Catégorie : Attaque

Catégories
Attaque Ekans Entreprise de construction EvilQuest GandCrab Hakbit informatique maze NetWalker Professionnel Ragnar Locker Ransomware revil Rugby Ryuk Sécurité Service informatique Shade sodinokibi SolarWinds Spectre Sunburst Technologie ThiefQuest

Le président des États-Unis Joe Biden signe le décret sur la cybersécurité

Cette semaine, le président des États-Unis a ordonné la création d’un comité dédié aux cyberattaques ainsi que la création de nouvelles normes de sécurité logicielle pour les agences gouvernementales.

En matière de cybercriminalité, les États-Unis ont été confrontés à une cyberattaque massive menée par le groupe Darkside. En utilisant un ransomware, les pirates ont pu fermer l’opérateur pétrolier Colonial Pipeline, qui transporte généralement près de la moitié du carburant du pays. Une attaque qui a fait souffler un vent de panique chez les Américains. Les stations-service à travers le pays ont été prises d’assaut si loin qu’elles commencent une pénurie nationale.

Si la panique n’a pas duré longtemps car le problème a été rapidement résolu, ce nouvel incident démontre clairement la fragilité de l’Oncle Sam face aux cyberattaques. C’est dans ce contexte que le président américain Joe Biden a signé mercredi 12 mai 2021 un décret qui renforcerait la sécurité du pays contre les cyberattaques.

Pour renforcer la cybersécurité aux États-Unis, Joe Biden a annoncé la création d’un comité chargé d’examiner les cyberincidents. Plus précisément, l’organisation enquêtera sur les principaux hacks qui se sont produits dans le pays pour mieux comprendre les détails de l’affaire. Ce nouveau conseil est modelé par le National Transportation Safety Board, qui est chargé d’enquêter sur les accidents aériens, ferroviaires et maritimes, et peut aider à identifier les coupables potentiels en cas d’attaques supplémentaires. Pour rappel, ce n’est pas la première fois que le gouvernement américain est confronté à une cyberattaque. En décembre dernier, un groupe de pirates informatiques a ciblé le gouvernement avec le piratage massif de SolarWinds. Sans divulguer tous les détails de l’incident, Donald Trump affirmait à l’époque avoir des preuves de l’implication russe. Il y a quelques mois à peine, c’était la Chine qui, cette fois, était soupçonnée d’avoir ordonné une cyberattaque visant le géant Microsoft.

Outre la création d’un comité dédié, Joe Biden a également annoncé la création de nouvelles normes logicielles conçues pour sécuriser plus efficacement les agences gouvernementales américaines et empêcher de nouveaux piratages. Ces nouvelles normes comprendront l’utilisation de l’authentification multifactorielle, mais également le renforcement de la sécurité des échanges entre le gouvernement et les entreprises privées.

Catégories
Attaque Etude informatique Ransomware Sécurité Service informatique

L’assurance ne paie pas toujours la rançon

La compagnie d’assurance Axa a annoncé qu’elle suspendait temporairement son option «cyber rançon», qui proposait de soutenir les entreprises victimes de ransomwares en payant une rançon. Une pratique qui ne fait pas l’unanimité.

L’assurance ne paie pas toujours la rançon!

Axa France ne paie plus de rançon: la compagnie d’assurance a annoncé la suspension de son dispositif de «cyber rançon», option proposée depuis mi-2020 aux entreprises souscrites à l’assurance cybersécurité proposée par Axa. Comme l’explique Axa France, ce revirement brutal est venu directement du discours du directeur de l’Anssi et du parquet de Paris à ce sujet lors d’une audition au Sénat. Guillaume Poupard avait mis l’accent sur le «jeu nuageux» des compagnies d’assurance, qui, en facilitant le paiement de la rançon, faisait donc des entreprises françaises les principales cibles des cybercriminels.

Les compagnies d’assurance en situation délicate
Pour AXA France, qui proposait ce type de service, la déclaration a fait son effet. Comme l’explique un porte-parole de la compagnie d’assurance, «dans ce contexte, AXA France, qui avait fermé sa gamme avec une option dans ce sens, a jugé opportun de suspendre sa commercialisation jusqu’à ce que les conséquences en soient tirées. De ces analyses et que le cadre de l’intervention d’assurance soit clarifié. Il est important que les pouvoirs publics concrétisent leur position sur cette question afin de permettre à tous les acteurs du marché d’harmoniser leurs pratiques « .

Il précise néanmoins que cette suspension n’affecte pas le reste du contrat de cyber-assurance proposé par l’assureur, qui continuera à proposer à ses assurés le reste des services liés à ce contrat. La possibilité de cyber-rachat était offerte aux entreprises ayant mis en place une politique de sécurisation du système informatique et réservée aux «cas marginaux» où le paiement d’une rançon était considéré comme la seule solution disponible. De même, cette option était réservée aux entreprises ayant déposé une plainte. Et dans l’hypothèse où la plainte serait adressée aux services antiterroristes, AXA France déclare avoir alors refusé de rembourser le paiement de la rançon.

L’audience du Sénat a incité les compagnies d’assurance à prendre position sur cette question délicate. AXA France n’est pas le seul du secteur à proposer ce type de service: le mois dernier, la compagnie d’assurance Hiscox expliquait à L’Argus de l’Assurance que ce type de prestation faisait partie de leurs contrats, même si cette éventualité est toujours présentée comme «solution de dernier recours». D’autres acteurs de terrain, comme Generali, en revanche, sont radicalement opposés à ce type de pratique.

Paiements de rançon dans la ligne de mire
A la suite de cette consultation, on apprend notamment que la Direction générale du ministère des Finances a confié au Haut Comité juridique de la Place des Finances de Paris la mise en place d’un groupe de travail sur la question du paiement de la rançon. Cela devrait conduire à une série de recommandations sur le sujet et clarifier la position des autorités sur la légalité de cette pratique.

L’interdiction des paiements de rançon est un problème difficile, mais qui se fait de plus en plus entendre au milieu des nouvelles technologies. Fin 2020, la société de cybersécurité Emsisoft a publié une colonne exhortant les gouvernements à interdire le paiement d’une rançon pour freiner les attaques de ransomwares. Dans le même temps, le département américain du Trésor a rappelé que le paiement d’une rançon à certains groupes pouvait entraîner des sanctions pour l’entreprise victime. Début 2021, l’ancien chef de l’agence britannique de cybersécurité a également appelé à une modification de la loi pour interdire à nouveau le paiement d’une rançon pour éviter de financer un écosystème criminel.

Les montants des rançons faisant l’objet d’un chantage à la suite d’attaques de ransomwares augmentent depuis plusieurs années. Selon une analyse de Palo Alto Networks, la rançon moyenne payée par les entreprises en 2020 a triplé, passant de 115.123 dollars en 2019 à 312.393 dollars en 2020, avec un montant record pouvant atteindre 30 millions de dollars. Cette croissance reflète le changement de tactique des cyber-attaquants qui augmentent le pouvoir de levier de leurs victimes et n’hésitent plus à attaquer les grandes entreprises susceptibles de payer une rançon plus importante.

Catégories
Attaque informatique Rugby Sécurité Service informatique

Le groupe pharmaceutique Pierre Fabre est victime d’une cyberattaque majeure

Pierre Fabre a été touché par une cyberattaque majeure, au point que certains sites de production ont été fermés. Le groupe pharmaceutique compte une soixantaine de sites, dont 15 en France.

Pierre Fabre sponsor du Castres Olympique

La cyberattaque contre Pierre Fabre s’est déroulée dans la nuit de mardi à mercredi. « Cependant, la distribution des produits ne sera pas interrompue », a indiqué la direction à l’AFP. Elle a également envoyé un SMS à ses employés, qui ont déclaré: «Après l’incident informatique, l’entreprise s’est complètement arrêtée. Un congé payé ou une journée de loisirs en 2020 est également imposé pour la journée du 1er avril ».

La situation a changé depuis. Le groupe affirme que «la propagation des virus informatiques est complètement contenue». Dans le même temps, ses opérations correctives (c.-à-d. Réparation) ont commencé à fournir un retour progressif à la normale.

Le système informatique de Pierre Fabre a été «immédiatement mis en veille pour empêcher la propagation du virus» à la lumière de la cyberattaque. «Cela a conduit à une fermeture progressive et temporaire d’une grande partie des activités de production à l’exception du site de production d’actifs pharmaceutiques et cosmétiques dans le Tarn», précise la direction.

Le groupe s’assure que la disponibilité de ses produits auprès des patients et des consommateurs reste assurée. En particulier, le centre de distribution de médicaments d’Ussel (en Corrèze) distribue des traitements anticancéreux livrés directement aux pharmaciens ou aux hôpitaux.

Catégories
Attaque informatique maze Ransomware Sécurité Service informatique Technologie

Les forums de cybercriminalité des plus élitistes ont été complètement piratés

Le forum cybercriminel de Mazafaka, qui abrite des gangs d’élite, a lui-même été piraté et pas seulement un petit peu. Les attaquants ont pris le contrôle total du site, le supprimant et le défigurant, comme l’a noté The Record. Le site affiche désormais un document contenant les données des près de 3 000 utilisateurs du forum, avec un message d’avertissement: «Vos données ont été divulguées, ce forum a été piraté».

Outre Maza, d’autres forums sur la cybercriminalité ont dû faire face à des incidents de sécurité ces derniers mois: Verified, un pilier de l’industrie, a dû fermer temporairement après avoir volé son nom de domaine; Pendant ce temps, l’exploitation d’une violation de données a souffert; enfin, le criminel a réussi à s’emparer du compte d’un modérateur de Club2crd pour envoyer de fausses publicités. Ces noms de plates-formes ne vous parlent peut-être pas, mais ils font tous partie des marchés les plus populaires. Une chose ressort: les forums de cybercriminalité se battent de plus en plus pour protéger leurs utilisateurs. Cependant, comme il s’agit d’activités illégales, les utilisateurs n’hésiteront pas à les quitter si les utilisateurs ne font pas confiance à l’administration des forums. Le manque de confiance conduit ainsi à la fermeture des forums.

Catégories
Attaque Hôpital informatique Ransomware Sécurité Service informatique

Les FAI ont reçu l’ordre de bloquer l’accès à un site hébergeant des données de santé non chiffrées

Après avoir formellement découragé il y a quelques jours et avec raison d’utiliser tout site suggérant de «vérifier» si vous ne faites pas partie des 500 000 personnes dont les nombreuses données de santé ont été volées à des laboratoires à des fins d’analyses médicales, présidente de la CNIL, Marie-Laure Denis, avait rapidement appréhendé le tribunal de Paris pour bloquer l’accès à un lieu qui héberge juste les informations personnelles et sensibles volées.

Le tribunal de Paris a rendu mercredi une décision exigeant que les FAI bloquent l’accès à un site contenant une base de données d’env. 500 000 patients.

Catégories
Aérien Android Apple Association Attaque Bitcoins COVID-19 Ekans Entreprise de construction Etude EvilQuest GandCrab Hakbit Hôpital hyères informatique Mac MacOS Mairie maze Nefilim NetWalker Non classé Orange presse prix Professionnel Ragnar Locker Ransomware revil Ryuk Sécurité Service informatique Shade sodinokibi SolarWinds Sunburst Technologie ThiefQuest vidéo

Comment la vulnérabilité informatique est-elle mesurée?

Le score CVSS est utilisé presque systématiquement pour évaluer le danger des vulnérabilités. Mais savez-vous quel calcul se cache derrière le score sur 10?

Il faut dire que la cybersécurité regorge de termes spécifiques et autres acronymes (et anglophones, d’ailleurs) pour qualifier les scénarios d’attaque. On parle de RCE, XSS, de « web shell » ou même d’élévation de privilèges. Les balles d’avertissement sont le plus souvent destinées aux spécialistes et n’utilisent que du jargon. Ils soulignent rarement les risques concrets qu’une nouvelle vulnérabilité pose au public.

SUITE… Avec Numerama.com

Catégories
Attaque Etude Hôpital hyères informatique Mac Mairie maze Orange presse prix Professionnel Ragnar Locker Ransomware Ryuk Service informatique Technologie

Des auteurs de ransomwares arrêtés en Ukraine

La police ukrainienne a arrêté le 9 février plusieurs membres d’un groupe de cybercriminels à l’origine de plusieurs attaques informatiques dans le monde, dont le quotidien Ouest France, la police et des sources proches ont raconté l’affaire ce jeudi.

Cette « opération internationale », menée en coordination avec les policiers français et ukrainiens ainsi qu’avec le FBI, a mis un terme à la diffusion du ransomware appelé « Egregor », décrit la police dans un communiqué.

Piratage informatique

Au moins 150 entreprises ont été attaquées, principalement aux États-Unis et en Europe, avec des pertes estimées à environ 66 millions d’euros, selon les premiers éléments de l’étude publiée par les services de sécurité ukrainiens (SBU). Selon une source proche du dossier, au moins trois personnes ont été arrêtées dans cet acte. Les domiciles des suspects ont été perquisitionnés et le matériel informatique saisi est « toujours utilisé » par les enquêteurs français envoyés sur les lieux, selon la police.

Les solutions de sécurité informatique Hyères

C’est un rapport d’Europol en septembre qui a conduit le parquet de Paris à ouvrir une enquête en France, remise à la sous-direction cybercriminalité (SDLC). Le groupe a pratiqué la technique de la « double extorsion »: d’une part le cryptage et le vol des données de l’entreprise ciblée, d’autre part la menace de publier ces données compromises sur un site internet si l’entreprise refusait de payer une rançon en bitcoins, le la plus célèbre des monnaies virtuelles.

Le ransomware s’est propagé par pré-intrusion « via l’envoi d’e-mails de phishing et un accès à distance Windows mal sécurisé au bureau », a déclaré la police française. Particulièrement sophistiqué, « Egregor » pourrait prendre le contrôle des imprimantes connectées aux ordinateurs infectés et imprimer la rançon, « amplifiant encore l’impact psychologique de l’extorsion », a déclaré la même source.

Plusieurs entreprises françaises ont été visées par «Egregor», dont le quotidien Ouest France, le transporteur Gefco et le géant du jeu vidéo Ubisoft. Deux attaques de ransomware ont été ciblées ces derniers jours contre des hôpitaux de Villefranche-sur-Saône (Rhône) et de Dax (Landes), mais elles ne portent pas la signature «Egregor». Il a travaillé sur le modèle du logiciel à la demande (Raas, Ransomware as a Service): ses créateurs l’ont mis à disposition d’autres hackers, «affiliés», qui ont pris la responsabilité des attaques avant de partager les bénéfices.

Les détenus font partie « plutôt que de l’équipe de conception et de production », a déclaré Catherine Chambon, directrice adjointe de la lutte contre la cybercriminalité à la magistrature centrale. Si Catherine Chambon qualifie l’opération contre «Egregor» de «démantèlement assez efficace», elle exhorte à rester «très prudente et modeste» sur ce qui ressemble à «un brouillard».

L’origine du mal

Selon l’Agence nationale de sécurité des systèmes d’information (Anssi), « Egregor serait lié à la fin de l’activité du groupe d’attaquants derrière le ransomware Maze », notamment à l’origine d’une attaque contre Bouygues Construction en janvier 2020. À son tour,  » Egregor « pourrait-il renaître sous une autre forme? « Il est possible que ce soit la vie d’un ransomware », a répondu Catherine Chambon. «L’idée est de mettre progressivement en sécurité les cybercriminels afin qu’ils se sentent moins impunis. Même si, une fois qu’il y a un crime, il a peu de chances de disparaître ».

Catégories
Attaque informatique Non classé Ransomware Technologie

Plusieurs unités françaises touchées par une cyberattaque de 2017 à 2020

Des entreprises françaises ont été victimes d’une longue campagne de cyberattaques. Une intrusion via la solution de surveillance Centreon et un état de fonctionnement de sandworm faisant référence à un groupe de cyberespionnage russe.

MAJ:  » L’attaque concerne une version open source obsolète du logiciel, déployée sans respect des recommandations d’hygiène de l’Anssi. Les clients de Centreon ne sont pas concernés.  »

L’Agence nationale de sécurité des systèmes d’information (Anssi) a mis en garde lundi contre la découverte d’un piratage informatique « affectant plusieurs appareils français » via le logiciel français Centreon, qui compte parmi ses clients de grandes entreprises et le ministère de la Justice. LIEN

L’attaque, qui a duré de fin 2017 à 2020, « rappelle les méthodes déjà utilisées par le groupe de renseignement russe Sandworm, mais elle ne garantit pas qu’il s’agit bien de lui », a déclaré Gérome Billois, spécialiste de la cybersécurité de Wavestone. . La durée de l’attaque avant sa découverte suggère que les attaquants sont « extrêmement discrets, plutôt connus pour être dans la logique du vol de données et de renseignements », a-t-il ajouté.

Air France, Airbus, EDF, Orange, RATP, Thales ou encore Total sont quelques-uns des noms utilisant Centreon, ainsi que le ministère de la Justice. Centreon revendique plus de 600 clients dans le monde, dont 70% ont leur siège en France.

Le policier de la cybersécurité en France fait des compromis qui ont été identifiés fin 2017 et jusqu’en 2020. C’est donc une découverte tardive qui indique une campagne de cyberattaque particulièrement discrète.

L’affaire rappelle l’énorme cyberattaque attribuée à la Russie, qui visait les États-Unis en 2020, alors que des pirates informatiques exploitaient une mise à jour d’un logiciel de surveillance développé par une société texane, SolarWinds, et utilisé par des dizaines de milliers d’entreprises et d’administrations à travers le monde.

Catégories
Attaque Non classé Ransomware Service informatique

L’hôpital de Dax complètement bloqué par un ransomware, dernier recours pour les RDV: Twitter!

L’attaque «a mis à plat les systèmes informatiques et le téléphone de l’hôpital avec un danger évident et évident pour les soins aux patients».

Après des mois d’attaques massives de ransomwares contre des entreprises et organisations françaises, un hôpital entier est désormais bloqué par une attaque informatique. Un ransomware bloque depuis mardi le fonctionnement du système informatique de l’hôpital de la ville de Dax (Landes). Le seul moyen de contacter l’hôpital est donc désormais le 15 ou le compte Twitter de l’entreprise.

« Au vu de l’ampleur de l’attaque », le parquet de Dax, qui avait initialement saisi l’enquête pour « accès frauduleux à un système de traitement automatisé de données », avait renoncé à compétence au profit du parquet de Paris, qui a compétence nationale en matière de cybercriminalité, A déclaré l’AFP. L’attaque «a mis à plat les systèmes informatiques et le téléphone de l’hôpital avec un danger évident et évident pour les soins aux patients».

Le malware a chiffré le contenu des disques durs sur la plupart des ordinateurs de l’établissement. « Les données n’ont pas été volées, elles sont toujours sur nos serveurs, mais elles sont cryptées et donc plus disponibles », a déclaré Aline Gilet-Caubère, directrice générale adjointe de l’hôpital du Sud Ouest.

L’attaque a des conséquences sur les soins
Outre le système informatique et le système téléphonique, l’attaque aura des conséquences sur les soins. Les outils de stérilisation, par exemple, mais aussi ceux de radiothérapie et de chimiothérapie, sont indirectement affectés par cette attaque. Le centre de vaccination Covid-19 de l’hôpital a également été contraint de fermer ses portes.

Des experts de l’Agence nationale de sécurité des systèmes d’information (Anssi) sont prêts à tenter de reprendre le contrôle. L’intervention de l’Agence dans ce type de situation a presque doublé en un an.

En septembre 2020, une attaque de ransomware contre un hôpital allemand a entraîné la mort. La patiente, qui avait besoin de soins médicaux d’urgence, était décédée après avoir été détournée vers un hôpital de la ville de Wuppertal, à plus de 30 km de sa destination d’origine, l’hôpital universitaire de Düsseldorf, qui a été victime d’une cyberattaque. C’était la première fois qu’une mort humaine était signalée comme étant indirectement causée par une attaque de ransomware.

Les attaques de ce type se sont multipliées ces dernières années. Le fonctionnement du CHU de Rouen a été gravement perturbé en 2019 après une attaque similaire. Des experts d’Anssi sont également intervenus, et la variante de ransomware utilisée aurait été Cryptomix Clop. En décembre 2020, les hôpitaux de Narbonne (Aude) et d’Albertville-Moûtiers (Savoie) avaient également été touchés par des ransomwares.

Face à ces attaques, la tentation de payer pour la récupération de données est grande. Mais en 2017, le Kansas Heart Hospital (Witchita, Kansas) a payé pour récupérer ses données en vain. Les ravisseurs ont refusé de déverrouiller le système d’information retenu en otage une fois la rançon payée et ont exigé un nouveau paiement.

LIEN

Catégories
Attaque informatique Non classé Sécurité Service informatique vidéo

Les cyberattaques de novembre dernier ont frappé 390 000 personnes chez Capcom

En novembre 2020, Capcom a subi une attaque majeure sur ses serveurs. Et si l’on en croit les dernières informations sur ce sujet, des dizaines de milliers de personnes ont été touchées.

Jeux vidéo

Lors de cette cyberattaque, dont l’éditeur japonais a été victime, de nombreuses données personnelles ont été volées à la fois aux employés et aux utilisateurs. Les noms et adresses de ces derniers se rapportent. De plus, des informations confidentielles sur divers jeux comme Resident Evil Village et Monster Hunter Rise sont apparues sur Internet après l’incident.

Malheureusement, cet accident a eu plus de conséquences que prévu. Aujourd’hui, Capcom affirme qu’environ 390 000 personnes ont été directement touchées par la cyberattaque. C’est 40 000 de plus par rapport au communiqué de presse précédent. Les pirates ont également volé des documents financiers appartenant à l’entreprise.

134 000 joueurs touchés

En détail, Capcom mentionne le fait que les informations personnelles de 3 248 partenaires commerciaux, 3 994 employés et 9 164 anciens employés ont été volées de cette manière. En termes de joueurs, 134 000 fichiers ont été volés au service client japonais, 14 000 sur la boutique en ligne nord-américaine et 4 000 sur le site d’esports.