Des nouvelles récentes ont été riches en cyber-attaques « ransomware ». L’interdiction de payer les rançons peut-elle résoudre le problème?
En finir avec les Ransomware en interdisant le paiement de la rançon?
Les serveurs de votre entreprise refusent soudainement de travailler. Toutes les données (y compris vos sauvegardes) sont cryptées et que personne ne peut y accéder. C’est l’arrêt total de l’activité. Le diagnostic tombe rapidement: c’est un ransomware (ransomware). Les pirates vous appellent cryptos en échange d’un remède qui vous permet d’accéder à nouveau à vos données. De plus, les pirates menacent de commencer à révéler vos données si vous ne payez pas. SUITE
Avez-vous reçu un message douteux qui contient des pièces jointes ? Avez-vous trouvé une clé USB par hasard ? Prenez soin de ransomware ou rançongiciels ! Vos données peuvent être chiffrées et c’est le drame! Voici des conseils pour réduire les risques.
Conseils pour vous protéger des ransomwares
Qu’est-ce qu’un ransomware ou rançongiciels?
De plus en plus, vous recevez des messages douteux contenant des pièces jointes ou des liens qui vous invitent à les ouvrir. Il faut se méfier ! Malvey -Software appelé « rançon » ou « ransomware » peut s’y cacher. Leur objectif ? Cryptez (COD) vos données pour vous faire une rançon. Bien sûr, cela ne garantit pas la récupération de vos données. Il est donc préférable de vous protéger de ce type d’attaque.
Comment vous protéger des ransomwares?
Comment vous protéger des ransomwares?
Bonne attitude N ° 1: Faites des sauvegardes régulières de vos données (eCura.fr)
C’est la meilleure façon de couper l’herbe sous le pied des pirates qui veulent prendre vos données comme otages! Déplacez la sauvegarde physique de votre réseau (hors du réseau), placez-la dans un endroit sûr et assurez-vous qu’il fonctionne!
Bonne attitude N ° 2: N’ouvrez pas les messages dont l’origine ou le formulaire est discutable
Ne soyez pas trompé par un simple logo! Pire encore, le pirate a peut-être récupéré certaines de vos données plus tôt (par exemple, les noms de vos clients) et créer des adresses électroniques E qui ressemblent à un détail proche de vos interlocuteurs habituels.
Alors gardez beaucoup de vigilant! Certains messages semblent complètement authentiques.
Apprenez à identifier les emails E (ou d’autres formes de récupération de vos données) sur le site à l’Agence nationale pour les systèmes d’information (ANSSI).
Bonne attitude N ° 3: Apprenez à identifier les extensions douteuses
Vous recevez généralement des fichiers .doc ou .mp4 (par exemple) et le fichier de message que vous êtes dans le doute se termine par un autre type d’extension ? Ne les ouvrez pas ! Voici quelques exemples d’extensions douteuses: .pif, .com, .bat; .Exe, .vbs, .lnk, … Prenez soin de l’ouverture des pièces jointes du type .scr ou .cab. Comme l’agence nationale pour les systèmes d’information (ANSSI) se souvient, ce sont des extensions de compression des campagnes CTB-Locker qui rage entre les individus, les PME ou la mairie.
Bonne attitude N° 4 : mettez à jour vos principaux outils
On ne vous le dira jamais assez : traitement de texte, lecteur PDF, navigateur, mais aussi antivirus… Veillez à mettre à jour vos logiciels !
Si possible, désactivez les macros des solutions de bureautique qui permettent d’effectuer des tâches de manière automatisée. Cette règle évitera en effet la propagation des rançongiciels via les vulnérabilités des applications.
Considérez que, d’une manière générale, les systèmes d’exploitation en fin de vie, qui ne sont plus mis à jour, donnent aux attaquants un moyen d’accès plus facile à vos systèmes.
Bonne attitude N ° 5 : Utilisez un compte « utilisateur » plutôt qu’un compte « administrateur »
Évitez de naviguer à partir d’un compte administrateur. L’administrateur d’un ordinateur a un certain nombre de privilèges, comme effectuer certaines actions ou accéder à certains fichiers cachés sur votre ordinateur. Préférez l’utilisation d’un compte utilisateur. Cela ralentira, même, découragera le voleur dans ses actes malveillants.
Parmi les sujets auxquels nous sommes confrontés en 2022, il sera nécessaire de compter sur la prévalence et d’augmenter l’intensité des attaques de ransomware qui ont une partie monopolisée de la nouvelle en 2021. En fait, ce problème est loin d’être en phase de disparition. Ces menaces deviennent susceptibles de devenir plus dangereuses dans un contexte où les cybercriminels cherchent à avoir un impact maximal. Les attaques d’escalade via des chaînes d’alimentation sont une tendance importante et troublante. Les cybercriminels cherchent à générer une destruction massive.
Ransomware sur chaîne d’approvisionnement pour 2022
Nous devons nous attendre à un plus grand nombre d’attaques visant à la chaîne d’approvisionnement numérique en 2022, d’autant plus que la déficience actuelle des talents, elle pousse les entreprises à compter encore plus sur les plates-formes, les services et les outils logiciels tiers
Il y a une augmentation des cyberattaques utilisant une forme de ransomware apparu il y a presque deux ans. Mais même si c’est relativement vieux, il continue de se prouver parmi les cybercriminels.
LockBit (Le ransomware)Le retour
Le Ransomware Lockbit existe depuis 2019, mais ses créateurs ajoutent de nouvelles fonctionnalités et annoncent d’attirer de nouvelles sociétés de soeur de cybercriminalité. Trend Micro Cyber Security chercheurs ont connu une augmentation des campagnes de Ransomware Lockbit depuis début juillet. Ce service ransomware-comme-un, présenté pour la première fois en septembre 2019 a connu un succès relatif, mais a connu une activité renouvelée cet été. Si le verrouillage est resté dans l’ombre la majeure partie de l’année, il a fait l’un des journaux avec l’attaque contre l’accenture Consulting Corporation. Il semble également avoir bénéficié de la disparition apparente des groupes Ransomware Ransomware et Darkside. Un nombre important de filiales de ces opérateurs se sont tournées vers Lockbit comme une nouvelle façon de mettre en œuvre des attaques de ransomware. Lockbit a également réussi à suivre des traces d’importants groupes de ransomware en utilisant certaines tactiques, techniques et procédures Autres groupes attaqués. Par exemple, Lockbit utilise désormais la fonction Wake-On-LAN de Ryuk, qui consiste à envoyer des packages pour se réveiller de périphériques hors ligne pour se déplacer latéralement sur le réseau et compromettre autant de machines que possible. On peut prévoir que les attaques Ransomware Lockbit constituent encore une menace pour un certain temps, d’autant plus que le groupe cherche activement à recruter de nouveaux partenaires. Mais si les groupes ransomware sont persistants, il y a des étapes que les équipes de sécurité de l’information peuvent prendre pour aider les réseaux protéger contre les attaques.
Les grandes attaques des grandes entreprises et l’exposition de 50 à 65 millions d’enregistrements ont un prix élevé, jusqu’à 401 millions de dollars.
Selon une étude IBM, le coût moyen d’une attaque est de plus de 4 millions de dollars.
Le coût des piratages professionnelles atteint un niveau record
Le coût moyen d’une attaque a maintenant dépassé le barreau fatidique de 4 millions de dollars et a atteint un niveau record en vertu de la crise de la santé. Dans un rapport publié mercredi d’IBM, Big Blue estime que, en 2021, coûte une violation de données typique des entreprises de 4,24 millions USD. Le coût est de 10% supérieur à 2020.
En France, les secteurs les plus touchés sont des services financiers, du secteur pharmaceutique ainsi que de la technologie. Au niveau international, aux secteurs de la santé et des services financiers qui enregistrent les violations les plus chères.
Logiciels malveillants et hameçonnage
IBM estime qu’environ 60% des entreprises se sont tournées vers «Cloud» pour poursuivre leurs activités, bien que le renforcement du contrôle de la sécurité n’ait pas nécessairement suivi. Lorsque l’utilisation de travaux distants a explosé, elle était la même pour les infractions de données dont les quantités ont augmenté de 1 million de dollars – les taux les plus élevés de 4,96 millions de dollars contre 3, 89 millions de dollars.
Le vecteur d’attaque le plus courant des victimes de données d’un transfert de données est un compromis sur les informations d’identification, soit extraits des souches de données soumises, vendues ou obtenues par une attaque de force brute. Une fois que le réseau est infiltré, les informations personnelles identifiables (IPI) sont devenues des clients, notamment des noms et des adresses électroniques, volées dans près de la moitié des cas.
En 2021, il a fallu un total de 287 jours pour détecter et contenir une violation de données ou 7 jours de plus que l’année précédente. Au total, une organisation moyenne n’enregistrera pas d’entrer dans les 212 jours. Il ne sera donc pas capable de résoudre complètement le problème avant que 75 jours supplémentaires soient passés.
Les infractions de données dans le secteur de la santé ont été les plus chères, avec une moyenne de 9,23 millions de USD suivi des services financiers – 5,72 millions de dollars – et des médicaments, avec 5,04 millions de dollars.
Selon IBM, les entreprises qui utilisent des solutions de sécurité sont basées sur des algorithmes d’intelligence artificielle (AI), l’apprentissage automatique, l’analyse et le cryptage, ont tous diminué le coût potentiel d’une violation qui permet aux entreprises. Économisez en moyenne entre 0,1 25 et 1,49 million de dollars.
« L’augmentation des infractions de données sont une autre dépense supplémentaire pour les entreprises en fonction des changements technologiques rapides lors de la pandémie », a déclaré Chris McCurdy, vice-président de la sécurité IBM. « Bien que le coût des infractions de données ait atteint un niveau record au cours de la dernière année, le rapport a également démontré des signes positifs de l’impact des tactiques de sécurité modernes, telles que l’AI, l’automatisation et l’adoption d’une approche de confiance zéro – qui pourrait être payée en réduisant coûte ces incidents plus tard. «
Parmi les victimes du groupe Lockbit, Accenture, mais l’entreprise garantit que l’attaque est sous contrôle.
Accenture et attaque de ransomware Tout est bon!
Accenture a été parmi les victimes du groupe Lockbit avec un compte à rebours dont les déclencheurs étaient programmés le 11/08/2021.
Dans une déclaration, un porte-parole a minimisé l’incident et a affirmé qu’il n’avait qu’une petite influence sur les affaires de la société. Accenture a réalisé un chiffre d’affaires de plus de 40 milliards de dollars l’an dernier et compte plus de 550 000 employés dans plusieurs pays.
De nombreux internautes interrogent le montant des données volées pendant l’attaque et note qu’il n’est pas susceptible que l’attaque vienne du groupe.
Accenture n’a pas répondu aux questions pour déterminer s’il s’agissait d’une attaque effectuée à l’aide d’un employé.
Dans un rapport d’accent publié la semaine dernière, la Société a déclaré que 54% de toutes les victimes de Ransomware ou d’APRESTORT étaient des entreprises dont le chiffre d’affaires annuel était compris entre 1 et 9,9 milliards de dollars.
Accenture propose un certain nombre de services à 91 des 100 meilleures sociétés de classification de la fortune et des centaines d’autres entreprises. Les services informatiques, les technologies de fonctionnement, les services cloudis, la mise en œuvre de la technologie et les conseils ne sont que quelques-uns des services que la société est basée en Irlande offre à ses clients. En juin, la société a acheté Umlaut, une entreprise d’ingénieurs allemands pour élargir sa présence dans le cloud, l’IA et la 5G. Elle a également acquis trois autres entreprises en février.
L’Australian Cyber Security Center a publié un résumé du vendredi indiquant que le groupe Ransomware Lockbit après une petite chute d’opération a été ravivé et intensifié ses attaques.
Selon l’Agence australienne, les membres du Groupe exploitent activement les vulnérabilités existantes dans les produits FORTITITINE FORMIPROXY identifiés par le lancement de la CVE-2018-13379 pour obtenir le premier accès aux réseaux de victimes spécifiques.
« La CCCAA est consciente de nombreux événements impliquant des verrouillements et son successeur » Lockbit 2.0 « en Australie depuis 2020. La majorité des décès connus de la CCAA ont été signalés après juillet 2021, ce qui indique une augmentation nette et significative des victimes nationales par rapport à d’autres variantes de ransomware, « Ajoute le communiqué de presse.
« La CCAA a observé des filiales de lockbit ont mis en œuvre avec succès des ranesomwares sur des systèmes d’entreprise dans divers secteurs, y compris des services professionnels, de la construction, de la fabrication, de la vente au détail et du régime alimentaire. »
En juin, l’équipe de l’intelligence de la menace Poina a publié un rapport qui enquête sur le bit de verrouillage de la structure RAAS et son inclinaison d’acheter un accès au protocole de bureau externe pour les serveurs en tant que vecteur d’attaque initial.
Le groupe exige généralement 85 000 $ en moyenne des victimes et si une tierce partie revient sur les opérateurs de la RAA. Plus de 20% des victimes d’un tableau de bord consulté par les chercheurs d’énergie appartenaient au secteur des logiciels et des services.
« Les services commerciaux et professionnels ainsi que le secteur des transports sont également très ciblés par le groupe Lockbit ».
Cette semaine, le président des États-Unis a ordonné la création d’un comité dédié aux cyberattaques ainsi que la création de nouvelles normes de sécurité logicielle pour les agences gouvernementales.
En matière de cybercriminalité, les États-Unis ont été confrontés à une cyberattaque massive menée par le groupe Darkside. En utilisant un ransomware, les pirates ont pu fermer l’opérateur pétrolier Colonial Pipeline, qui transporte généralement près de la moitié du carburant du pays. Une attaque qui a fait souffler un vent de panique chez les Américains. Les stations-service à travers le pays ont été prises d’assaut si loin qu’elles commencent une pénurie nationale.
Si la panique n’a pas duré longtemps car le problème a été rapidement résolu, ce nouvel incident démontre clairement la fragilité de l’Oncle Sam face aux cyberattaques. C’est dans ce contexte que le président américain Joe Biden a signé mercredi 12 mai 2021 un décret qui renforcerait la sécurité du pays contre les cyberattaques.
Pour renforcer la cybersécurité aux États-Unis, Joe Biden a annoncé la création d’un comité chargé d’examiner les cyberincidents. Plus précisément, l’organisation enquêtera sur les principaux hacks qui se sont produits dans le pays pour mieux comprendre les détails de l’affaire. Ce nouveau conseil est modelé par le National Transportation Safety Board, qui est chargé d’enquêter sur les accidents aériens, ferroviaires et maritimes, et peut aider à identifier les coupables potentiels en cas d’attaques supplémentaires. Pour rappel, ce n’est pas la première fois que le gouvernement américain est confronté à une cyberattaque. En décembre dernier, un groupe de pirates informatiques a ciblé le gouvernement avec le piratage massif de SolarWinds. Sans divulguer tous les détails de l’incident, Donald Trump affirmait à l’époque avoir des preuves de l’implication russe. Il y a quelques mois à peine, c’était la Chine qui, cette fois, était soupçonnée d’avoir ordonné une cyberattaque visant le géant Microsoft.
Outre la création d’un comité dédié, Joe Biden a également annoncé la création de nouvelles normes logicielles conçues pour sécuriser plus efficacement les agences gouvernementales américaines et empêcher de nouveaux piratages. Ces nouvelles normes comprendront l’utilisation de l’authentification multifactorielle, mais également le renforcement de la sécurité des échanges entre le gouvernement et les entreprises privées.
Le score CVSS est utilisé presque systématiquement pour évaluer le danger des vulnérabilités. Mais savez-vous quel calcul se cache derrière le score sur 10?
Il faut dire que la cybersécurité regorge de termes spécifiques et autres acronymes (et anglophones, d’ailleurs) pour qualifier les scénarios d’attaque. On parle de RCE, XSS, de « web shell » ou même d’élévation de privilèges. Les balles d’avertissement sont le plus souvent destinées aux spécialistes et n’utilisent que du jargon. Ils soulignent rarement les risques concrets qu’une nouvelle vulnérabilité pose au public.
La police ukrainienne a arrêté le 9 février plusieurs membres d’un groupe de cybercriminels à l’origine de plusieurs attaques informatiques dans le monde, dont le quotidien Ouest France, la police et des sources proches ont raconté l’affaire ce jeudi.
Cette « opération internationale », menée en coordination avec les policiers français et ukrainiens ainsi qu’avec le FBI, a mis un terme à la diffusion du ransomware appelé « Egregor », décrit la police dans un communiqué.
Piratage informatique
Au moins 150 entreprises ont été attaquées, principalement aux États-Unis et en Europe, avec des pertes estimées à environ 66 millions d’euros, selon les premiers éléments de l’étude publiée par les services de sécurité ukrainiens (SBU). Selon une source proche du dossier, au moins trois personnes ont été arrêtées dans cet acte. Les domiciles des suspects ont été perquisitionnés et le matériel informatique saisi est « toujours utilisé » par les enquêteurs français envoyés sur les lieux, selon la police.
Les solutions de sécurité informatique Hyères
C’est un rapport d’Europol en septembre qui a conduit le parquet de Paris à ouvrir une enquête en France, remise à la sous-direction cybercriminalité (SDLC). Le groupe a pratiqué la technique de la « double extorsion »: d’une part le cryptage et le vol des données de l’entreprise ciblée, d’autre part la menace de publier ces données compromises sur un site internet si l’entreprise refusait de payer une rançon en bitcoins, le la plus célèbre des monnaies virtuelles.
Le ransomware s’est propagé par pré-intrusion « via l’envoi d’e-mails de phishing et un accès à distance Windows mal sécurisé au bureau », a déclaré la police française. Particulièrement sophistiqué, « Egregor » pourrait prendre le contrôle des imprimantes connectées aux ordinateurs infectés et imprimer la rançon, « amplifiant encore l’impact psychologique de l’extorsion », a déclaré la même source.
Plusieurs entreprises françaises ont été visées par «Egregor», dont le quotidien Ouest France, le transporteur Gefco et le géant du jeu vidéo Ubisoft. Deux attaques de ransomware ont été ciblées ces derniers jours contre des hôpitaux de Villefranche-sur-Saône (Rhône) et de Dax (Landes), mais elles ne portent pas la signature «Egregor». Il a travaillé sur le modèle du logiciel à la demande (Raas, Ransomware as a Service): ses créateurs l’ont mis à disposition d’autres hackers, «affiliés», qui ont pris la responsabilité des attaques avant de partager les bénéfices.
Les détenus font partie « plutôt que de l’équipe de conception et de production », a déclaré Catherine Chambon, directrice adjointe de la lutte contre la cybercriminalité à la magistrature centrale. Si Catherine Chambon qualifie l’opération contre «Egregor» de «démantèlement assez efficace», elle exhorte à rester «très prudente et modeste» sur ce qui ressemble à «un brouillard».
L’origine du mal
Selon l’Agence nationale de sécurité des systèmes d’information (Anssi), « Egregor serait lié à la fin de l’activité du groupe d’attaquants derrière le ransomware Maze », notamment à l’origine d’une attaque contre Bouygues Construction en janvier 2020. À son tour, » Egregor « pourrait-il renaître sous une autre forme? « Il est possible que ce soit la vie d’un ransomware », a répondu Catherine Chambon. «L’idée est de mettre progressivement en sécurité les cybercriminels afin qu’ils se sentent moins impunis. Même si, une fois qu’il y a un crime, il a peu de chances de disparaître ».
Anssi a publié un nouveau rapport, cette fois axé sur l’activité ransomware de Ryuk. Particulièrement impliqué dans l’attaque de Sopra Steria en France, ce logiciel malveillant se distingue de la concurrence et ne se contente pas de dupliquer les méthodes de ses concurrents.
Ryuk LE ransomware 2020?
Ryuk est un ransomware actif depuis 2018 et dont les opérateurs sont particulièrement actifs. C’est ce qui a valu le titre de «ransomware le plus rentable» selon le FBI en 2018 et généré plus de 61 millions de dollars de rançon entre février 2018 et octobre 2019.
Cependant, Ryuk n’aborde pas les méthodes qui ont fait le succès de groupes malveillants comme Maze ou Revil: pas de chantage pour le vol de données, pas de place pour montrer les victimes ou les communiqués de presse ici. Pourtant, ce ransomware, qui est actif depuis deux ans maintenant, reste une menace majeure, et Anssi a publié un rapport de statut.
Ryuk est un ransomware dont le but est de crypter les données de la victime pour exiger une rançon. Anssi indique que les cibles privilégiées des opérateurs de ce ransomware sont les grandes entreprises capables de payer les grosses rançons requises, principalement aux États-Unis et au Canada. L’agence note également que les opérateurs de Ryuk ne réservent pas d’autres groupes vis-à-vis des établissements de santé: « en octobre 2020, Ryuk serait responsable de 75% des attaques sur le secteur de la santé qu’il attaquerait depuis le premier semestre 2019 ». Des dizaines d’hôpitaux américains ont été victimes d’une campagne de Ryuk au début d’octobre visant les services dans les hôpitaux de l’UHS. Le FBI et le CISA américain ont également mis en garde contre le risque de nouvelles attaques basées sur Ryuk dans un nouveau communiqué d’information publié fin octobre.
Trickbot, Emotet et le bazar Comme de nombreux ransomwares, Ryuk n’est que la dernière étape d’une chaîne d’infection multi-malware. Les auteurs du rapport indiquent que l’infection Trickbot, au moins jusqu’en septembre 2020, aurait été le point d’entrée privilégié des opérateurs Ryuk pour s’implanter dans les réseaux d’entreprise. Trickbot, avec Emotet et bien d’autres, est un malware de type chargeur qui se propage généralement via des campagnes de courrier électronique malveillantes pour infecter un appareil cible, puis se propager à travers le réseau interne d’une victime et se déplacer jusqu’à ce qu’il compromette un contrôleur de domaine. La dernière étape est la mise en œuvre du ransomware, le cryptage des machines et la demande de rançon. Et si ce type d’attaque prend généralement du temps, certains opérateurs Ryuk se démarquent par leur rapidité: Anssi indique ainsi que dans certains cas le temps de la première infection et du cryptage est réduit de quelques jours. (2 à 5) en trois heures ».
En 2020, cependant, les opérateurs de Ryuk semblent s’être progressivement tournés vers un nouveau chargeur, connu sous le nom de BazarLoader, actif depuis mars 2020. «Comme TrickBot, Bazar serait utilisé comme un accès en tant que service pour faire des compromis ou même qualifier un SI pour le compte d’autres groupes d’attaquants. On ne sait pas si BazarLoader, comme TrickBot, fonctionne également sur un modèle d’affiliation », précise l’agence, qui précise que le logiciel est principalement distribué par le groupe derrière Trickbot. D’autres chargeurs ont également été identifiés dans des attaques impliquant le malware Ryuk: Buer et Le logiciel Silent Night a également été utilisé dans l’attaque qui a implémenté Ryuk.
Raas ou pas Raas, c’est la question
L’un des points qui sépare Ryuk du reste de l’écosystème de la cybercriminalité des groupes de ransomware est la question du modèle commercial de Ryuk. Pour de nombreux ransomwares apparus ces derniers mois, le modèle économique utilisé est généralement celui de RaaS (Ransomware as a service): le groupe à l’origine des ransomwares commercialise ses logiciels sur des forums clandestins auprès d’autres groupes, qui s’assurent ensuite de les diffuser réseaux informatiques de leurs victimes.
Pour Anssi, Ryuk n’est « pas officiellement un RaaS »: l’agence déclare ainsi qu’elle n’a observé aucune promotion des opérateurs Ryuk sur les forums clandestins. Ryuk est néanmoins exploité par plusieurs acteurs malveillants, selon Anssi. S’il n’est pas vendu au public, il pourrait être mis à la disposition de partenaires de confiance par le créateur du code malveillant, ou il pourrait être exploité indépendamment par plusieurs groupes à l’aide d’outils et de formes de propagation communs. .
Il est donc difficile de savoir qui tire exactement les fils de Ryuk: le rapport de l’agence met en évidence le rôle central joué par deux acteurs malveillants, le groupe WizardSpider derrière Trickbot et le groupe identifié comme UNC1878. Selon FireEye, ce dernier groupe est responsable de 83% des attaques impliquant Ryuk. L’agence note également l’implication d’autres groupes tels que FIN6 dans la prolifération du ransomware Ryuk ainsi que du code et des méthodologies entre Ryuk et un autre ransomware connu sous le nom de Conti. Si Ryuk n’est pas «officiellement un RaaS», il n’en est pas moins un acteur profondément enraciné dans la sphère de la cybercriminalité et avec de nombreux liens avec des groupes tiers.
