme TrickBot, fonctionne également sur un modèle d’affiliation », précise l’agence, qui précise que le logiciel est principalement distribué par le groupe derrière Trickbot. D’autres chargeurs ont également été identifiés dans des attaques impliquant le malware Ryuk: Buer et Le logiciel Silent Night a également été utilisé dans l’attaque qui a implémenté Ryuk.

Raas ou pas Raas, c’est la question
L’un des points qui sépare Ryuk du reste de l’écosystème de la cybercriminalité des groupes de ransomware est la question du modèle commercial de Ryuk. Pour de nombreux ransomwares apparus ces derniers mois, le modèle économique utilisé est généralement celui de RaaS (Ransomware as a service): le groupe à l’origine des ransomwares commercialise ses logiciels sur des forums clandestins auprès d’autres groupes, qui s’assurent ensuite de les diffuser réseaux informatiques de leurs victimes.

Pour Anssi, Ryuk n’est « pas officiellement un RaaS »: l’agence déclare ainsi qu’elle n’a observé aucune promotion des opérateurs Ryuk sur les forums clandestins. Ryuk est néanmoins exploité par plusieurs acteurs malveillants, selon Anssi. S’il n’est pas vendu au public, il pourrait être mis à la disposition de partenaires de confiance par le créateur du code malveillant, ou il pourrait être exploité indépendamment par plusieurs groupes à l’aide d’outils et de formes de propagation communs. .

Il est donc difficile de savoir qui tire exactement les fils de Ryuk: le rapport de l’agence met en évidence le rôle central joué par deux acteurs malveillants, le groupe WizardSpider derrière Trickbot et le groupe identifié comme UNC1878. Selon FireEye, ce dernier groupe est responsable de 83% des attaques impliquant Ryuk. L’agence note également l’implication d’autres groupes tels que FIN6 dans la prolifération du ransomware Ryuk ainsi que du code et des méthodologies entre Ryuk et un autre ransomware connu sous le nom de Conti. Si Ryuk n’est pas «officiellement un RaaS», il n’en est pas moins un acteur profondément enraciné dans la sphère de la cybercriminalité et avec de nombreux liens avec des groupes tiers.

Catégories
Apple Attaque Entreprise de construction informatique Mac MacOS prix Ransomware Sécurité Technologie

Le deuxième fabricant mondial d’ordinateurs portables Compal touché par les ransomwares

ROCK HSU Président-RAY CHEN Vice-président et CSO-MARTIN WONG Président et PDG

Compal, une société taïwanaise qui fabrique des ordinateurs portables pour certaines des plus grandes marques d’ordinateurs, a été victime d’une attaque de rançon au cours du week-end. L’attaquant était soupçonné d’être le gang DoppelPaymer, selon une capture d’écran de la rançon partagée par des employés de Compal avec des journalistes de Yahoo Taiwan.

Les usines de Compal fabriquent des ordinateurs portables pour Apple, Acer, Lenovo, Dell, Toshiba, HP et Fujitsu.

Le patron de Compal nie les attaques de ransomware et admet le piratage
Malgré les rapports des médias locaux, Qingxiong Lu, PDG adjoint de Compal, a admis lundi dans un communiqué à United News Network que la société avait subi une faille de sécurité, mais a nié que la récente interruption du service ait été causée par un ransomware. « Compal ne fait pas l’objet de chantage de la part de pirates informatiques, comme le dit la rumeur », a déclaré le directeur de Compal aux journalistes.

En outre, Qingxiong a déclaré que l’incident n’avait affecté que le réseau de bureaux interne de l’entreprise et que les lignes de production de Compal qui fabriquent des ordinateurs portables pour d’autres entreprises n’avaient pas été affectées. Monsieur. Qingxiong pensait que l’état de l’entreprise reviendrait à la normale une fois que le personnel aurait fini de restaurer tous les systèmes affectés par ce qu’il a décrit comme des «anomalies».

Compal est aujourd’hui le deuxième plus grand fabricant d’ordinateurs portables au monde après Quanta Computer, une autre société taïwanaise. Dans le passé, Compal a produit des ordinateurs portables pour des entreprises telles que Apple, Acer, Lenovo, Dell, Toshiba, HP et Fujitsu. Outre les ordinateurs portables, l’entreprise fabrique également des moniteurs, des tablettes, des montres intelligentes, des téléviseurs intelligents et d’autres périphériques pour ordinateurs.

Compal est la troisième grande usine taïwanaise à être touchée par les ransomwares cette année. La société d’énergie publique taïwanaise CPC Corp. a été touchée par le ransomware ColdLocker en mai, tandis que l’usine taïwanaise du fabricant américain de montres intelligentes Garmin a été touchée par le ransomware WastedLocker en juillet.

Catégories
Association Attaque Etude informatique Non classé prix Ransomware Sécurité Technologie

Le Trésor américain traite les victimes de ransomwares comme des collaborateurs

Le Trésor américain traite les victimes de ransomwares comme des collaborateurs

Dans une directive émise par le département du Trésor américain, le gouvernement déclare que des sanctions peuvent être envisagées pour les entreprises qui paient une rançon après une attaque de ransomware. L’idée de sanctionner les paiements de rançon gagne du terrain outre-Atlantique.

Tout le monde déconseille fortement de payer la rançon, mais beaucoup le font. Aux États-Unis, un rappel du département du Trésor américain pourrait encore refroidir les entreprises ciblées contre les ransomwares: l’OFAC (Office of Foreign Access Control) a publié une directive sur le paiement d’une rançon, déclarant que les entreprises qui acceptent de céder à l’extorsion de groupes de cybercriminalité, dans certains les cas pourraient également être sanctionnés par les autorités américaines.

Cette nouvelle mesure ne s’applique pas à tous les paiements de rançon: la directive publiée par l’OFAC explique que seuls les paiements aux groupes concernés par des sanctions prononcées par l’OFAC sont concernés par cette mesure. Le document répertorie plusieurs acteurs bien connus du monde du ransomware qui ont été visés par les sanctions de l’OFAC: le créateur du ransomware Cryptolocker Eugene Bogachev, les deux développeurs iraniens du ransomware Samsam, les groupes nord-coréens Lazarus, Bluenoroff et Andariel et enfin Evil Corp groupe, connu pour avoir développé le malware Dridex et plusieurs ransomwares toujours actifs.

Pour l’OFAC, le paiement d’une rançon à ces groupes ou à leurs affiliés peut soumettre les victimes à une enquête pour contourner les sanctions gouvernementales. Les entreprises publiques, mais aussi les partenaires qui ont participé au processus de réaction à l’incident ou qui ont réalisé l’opération, pourraient donc être concernés. L’OFAC demande aux entreprises concernées par ce scénario de contacter ces équipes avant de payer une rançon. «Les paiements de rançon profitent aux acteurs malveillants et peuvent saper les objectifs de sécurité nationale et de politique étrangère des États-Unis. Pour cette raison, les demandes de licence impliquant des rançons requises du fait d’activités malveillantes rendues possibles par le numérique seront examinées par l’OFAC au cas par cas avec présomption de refus », précise l’OFAC dans sa communication.

L’affaire de piratage Garmin, qui aurait accepté le paiement d’une rançon de 10 millions de dollars en crypto-monnaie à des personnes affiliées au groupe Evil Corp, a peut-être demandé à l’OFAC d’émettre le rappel. Comme le rapporte ZDNet.com, plusieurs journalistes ont posé la question au département du Trésor américain au moment de l’annonce du paiement de Garmin.

Catégories
Android Apple Association Bitcoins COVID-19 Entreprise de construction Etude EvilQuest GandCrab Hakbit Hôpital hyères NetWalker Non classé Orange prix Ragnar Locker Ransomware Ryuk Sécurité sodinokibi Technologie ThiefQuest vidéo

Ransomware: Septembre 2020 sans précédent

La rentrée scolaire a été marquée par un nombre sans précédent de cyberattaques connues impliquant des ransomwares. Le fruit de la connexion entre plusieurs facteurs. Et ceux-ci ne suggèrent aucun règlement réel.

Ransomware: Septembre 2020 sans précédent

En septembre, nous avons enregistré près de 270 attaques de ransomwares dans le monde, une explosion par rapport aux mois précédents, alors que juin et août ont déjà été marqués par une activité intense des cybercriminels. Mais attention aux trompe-l’œil.

En France, nous avons dénombré 10 cas confirmés, auxquels s’ajoute un cas suspect, mais non confirmé à ce moment, vers le 8 août et à peu près le même en juillet. Les attaques confirmées sont répertoriées sur la chronologie que nous mettons à jour régulièrement. Sur Intrinsec, Cyrille Barthélemy rapporte 13 cas «en crise» en septembre contre 10 en août.

Et de préciser que sa capacité d’intervention n’était évidemment pas la même en plein été qu’en début d’année scolaire. Chez I-Tracing, Laurent Besset a noté 9 interventions sur le mois dernier contre 4 en dessous de la précédente. Chez Advens, Benjamin Leroux fait 3 interventions majeures et moins de 5 interventions plus petites. Mais toujours 150 détections de menaces qui pourraient conduire à une détonation de ransomware, principalement Emotet.

Début septembre, l’Agence nationale de sécurité des systèmes d’information (Anssi) a rapporté avoir traité 104 attaques de ransomwares depuis le début de l’année contre 54 sur l’ensemble de 2019. Et bien sûr, cela ne prend pas en compte les cas hors de son champ d’application.

Concernant la plateforme Cybermalveillance.gouv.fr, le directeur général de GIP Acyma, Jérôme Notin, a encore signalé 1.082 signalements de ransomwares début septembre depuis le lancement de la plateforme le 4 février, avec 44% d’entreprises ou d’associations et 10 % d’administrations ou de communautés. En septembre, Jérôme Notin a enregistré 131 demandes d’assistance, contre 104 en août et 122 en juillet.

En France, à ce stade, il semble difficile de parler d’une explosion. Mais si la tendance à la hausse semble moins prononcée que pour le reste du monde, la menace semble sans doute rester à un niveau élevé.

Il y a au moins deux explications possibles de la situation, qui suggèrent que la menace ne diminuera probablement pas dans un proche avenir. Nous les développons ci-dessous le long de la chronologie.

LIEN

Catégories
Attaque hyères informatique Orange prix Ransomware Ryuk Technologie

Les attaques de ransomwares augmentent de 50% au troisième trimestre 2020

Selon un rapport récent de Checkpoint, les attaques de ransomwares au troisième trimestre 2020 ont été en moyenne de 50% par an. Aujourd’hui dans le monde et plus que doublé aux États-Unis. Parmi les ransomwares dérangeants, Ryuk arrive.

Le ransomware RYUK…Sympa! non?

Dans l’actualité de la sécurité informatique, les voyants sont rouges lorsqu’il s’agit de ransomware. Ainsi, presque chaque jour apporte son lot d’entreprises qui ont été victimes de ce type d’attaque, et ce n’est pas le dernier rapport de Checkpoint sur le sujet qui montre le contraire. À l’échelle mondiale, l’éditeur de sécurité a en fait observé une augmentation moyenne par Journée de 50% des attaques de ransomwares au T3 2020 par rapport à l’année dernière. Selon Checkpoint, les États-Unis ont connu une très forte augmentation des attaques de ransomwares (98,1%), surtout plus que la Russie (57,9%).

« Au cours du mois dernier, des attaques de ransomwares ont été signalées contre un géant du transport maritime, une société de courtage basée aux États-Unis et l’un des plus grands horlogers du monde », a déclaré Check Point. Cela signifie respectivement CMA CGM, Gallagher et Swatch. « Obtenir une nouvelle victime toutes les 10 secondes, la rançon s’est avérée être une méthode lucrative pour attaquer les cybercriminels », a déclaré le responsable de la sécurité.

Les établissements de santé sont durement touchés
Parmi les ransomwares à surveiller, Checkpoint pointe du doigt Ryuk, qui, contrairement à d’autres types plus traditionnels de ransomwares, est distribué dans le cadre d’attaques massives de campagnes de spam et les kits d’exploitation sont davantage utilisés lors d’attaques ciblées. « Il y a eu une augmentation significative des activités de Ryuk depuis juillet 2020, et il attaque environ 20 organisations par semaine », souligne Checkpoint. «Il y a eu une augmentation constante du nombre d’organisations de soins de santé ciblant Ryuk et presque doublé le nombre d’établissements de santé touchés par les ransomwares dans le monde, passant de 2,3% au T2 à 4% au T3. ».

Alors que le géant américain UHS a récemment été touché par Ryuk, d’autres ransomwares ont fait rage ailleurs dans le monde en France, notamment dans le secteur de la santé au CHU de Rouen, chez Panpharma, mais aussi en Allemagne dans un hôpital où un patient est malheureusement décédé.