Catégories
Attaque Ekans Entreprise de construction EvilQuest GandCrab Hakbit informatique maze NetWalker Ragnar Locker Ransomware revil Rugby Ryuk Sécurité Service informatique Shade sodinokibi SolarWinds Spectre Sunburst Technologie ThiefQuest Uncategorized

Le président des États-Unis Joe Biden signe le décret sur la cybersécurité

Cette semaine, le président des États-Unis a ordonné la création d’un comité dédié aux cyberattaques ainsi que la création de nouvelles normes de sécurité logicielle pour les agences gouvernementales.

En matière de cybercriminalité, les États-Unis ont été confrontés à une cyberattaque massive menée par le groupe Darkside. En utilisant un ransomware, les pirates ont pu fermer l’opérateur pétrolier Colonial Pipeline, qui transporte généralement près de la moitié du carburant du pays. Une attaque qui a fait souffler un vent de panique chez les Américains. Les stations-service à travers le pays ont été prises d’assaut si loin qu’elles commencent une pénurie nationale.

Si la panique n’a pas duré longtemps car le problème a été rapidement résolu, ce nouvel incident démontre clairement la fragilité de l’Oncle Sam face aux cyberattaques. C’est dans ce contexte que le président américain Joe Biden a signé mercredi 12 mai 2021 un décret qui renforcerait la sécurité du pays contre les cyberattaques.

Pour renforcer la cybersécurité aux États-Unis, Joe Biden a annoncé la création d’un comité chargé d’examiner les cyberincidents. Plus précisément, l’organisation enquêtera sur les principaux hacks qui se sont produits dans le pays pour mieux comprendre les détails de l’affaire. Ce nouveau conseil est modelé par le National Transportation Safety Board, qui est chargé d’enquêter sur les accidents aériens, ferroviaires et maritimes, et peut aider à identifier les coupables potentiels en cas d’attaques supplémentaires. Pour rappel, ce n’est pas la première fois que le gouvernement américain est confronté à une cyberattaque. En décembre dernier, un groupe de pirates informatiques a ciblé le gouvernement avec le piratage massif de SolarWinds. Sans divulguer tous les détails de l’incident, Donald Trump affirmait à l’époque avoir des preuves de l’implication russe. Il y a quelques mois à peine, c’était la Chine qui, cette fois, était soupçonnée d’avoir ordonné une cyberattaque visant le géant Microsoft.

Outre la création d’un comité dédié, Joe Biden a également annoncé la création de nouvelles normes logicielles conçues pour sécuriser plus efficacement les agences gouvernementales américaines et empêcher de nouveaux piratages. Ces nouvelles normes comprendront l’utilisation de l’authentification multifactorielle, mais également le renforcement de la sécurité des échanges entre le gouvernement et les entreprises privées.

Catégories
Aérien Android Apple Association Attaque Bitcoins COVID-19 Ekans Entreprise de construction Etude EvilQuest GandCrab Hakbit Hôpital hyères informatique Mac MacOS Mairie maze Nefilim NetWalker Non classé Orange presse prix Ragnar Locker Ransomware revil Ryuk Sécurité Service informatique Shade sodinokibi SolarWinds Sunburst Technologie ThiefQuest Uncategorized vidéo

Comment la vulnérabilité informatique est-elle mesurée?

Le score CVSS est utilisé presque systématiquement pour évaluer le danger des vulnérabilités. Mais savez-vous quel calcul se cache derrière le score sur 10?

Il faut dire que la cybersécurité regorge de termes spécifiques et autres acronymes (et anglophones, d’ailleurs) pour qualifier les scénarios d’attaque. On parle de RCE, XSS, de « web shell » ou même d’élévation de privilèges. Les balles d’avertissement sont le plus souvent destinées aux spécialistes et n’utilisent que du jargon. Ils soulignent rarement les risques concrets qu’une nouvelle vulnérabilité pose au public.

SUITE… Avec Numerama.com

Catégories
Attaque Etude Hôpital hyères informatique Mac Mairie maze Orange presse prix Ragnar Locker Ransomware Ryuk Service informatique Technologie Uncategorized

Des auteurs de ransomwares arrêtés en Ukraine

La police ukrainienne a arrêté le 9 février plusieurs membres d’un groupe de cybercriminels à l’origine de plusieurs attaques informatiques dans le monde, dont le quotidien Ouest France, la police et des sources proches ont raconté l’affaire ce jeudi.

Cette « opération internationale », menée en coordination avec les policiers français et ukrainiens ainsi qu’avec le FBI, a mis un terme à la diffusion du ransomware appelé « Egregor », décrit la police dans un communiqué.

Piratage informatique

Au moins 150 entreprises ont été attaquées, principalement aux États-Unis et en Europe, avec des pertes estimées à environ 66 millions d’euros, selon les premiers éléments de l’étude publiée par les services de sécurité ukrainiens (SBU). Selon une source proche du dossier, au moins trois personnes ont été arrêtées dans cet acte. Les domiciles des suspects ont été perquisitionnés et le matériel informatique saisi est « toujours utilisé » par les enquêteurs français envoyés sur les lieux, selon la police.

Les solutions de sécurité informatique Hyères

C’est un rapport d’Europol en septembre qui a conduit le parquet de Paris à ouvrir une enquête en France, remise à la sous-direction cybercriminalité (SDLC). Le groupe a pratiqué la technique de la « double extorsion »: d’une part le cryptage et le vol des données de l’entreprise ciblée, d’autre part la menace de publier ces données compromises sur un site internet si l’entreprise refusait de payer une rançon en bitcoins, le la plus célèbre des monnaies virtuelles.

Le ransomware s’est propagé par pré-intrusion « via l’envoi d’e-mails de phishing et un accès à distance Windows mal sécurisé au bureau », a déclaré la police française. Particulièrement sophistiqué, « Egregor » pourrait prendre le contrôle des imprimantes connectées aux ordinateurs infectés et imprimer la rançon, « amplifiant encore l’impact psychologique de l’extorsion », a déclaré la même source.

Plusieurs entreprises françaises ont été visées par «Egregor», dont le quotidien Ouest France, le transporteur Gefco et le géant du jeu vidéo Ubisoft. Deux attaques de ransomware ont été ciblées ces derniers jours contre des hôpitaux de Villefranche-sur-Saône (Rhône) et de Dax (Landes), mais elles ne portent pas la signature «Egregor». Il a travaillé sur le modèle du logiciel à la demande (Raas, Ransomware as a Service): ses créateurs l’ont mis à disposition d’autres hackers, «affiliés», qui ont pris la responsabilité des attaques avant de partager les bénéfices.

Les détenus font partie « plutôt que de l’équipe de conception et de production », a déclaré Catherine Chambon, directrice adjointe de la lutte contre la cybercriminalité à la magistrature centrale. Si Catherine Chambon qualifie l’opération contre «Egregor» de «démantèlement assez efficace», elle exhorte à rester «très prudente et modeste» sur ce qui ressemble à «un brouillard».

L’origine du mal

Selon l’Agence nationale de sécurité des systèmes d’information (Anssi), « Egregor serait lié à la fin de l’activité du groupe d’attaquants derrière le ransomware Maze », notamment à l’origine d’une attaque contre Bouygues Construction en janvier 2020. À son tour,  » Egregor « pourrait-il renaître sous une autre forme? « Il est possible que ce soit la vie d’un ransomware », a répondu Catherine Chambon. «L’idée est de mettre progressivement en sécurité les cybercriminels afin qu’ils se sentent moins impunis. Même si, une fois qu’il y a un crime, il a peu de chances de disparaître ».

Catégories
Android Apple Attaque Bitcoins COVID-19 Ekans Etude EvilQuest GandCrab Hakbit Hôpital hyères informatique Mac MacOS Mairie maze Nefilim NetWalker Non classé Orange prix Ragnar Locker Ransomware revil Ryuk Sécurité Service informatique Shade sodinokibi Technologie ThiefQuest vidéo

Ryuk LE ransomware 2020?

Anssi a publié un nouveau rapport, cette fois axé sur l’activité ransomware de Ryuk. Particulièrement impliqué dans l’attaque de Sopra Steria en France, ce logiciel malveillant se distingue de la concurrence et ne se contente pas de dupliquer les méthodes de ses concurrents.

Ryuk LE ransomware 2020?

Ryuk est un ransomware actif depuis 2018 et dont les opérateurs sont particulièrement actifs. C’est ce qui a valu le titre de «ransomware le plus rentable» selon le FBI en 2018 et généré plus de 61 millions de dollars de rançon entre février 2018 et octobre 2019.

Cependant, Ryuk n’aborde pas les méthodes qui ont fait le succès de groupes malveillants comme Maze ou Revil: pas de chantage pour le vol de données, pas de place pour montrer les victimes ou les communiqués de presse ici. Pourtant, ce ransomware, qui est actif depuis deux ans maintenant, reste une menace majeure, et Anssi a publié un rapport de statut.

Ryuk est un ransomware dont le but est de crypter les données de la victime pour exiger une rançon. Anssi indique que les cibles privilégiées des opérateurs de ce ransomware sont les grandes entreprises capables de payer les grosses rançons requises, principalement aux États-Unis et au Canada. L’agence note également que les opérateurs de Ryuk ne réservent pas d’autres groupes vis-à-vis des établissements de santé: « en octobre 2020, Ryuk serait responsable de 75% des attaques sur le secteur de la santé qu’il attaquerait depuis le premier semestre 2019 ». Des dizaines d’hôpitaux américains ont été victimes d’une campagne de Ryuk au début d’octobre visant les services dans les hôpitaux de l’UHS. Le FBI et le CISA américain ont également mis en garde contre le risque de nouvelles attaques basées sur Ryuk dans un nouveau communiqué d’information publié fin octobre.

Trickbot, Emotet et le bazar
Comme de nombreux ransomwares, Ryuk n’est que la dernière étape d’une chaîne d’infection multi-malware. Les auteurs du rapport indiquent que l’infection Trickbot, au moins jusqu’en septembre 2020, aurait été le point d’entrée privilégié des opérateurs Ryuk pour s’implanter dans les réseaux d’entreprise. Trickbot, avec Emotet et bien d’autres, est un malware de type chargeur qui se propage généralement via des campagnes de courrier électronique malveillantes pour infecter un appareil cible, puis se propager à travers le réseau interne d’une victime et se déplacer jusqu’à ce qu’il compromette un contrôleur de domaine. La dernière étape est la mise en œuvre du ransomware, le cryptage des machines et la demande de rançon. Et si ce type d’attaque prend généralement du temps, certains opérateurs Ryuk se démarquent par leur rapidité: Anssi indique ainsi que dans certains cas le temps de la première infection et du cryptage est réduit de quelques jours. (2 à 5) en trois heures ».

En 2020, cependant, les opérateurs de Ryuk semblent s’être progressivement tournés vers un nouveau chargeur, connu sous le nom de BazarLoader, actif depuis mars 2020. «Comme TrickBot, Bazar serait utilisé comme un accès en tant que service pour faire des compromis ou même qualifier un SI pour le compte d’autres groupes d’attaquants. On ne sait pas si BazarLoader, comme TrickBot, fonctionne également sur un modèle d’affiliation », précise l’agence, qui précise que le logiciel est principalement distribué par le groupe derrière Trickbot. D’autres chargeurs ont également été identifiés dans des attaques impliquant le malware Ryuk: Buer et Le logiciel Silent Night a également été utilisé dans l’attaque qui a implémenté Ryuk.

Raas ou pas Raas, c’est la question
L’un des points qui sépare Ryuk du reste de l’écosystème de la cybercriminalité des groupes de ransomware est la question du modèle commercial de Ryuk. Pour de nombreux ransomwares apparus ces derniers mois, le modèle économique utilisé est généralement celui de RaaS (Ransomware as a service): le groupe à l’origine des ransomwares commercialise ses logiciels sur des forums clandestins auprès d’autres groupes, qui s’assurent ensuite de les diffuser réseaux informatiques de leurs victimes.

Pour Anssi, Ryuk n’est « pas officiellement un RaaS »: l’agence déclare ainsi qu’elle n’a observé aucune promotion des opérateurs Ryuk sur les forums clandestins. Ryuk est néanmoins exploité par plusieurs acteurs malveillants, selon Anssi. S’il n’est pas vendu au public, il pourrait être mis à la disposition de partenaires de confiance par le créateur du code malveillant, ou il pourrait être exploité indépendamment par plusieurs groupes à l’aide d’outils et de formes de propagation communs. .

Il est donc difficile de savoir qui tire exactement les fils de Ryuk: le rapport de l’agence met en évidence le rôle central joué par deux acteurs malveillants, le groupe WizardSpider derrière Trickbot et le groupe identifié comme UNC1878. Selon FireEye, ce dernier groupe est responsable de 83% des attaques impliquant Ryuk. L’agence note également l’implication d’autres groupes tels que FIN6 dans la prolifération du ransomware Ryuk ainsi que du code et des méthodologies entre Ryuk et un autre ransomware connu sous le nom de Conti. Si Ryuk n’est pas «officiellement un RaaS», il n’en est pas moins un acteur profondément enraciné dans la sphère de la cybercriminalité et avec de nombreux liens avec des groupes tiers.

Catégories
Apple informatique Mac MacOS Ragnar Locker Ransomware Sécurité Technologie vidéo

Capcom confirme le ransomware et le vol des données

La cyberattaque contre Capcom était en fait une cyberattaque par ransomware combinée à un vol des données. Les données de centaines de milliers de personnes sont compromises.

Plus tôt ce mois-ci, l’éditeur de jeux vidéo japonais Capcom – surtout connu pour ses franchises Street Fighter et Resident Evil – a déclaré avoir été victime d’une cyberattaque avec un piratage de son système d’information.

Les communications de Capcom étaient censées être assez rassurantes, tandis que des rapports commençaient simultanément à circuler sur une cyberattaque de ransomware (Ragnar Locker) et un filtrage de données à partir de réseaux au Japon, aux États-Unis et au Canada.

Plus tôt cette semaine, Capcom a fait une nouvelle communication. L’éditeur confirme avoir été victime d’une cyberattaque par ransomware et ajoute que des données personnelles ont été compromises.

Capcom a pu vérifier que les informations personnelles de neuf employés (anciens et actuels) étaient compromises, ainsi que les informations financières et les rapports de vente. Dans une section de données potentiellement compromise, Capcom classe les cas pour près de 350 000 personnes.

Dans ce cas, il s’agit de clients, de partenaires commerciaux, d’actionnaires ou même d’anciens salariés. Essentiellement au Japon et en Amérique du Nord, ce sont principalement des noms, des adresses électroniques et postales, des numéros de téléphone, des dates de naissance et même des photos.

Toujours dans le registre des données potentiellement compromises, Capcom ajoute que près de 14 000 personnes sont associées aux ressources humaines ainsi qu’à tout un ensemble de documents internes confidentiels.

Une combinaison de ransomware et de vol des données
Rappelons que Capcom avait initialement précisé qu’il n’y avait actuellement aucune indication d’un compromis sur les données clients. Le discours a considérablement changé. En revanche, Capcom – qui s’excuse – évite le risque de compromis avec les données bancaires ou de paiement. Tout simplement parce que Capcom ne stocke pas ces informations en interne.

Capcom travaille avec les forces de l’ordre au Japon et aux États-Unis. Les attaquants derrière le ransomware Ragnar Locker avaient en fait adressé une demande de rançon à Capcom pour le retour de données volées et la fourniture d’un outil de décryptage.

L’enquête sur l’incident de sécurité et les données exfiltrées a été entravée par le cryptage des données sur les serveurs et la suppression des journaux d’accès lors de la cyberattaque. Capcom a visiblement décidé de ne pas céder au chantage des attaquants. Ce n’est pas toujours le cas. En retour, les données exfiltrées sont mises en ligne.

Catégories
Android Apple Association Bitcoins COVID-19 Ekans hyères informatique Mac MacOS Ragnar Locker Ransomware revil Sécurité sodinokibi Technologie vidéo

Mattel a été victime cet été d’un ransomware

Le fabricant de jouets a été victime d’une attaque de ransomware l’été dernier. L’attaque a été rapidement interrompue et n’a eu aucun impact significatif sur l’entreprise.

Mattel a contenu l’attaque d’un ransomware

Le fabricant de jouets américain Mattel a révélé mercredi qu’il avait subi une attaque de ransomware qui paralysait certaines fonctions commerciales. Néanmoins, la société affirme s’être remise de l’attaque sans pertes financières importantes.

Mattel a contenu l’attaque
L’incident a eu lieu le 28 juillet, selon un formulaire trimestriel 10-Q, que la société a déposé plus tôt dans la journée auprès de la Securities and Exchange Commission des États-Unis.

Mattel a déclaré que l’attaque par ransomware avait initialement réussi et chiffré certains de ses systèmes.

«Après la découverte de l’attaque, Mattel a commencé à mettre en œuvre ses protocoles de réponse et à prendre une série d’actions pour arrêter l’attaque et restaurer les systèmes affectés. Mattel a contenu l’attaque et, bien que certaines fonctions commerciales aient été temporairement affectées, Mattel a rétabli les opérations », explique la société.

Aucun impact sérieux
Depuis plus d’un an, les gangs de ransomwares volent des données et se lancent dans un double stratagème d’extorsion qui menace de publier les données de l’entreprise piratée sur des sites Web publics appelés «sites de fuite» à moins que les victimes ne paient la rançon souhaitée.

Cependant, le fabricant de jouets explique qu’une enquête ultérieure a conclu que le gang de ransomwares derrière le cambriolage de juillet n’avait volé « aucune donnée commerciale sensible ou des données sur les clients, fournisseurs, consommateurs ou employés ». .

Dans l’ensemble, Mattel semble avoir échappé à l’incident avec seulement un bref temps d’arrêt et sans aucune blessure grave, ce qui est rarement suffisant pour être stressé. De nombreux exemples montrent des pertes financières de plusieurs dizaines de milliers de millions de dollars, comme c’est le cas avec Cognizant ou Norsk Hydro. Mattel souligne que l’attaque du ransomware a légèrement « eu aucun impact significatif sur ses opérations ou sa situation financière. »

Catégories
Attaque Ragnar Locker Ransomware Sécurité

Les cybercriminels achètent des publicités Facebook pour piquer leurs victimes

Le producteur d’alcool Campari a été victime d’une attaque de ransomware début novembre. La veille de la date limite de la rançon, les hackers à l’origine de l’attaque ont payé une campagne publicitaire pour discréditer les communications de leurs victimes.

Les cybercriminels achètent des publicités Facebook pour Campari

C’est un spectacle désastreux: les gangs derrière les ransomwares innovent à un rythme alarmant dans leurs façons de faire pression sur leurs victimes, toujours plus nombreuses. Le dernier en date: le producteur d’alcool italien Campari, créateur de l’alcool éponyme et entre autres du Grand Marnier. L’entreprise a communiqué le 3 novembre 2020 à propos d’une cyberattaque qui a paralysé une partie de ses services. On dit qu’il est sorti le 1er novembre, et le groupe affirme avoir « rapidement identifié le virus » et ainsi empêché sa propagation sur tout son réseau informatique. ZDNet a précisé quelques jours plus tard que Campari était affecté par le ransomware Ragna Locker.

Des organisations criminelles auraient volé 2 téraoctets de données sensibles (fichiers bancaires, informations sur les employés, clauses de confidentialité, etc.) avant de crypter tous les systèmes contaminés. Elle a ensuite demandé une rançon de 15 millions de dollars à sa victime en échange de la clé de décryptage et de la promesse de ne pas transmettre les données volées autrement qu’en supprimant sa propre copie. Ironiquement, le prix comprend également un rapport de pénétration sur les réseaux informatiques, où les criminels décrivent leurs faiblesses ainsi que des recommandations d’amélioration!

Ragnar Locker a donné à sa victime jusqu’au 10 novembre pour organiser le paiement, sinon il publierait progressivement les données gratuitement sur leur site dédié, disponible via le réseau anonyme Tor. La société n’a pas communiqué depuis sur les éventuelles négociations. Mais avant la date limite, les rançons ont porté un coup particulièrement bas qu’aucun autre gang ne s’était jusqu’ici permis: ils ont lancé une campagne publicitaire sur Facebook pour tenter de discréditer les défenses de leurs victimes. .

LES PIRATES UTILISENT UN COMPTE HACKED POUR PROUVER UN AUTRE HACKING
Le journaliste Brian Krebs était très intéressé par la campagne publicitaire, payée par Hodson Even Entertainment, propriété du DJ de Chicago Chris Hodson. Contacté par le journaliste, l’Américain a expliqué que son compte avait été piraté et que les hackers avaient prévu un versement de 500 dollars – avec son argent – pour lancer la campagne.

Dans la campagne publicitaire intitulée « Faille de sécurité dans le réseau du groupe Campari », Ragnar Locker cite l’un des communiqués de presse de ses victimes. La société a expliqué: « Pour le moment, nous ne pouvons pas totalement exclure que certaines informations personnelles et professionnelles aient été volées. » Les criminels écrivent qu’il s’agit d’un « énorme mensonge » et qu’ils « confirment que des données confidentielles ont été volées ». « Nous parlons d’une énorme quantité de données », ajoutent-ils.

LA CAMPAGNE PUBLICITAIRE S’EST ARRÊTÉE

Heureusement pour Hodson et Campari, Facebook a apparemment découvert le caractère malveillant de la campagne. Hodson a donc pu récupérer son compte et accéder à quelques statistiques: 7 150 utilisateurs de Facebook ont ​​vu l’annonce et 10% d’entre eux ont cliqué dessus. Le réseau social a collecté 35 $ pour le lancement de la campagne, mais l’a terminé avant un autre paiement de 159 $.

Brian Krebs dit qu’il n’a pas décidé si le gang a lancé la campagne à partir du seul compte d’Hudson ou à partir de plusieurs comptes piratés. Facebook a ouvert une enquête sur l’affaire.

Les opérateurs de ransomwares utilisent des techniques de plus en plus invasives pour faire pression sur leurs victimes, et on se demande où ils veulent s’arrêter. Ce mois-ci, nous vous avons parlé d’Egregor, qui avait imprimé une rançon imprimée par les imprimantes des victimes, d’autres centres d’appels payants pour contacter les partenaires de leurs victimes par téléphone, menaçant presque tous de publier les données. LIEN

Catégories
Attaque Ekans Etude EvilQuest GandCrab Hakbit Hôpital hyères informatique maze Nefilim Ragnar Locker Ransomware revil Ryuk

Les façons dont les ransomwares pénètrent dans vos systèmes

Les attaques par ransomwares sont en hausse. Voici les façons dont l’attaque initiale est susceptible de commencer.

Les façons dont les ransomwares pénètrent dans vos systèmes

L’impact des ransomwares continue de croître. Les ransomwares sont le problème de sécurité le plus courant en 2020. Ces attaques représentaient plus d’un tiers des cas jusqu’en septembre de l’année dernière.

Et c’est ainsi que les attaquants pénètrent dans vos systèmes d’information: dans près de la moitié (47%) des cas de ransomware, les pirates ont utilisé l’outil ouvert RDP (Remote Desktop Protocol). qui a été utilisé par de nombreuses entreprises pour aider le personnel à travailler à domicile, mais qui peut également permettre aux attaquants d’entrer s’ils ne sont pas correctement sécurisés.

Plus d’un quart (26%) des cas ont été attribués à des e-mails de phishing, et un petit nombre a utilisé des vulnérabilités spécifiques (17%), y compris – mais sans s’y limiter – Citrix NetScaler CVE-2019- 19781 et Pulse VPN CVE-2019- 11510.

Trois secteurs ont été particulièrement touchés cette année: les services, la santé et les télécommunications. Cela contraste avec les données récentes d’IBM, qui suggéraient que l’industrie manufacturière, le secteur des services professionnels et le secteur public étaient les plus susceptibles d’être touchés.

Ryuk, Sodinokibi et Maze sont les trois variantes de ransomwares les plus problématiques en 2020 et représentent 35% de toutes les cyberattaques. Les ransomwares ont tendance à passer par des périodes d’activité avant de redevenir silencieux, les développeurs chiffrant pour le mettre à niveau avant de reprendre le piratage.

De nombreuses variantes de ransomwares volent désormais les données d’entreprise et menacent de les publier: en particulier en téléchargeant entre 100 Go et 1 To de données privées ou sensibles pour maximiser la pression pour payer la rançon. 42% des cas portant sur une variante connue de ransomware étaient liés à un groupe de ransomwares qui exfiltre et publie des données sur les victimes.

Catégories
Android Apple Association Attaque Bitcoins COVID-19 Ekans Etude EvilQuest GandCrab Hakbit Hôpital informatique Mac MacOS maze Nefilim NetWalker Ragnar Locker Ransomware revil Ryuk Sécurité Shade sodinokibi Technologie ThiefQuest

Ransomware de la semaine- octobre 2020 – Des hôpitaux assiégés

Ransomware de la semaine- octobre 2020 – Des hôpitaux assiégés

Cette semaine, nous avons assisté à une attaque concertée contre le secteur de la santé par des groupes de piratage utilisant le ransomware Ryuk. En outre, nous avons vu certaines grandes entreprises bien connues souffrir d’attaques de ransomwares, qui ont affecté leurs activités commerciales.

La plus grande nouvelle cette semaine est que le gouvernement américain a averti le secteur de la santé qu’il existe « des informations crédibles sur une menace accrue et imminente de cybercriminalité pour les hôpitaux et les prestataires de soins de santé américains ». À la suite de ces attaques, nous avons vu six hôpitaux ciblés cette semaine, dont l’hôpital Wyckoff, l’Université du Vermont Health Systems, le Sky Lakes Medical Center et St. Louis. Lawrence Health System.

Nous avons également été informés d’attaques de ransomwares contre des sociétés bien connues, telles que le fabricant de meubles SteelCase, la société de conseil informatique française Sopra Steria et la société d’électricité italienne Enel Group.

Enfin, un représentant de REvil connu sous le nom de UNKN a déclaré qu’ils avaient gagné 100 millions de dollars en un an et que le tristement célèbre gang de labyrinthe avait commencé à fermer son opération de ransomware.

Maintenant que le week-end approche, il est important que toutes les entreprises surveillent les activités suspectes sur leur réseau Windows et leurs contrôleurs de domaine et réagissent de manière proactive si quelque chose est découvert.

LIEN

Les contributeurs et ceux qui ont livré de nouvelles nouvelles et histoires sur les ransomwares cette semaine incluent: @PolarToffee, @VK_Intel, @struppigel, @BleepinComputer, @malwrhunterteam, @malwareforme, @ demonslay335, @jorntvdw, @Seifreed, @FourOctets , @, @Ionut_Ilascu, @DanielGallagher, @fwosar, @MarceloRivero, @Malwarebytes, @Amigo_A_, @GrujaRS, @ 0x4143, @ fbgwls245, @siri_urz, @Mandiant et @IntelAdvanced.

Catégories
Android Apple Association Bitcoins COVID-19 Entreprise de construction Etude EvilQuest GandCrab Hakbit Hôpital hyères NetWalker Non classé Orange prix Ragnar Locker Ransomware Ryuk Sécurité sodinokibi Technologie ThiefQuest vidéo

Ransomware: Septembre 2020 sans précédent

La rentrée scolaire a été marquée par un nombre sans précédent de cyberattaques connues impliquant des ransomwares. Le fruit de la connexion entre plusieurs facteurs. Et ceux-ci ne suggèrent aucun règlement réel.

Ransomware: Septembre 2020 sans précédent

En septembre, nous avons enregistré près de 270 attaques de ransomwares dans le monde, une explosion par rapport aux mois précédents, alors que juin et août ont déjà été marqués par une activité intense des cybercriminels. Mais attention aux trompe-l’œil.

En France, nous avons dénombré 10 cas confirmés, auxquels s’ajoute un cas suspect, mais non confirmé à ce moment, vers le 8 août et à peu près le même en juillet. Les attaques confirmées sont répertoriées sur la chronologie que nous mettons à jour régulièrement. Sur Intrinsec, Cyrille Barthélemy rapporte 13 cas «en crise» en septembre contre 10 en août.

Et de préciser que sa capacité d’intervention n’était évidemment pas la même en plein été qu’en début d’année scolaire. Chez I-Tracing, Laurent Besset a noté 9 interventions sur le mois dernier contre 4 en dessous de la précédente. Chez Advens, Benjamin Leroux fait 3 interventions majeures et moins de 5 interventions plus petites. Mais toujours 150 détections de menaces qui pourraient conduire à une détonation de ransomware, principalement Emotet.

Début septembre, l’Agence nationale de sécurité des systèmes d’information (Anssi) a rapporté avoir traité 104 attaques de ransomwares depuis le début de l’année contre 54 sur l’ensemble de 2019. Et bien sûr, cela ne prend pas en compte les cas hors de son champ d’application.

Concernant la plateforme Cybermalveillance.gouv.fr, le directeur général de GIP Acyma, Jérôme Notin, a encore signalé 1.082 signalements de ransomwares début septembre depuis le lancement de la plateforme le 4 février, avec 44% d’entreprises ou d’associations et 10 % d’administrations ou de communautés. En septembre, Jérôme Notin a enregistré 131 demandes d’assistance, contre 104 en août et 122 en juillet.

En France, à ce stade, il semble difficile de parler d’une explosion. Mais si la tendance à la hausse semble moins prononcée que pour le reste du monde, la menace semble sans doute rester à un niveau élevé.

Il y a au moins deux explications possibles de la situation, qui suggèrent que la menace ne diminuera probablement pas dans un proche avenir. Nous les développons ci-dessous le long de la chronologie.

LIEN