L’absence de protocole rend les entreprises vulnérables aux cyberrisques
Les experts en sécuritéinformatique de Proofpoint ont publié les résultats de l’analyse DMARC (Domain-Based Message Verification Reporting and Compliance) montrant dans quelle mesure les compagnies aériennes sont exposées aux cyberattaques.
Réalisée sur 296 compagnies aériennes membres de l’Association du transport aérien international (IATA), qui représente 82% du trafic mondial, l’étude montre que 61% des compagnies aériennes n’ont pas de registre DMARC publié, ce qui les rend plus vulnérables aux cybercriminels, il s’agit de voler leur identité et ainsi d’augmenter le risque de fraude par e-mail. LIEN
Coveware collecte des données mondiales sur les ransomwares et la cyber-extraction pour minimiser les coûts et les temps d’arrêt associés.
Une réponse professionnelle et transparente aux incidents de ransomware. Lorsque le ransomware arrive et que les sauvegardes échouent.
Coveware vous aide à vous concentrer sur votre récupération en interne, tandis que les équipes de professionnels de Coveware gèrent le processus de négociation de cyber-chantage et de récupération de données cryptées par le ransomware. Laissez les experts ransomware guider votre entreprise pour une récupération sûre, compatible et rapide des ransomwares.
Quatre ans après son lancement, l’initiative No More Ransom a permis à plus de 4 millions de victimes d’attaques de ransomwares de récupérer leurs fichiers gratuitement.
650 millions d’euros économisés grâce à l’initiative No More Ransom
Au cours des quatre premières années de l’initiative No More Ransom d’Europol, plus de 4 millions de victimes d’attaques de ransomwares ont évité de payer plus de 650 millions d’euros en réponse aux demandes d’extorsion de groupes de cybercriminels.
Lancé pour la première fois en 2016 avec quatre membres de base, No More Ransom fournit des outils de décryptage gratuits pour les ransomwares et n’a cessé de croître depuis. Aujourd’hui, il compte 163 partenaires dans les domaines de la cybersécurité, de la police, des services financiers et autres. Ensemble, ils ont mis des outils de décryptage gratuits à la disposition de plus de 140 familles de ransomwares, téléchargés plus de 4,2 millions de fois.
Les principaux contributeurs au projet incluent Emisoft, fournisseur de 54 outils de décryptage pour 45 familles de ransomwares; membre fondateur de Kaspersky, qui a fourni 5 outils à 32 familles de ransomwares; et Trend Micro, qui a fourni 2 outils de décryptage à 27 familles de ransongware. Parmi les autres sociétés de cybersécurité qui ont participé à No More Ransom, figurent également Avast, Bitdefender, Check Point, ESET et le membre fondateur McAfee.
Un outil populaire
No More Ransom est désormais disponible en 36 langues et accueille des invités de 188 pays à travers le monde. Les visiteurs sont principalement situés en Corée du Sud, aux États-Unis, au Brésil, en Russie et en Inde.
«No More Ransom est l’association entre tous les partenaires clés et les forces de l’ordre du monde entier, et tout le monde évolue dans la même direction. Comme tout le monde contribue à cette menace, nous trouvons des mesures concrètes pour lutter contre les ransomwares en tant que mesure préventive », explique Edvardas Šileris, directeur du Centre européen de cybercriminalité d’Europol, dans un entretien avec ZDNet.
«En fin de compte, ce n’est pas combien d’argent ils économisent qui compte, mais plutôt combien de personnes récupèrent leurs fichiers gratuitement. Il est tout aussi important pour un parent de restaurer les photos de ses proches que pour une entreprise de restaurer son réseau », ajoute-t-il.
La menace grandit
Bien que No More Ransom se soit avéré utile aux victimes de ransomwares, Europol lui-même ajoute que la prévention reste le meilleur moyen de se protéger contre les attaques. D’autant plus aujourd’hui que la nature en constante évolution des ransomwares signifie qu’il existe de nombreuses formes de logiciels malveillants qui ne disposent pas d’outils de décryptage gratuits … et peut-être pas. jamais.
Europol recommande plusieurs mesures de précaution, telles que la sauvegarde hors ligne de fichiers importants. Ainsi, en cas d’attaque, ils peuvent être récupérés immédiatement, qu’un outil de décryptage soit disponible ou non. L’organisation recommande également aux utilisateurs de ne pas télécharger de programmes à partir de sources suspectes ou d’ouvrir des pièces jointes provenant d’expéditeurs inconnus pour éviter d’être victimes d’une attaque de phishing.
Malgré les efforts de No More Ransom et d’autres initiatives de cybersécurité, les ransomwares restent très efficaces pour les cybercriminels, qui parviennent souvent à gagner des centaines de milliers, voire des millions, de dollars en une seule attaque. Cependant, l’application de mises à jour et de correctifs de sécurité aux PC et aux réseaux peut contribuer grandement à arrêter ces types d’attaques. LIEN
De nombreuses entreprises sont ciblées. Après Orange, MMA, CPM, c’est au tour de Misterfly dans l’industrie du tourisme d’être victime d’une cyberattaque dite «ransomware» le 13 juillet. L’entreprise a envoyé un mail à tous ses partenaires pour expliquer la situation.
Misterfly victime d’une cyberattaque par ransomware
dans une lettre adressée à ses agences de voyages partenaires, Misterfly déclare avoir été victime d’une cyberattaque dite «ransomware».
« La conséquence de cette cyberattaque a été de rendre inaccessible une partie du réseau informatique de MisterFly », ajoute le communiqué.
Personne de contact pour nous Frédéric Pilloud, directeur du e-commerce, précise: «Nous savons que les pirates ont réussi à copier un certain nombre de fichiers, et tout notre travail d’analyse est de savoir de quels fichiers il s’agit. Une chose est sûre, que ce ne soit pas ce ne sont pas des informations bancaires car elles ne passent pas par nous « .
Le site de réservation de billets utilise la norme PCI DSS (imposée par Iata), qui garantit le non-stockage des informations de paiement. Ces données sont diffusées directement aux organismes de paiement.
« Le risque maximum serait que les données sur les réservations de nos clients et leurs coordonnées soient disponibles en ligne, mais nous ne sommes pas sûrs. Et avec ces données, il ne serait pas possible de modifier ou d’annuler une réservation, mais je répète pour le moment que nous ne le faisons pas. savoir exactement quels fichiers sont ciblés », explique le directeur e-commerce.
Plusieurs entreprises ont été la cible du même type d’attaque. Les dernières concernent notamment la compagnie d’assurance MMA, Orange et la société multiservices CPM International France, selon le site spécialisé Zataz.com.
Les ransomwares sont des logiciels malveillants qui prennent en otage des données personnelles. «Le contexte général de la mise en œuvre du télétravail et des connexions entre salariés via les VPN favorise ce type d’attaque», souligne Frédéric Pilloud, «Dans notre cas, quelqu’un a ouvert un dossier qu’il ne devait pas ouvrir».
Misterfly s’excuse donc pour l’impact «que cela peut avoir sur la durée du traitement». Et ajoute: « Dans tous les cas, nous vous recommandons de rester vigilant, surtout si vous recevez des communications non sollicitées. Nous vous rappelons d’être particulièrement prudent avec les communications qui prétendent provenir de MisterFly et qui doivent être faites régulièrement, nous vous recommandons change votre mot de passe sur notre site MFPro. «
Une équipe dédiée dans l’entreprise est sur le pont et travaille pour mesurer l’étendue de l’attaque.
Depuis des semaines, je mets en garde contre le danger des ransomwares. Parce que les voyous opposés sont organisés, très organisés. Le nombre de cas «confirmés» a été multiplié par sept entre le 18 juin 2020 et le 18 juillet 2020. Parmi les blessés récents figurent la compagnie d’assurance MMA et la société multiservices CPM International France.
Un autre correctif! le slogan devient fatigant car les cas se multiplient trop. Selon mes conclusions, les cyberattaques (connues) ont été multipliées par sept entre le 18 juin 2020 et le 18 juillet 2020. Parmi les victimes francophones les plus récentes figurait une filiale de l’opérateur Orange et de la compagnie d’assurance MMA.
Des centaines de clients touchés! Le deuxième objectif est CPM International. Selon les informations que j’ai pu recueillir, c’est le groupe NetWalker qui s’est infiltré dans la filiale France Omniservices / Omnicom. Cette société agit comme un centre de services partagés pour les fonctions de support (ressources humaines, finance et informatique). Netwalker a donné à l’entreprise neuf jours pour payer le double de la rançon: déchiffrer et / ou ne pas diffuser les documents volés lors de l’infiltration de l’entreprise.
Et le problème est énorme. Netwalker cache les fichiers volés, même avant le paiement de la rançon. Comme leur système est automatisé, le mot de passe pour accéder aux fichiers s’affiche à la fin du compte à rebours. Cela signifie que les informations sont déjà disponibles en ligne pour ceux qui ont le lien et le mot de passe pour accéder aux fichiers!
Dans ce dernier cas, le siège social du Mans ainsi que des agences ont été touchés.LIEN
Après que la rançon NetWalker a verrouillé plusieurs serveurs de sa faculté de médecine, l’UCSF a payé la rançon pour décrypter les données et restaurer le fonctionnement des systèmes affectés.
29 juin 2020 – L’Université de Californie à San Francisco a récemment payé une demande de rançon de 1,14 million de dollars après que les acteurs de la menace NetWalker aient infecté plusieurs serveurs de sa School of Medicine avec une rançon, rapporté pour la première fois par Bloomberg.
Les acteurs de la menace NetWalker ont suivi la voie du tristement célèbre groupe de piratage de rançongiciels Maze. Les pirates prennent d’abord pied sur le réseau des victimes, se déplacent latéralement sur le réseau à travers des appareils vulnérables, puis volent des informations précieuses avant de lancer la charge utile du ransomware.
Les chercheurs ont récemment averti que NetWalker avait depuis étendu ses opérations à un modèle RaS (Ransomware-as-a-Service) pour s’associer à d’autres cybercriminels expérimentés et cibler le domaine des soins de santé dans le cadre de la pandémie de COVID-19. Le district de santé publique de Champaign-Urbana de l’Illinois a été victime du rançongiciel NetWalker en mars.LIEN
Les primes proposées par la société japonaise concernent la PlayStation 4 et PlayStation Network. Comparés à Microsoft et Nintendo, ils sont assez généreux.
Comme vous le savez, Sony et sa PlayStation sont constamment la cible de pirates informatiques qui ont déjà réussi à pirater plusieurs fois leur compte de console ou de siphon sur le PlayStation Network. Pour réduire ce risque, la société a maintenant lancé un « bug bounty » sur la plateforme HackerOne, c’est-à-dire. un programme de récompense pour détecter les failles de sécurité. L’entreprise souligne que la sécurité est « un élément fondamental pour créer des expériences incroyables pour notre communauté ».
Ce programme couvre la PlayStation 4 et ses accessoires ainsi que les services en ligne fournis par PlayStation Network. Le montant des récompenses dépend du système analysé et des critiques. Cela commence à 100 $ pour une petite erreur dans les services en ligne. Pour une panne de console critique, vous pouvez obtenir plus de 50 000 $. Pour l’instant, les chercheurs participant à ce programme ont déjà trouvé 88 erreurs d’une valeur moyenne de 400 $.
En réalité, Sony est le dernier des grands joueurs de jeux vidéo à avoir créé un bug bounty, mais c’est le plus généreux. Microsoft en a lancé un pour la Xbox en janvier 2020, et Nintendo récompense les lacunes depuis quatre ans. Dans les deux cas, les récompenses peuvent aller jusqu’à 20 000 $ (sauf en cas de constat inhabituel).LIEN
Ransomware ou rançongiciel en français est un logiciel malveillant qui prend en otage des données. Le ransomware crypte et bloque les fichiers sur votre ordinateur et nécessite une rançon en échange d’une clé qui leur permet de les décrypter. Le ransomware, qui est apparu pour la première fois en Russie, s’est répandu dans le monde entier, principalement aux États-Unis, en Australie et en Allemagne. Souvent, le ransomware s’infiltre sous la forme d’un ver informatique, via un fichier téléchargé ou reçu par e-mail, et crypte les données et les fichiers de la victime. Le but est d’extorquer une somme d’argent qui est le plus souvent payée par monnaie virtuelle pour éviter les traces. LIEN
Depuis plusieurs années, je vous parle du double effet RGPD chez les pirates. Le double effet d’une cyber-attaque de ransomware. Voici le troisième effet, la vente aux enchères de données volées.
Je dois admettre que je n’ai pas vu venir ce troisième effet RGPD provenant de pirates informatiques et d’opérateurs de transomware. Le double effet du règlement général sur la protection des données étant annoncé depuis plusieurs années, ce troisième effet est encore plus « inquiétant ».
Le premier effet est d’héberger des machines et des fichiers en les chiffrant. Vous payez pour le décryptage des documents pris en otage. Un « classique » du chantage numérique. Des groupes comme Rex Mundi en sont devenus les maîtres en 2015.
Le deuxième effet, la menace de pirates informatiques révélant vos informations pour « alerter » les autorités.
Le troisième effet, les ventes de données volées aux enchères.
Si depuis des années je rencontre des magasins sur les marchés noirs qui se spécialisent dans ce type d’entreprise d’achat et de vente d’informations sensibles et en interne pour une entreprise, la promotion de ce marché est nouvelle.
Enchères
Les premiers à l’annoncer, les opérateurs pirates de Sodinokibi. D’abord, de manière « astucieuse », en menaçant un cabinet d’avocats new-yorkais de divulguer les informations de leurs célèbres clients: Lady Gaga, Madonna, Trump … Dans ce dernier cas, les informations et la demande de rançon ont disparu comme par magie.
Selon Lady Gaga, selon les pirates, quelqu’un aurait payé (le label? L’artiste? Un fan?). Pour Madonna, Sodinokibi réclame comme prix de départ, 1 million de dollars. Ils viennent d’annoncer les diffusions du 3 juin prochain sur les stars américaines.
Deux semaines plus tard, arrive le marché des pirates. Ils ont créé une section de leur entreprise qu’ils ont appelée «Vente aux enchères». Conclusion, nous sommes confrontés à une salle d’enchères pour les données volées à des entreprises qui n’ont pas payé les deux premiers chantage.
Dépôt de garantie de 5 000 $
Le système de hacker est très professionnel. Nous constatons qu’ils ne sont pas à leur première tentative. J’avouerais même, sans trop en dire, que leur système a déjà été vu sur deux marchés noirs, comme la gestion et la création d’un compte participant.
Le site pirate génère automatiquement un mot de passe unique pour participer aux enchères! – Source: zataz.com
Pour participer à l’enchère, il vous suffit de vous inscrire. Après avoir passé un captcha anti-bot, un identifiant de connexion de type 92829, un mot de passe et une adresse de transaction dans la crypto-monnaie Monero (XMR) sont générés automatiquement et de manière aléatoire. Une monnaie qui est devenue depuis quelques semaines la référence des voyous 2.0 abandonnant le Bitcoin. Vous remarquez dans ma capture d’écran ci-dessous que le système pirate peut changer de devise.
Une adresse de paiement dans Monero est générée par. Acheteur. Les Pirates exigent une caution de 5 000 $.
Concernant une vente notariée légitime, un acompte est demandé. C’est 5 000 dollars américains. « Avant de pouvoir enchérir, vous devez envoyer une caution », ont expliqué les pirates. Si quelqu’un d’autre gagne ce prix, votre dépôt sera remboursé. Ne t’inquiète pas. Vous verrez votre dépôt et toutes vos transactions. Si vous gagnez un prix mais ne payez pas votre mise, vous perdrez votre dépôt. »
Ransomware: Le groupe reconnaît une cyberattaque sur ses serveurs Congo le 14 mai. Il rend toujours compte des enquêtes en cours sans fournir plus de détails. L’attaquant menace bientôt de divulguer des données volées.
Le groupe Bolloré est apparu sur le blog des opérateurs de ransomware NetWalker ce week-end. L’incident remonte en fait à la mi-mai, mais il ne semble pas toucher autant le groupe que l’une de ses différentes filiales. LIEN
