Catégories
Aérien Android Apple Association Attaque Bitcoins COVID-19 Ekans Entreprise de construction Etude EvilQuest GandCrab Hakbit Hôpital hyères informatique Mac MacOS Mairie maze Nefilim NetWalker Non classé Orange presse prix Ragnar Locker Ransomware revil Ryuk Sécurité Service informatique Shade sodinokibi SolarWinds Sunburst Technologie ThiefQuest Uncategorized vidéo

Comment la vulnérabilité informatique est-elle mesurée?

Le score CVSS est utilisé presque systématiquement pour évaluer le danger des vulnérabilités. Mais savez-vous quel calcul se cache derrière le score sur 10?

Il faut dire que la cybersécurité regorge de termes spécifiques et autres acronymes (et anglophones, d’ailleurs) pour qualifier les scénarios d’attaque. On parle de RCE, XSS, de « web shell » ou même d’élévation de privilèges. Les balles d’avertissement sont le plus souvent destinées aux spécialistes et n’utilisent que du jargon. Ils soulignent rarement les risques concrets qu’une nouvelle vulnérabilité pose au public.

SUITE… Avec Numerama.com

Catégories
Attaque Etude Hôpital hyères informatique Mac Mairie maze Orange presse prix Ragnar Locker Ransomware Ryuk Service informatique Technologie Uncategorized

Des auteurs de ransomwares arrêtés en Ukraine

La police ukrainienne a arrêté le 9 février plusieurs membres d’un groupe de cybercriminels à l’origine de plusieurs attaques informatiques dans le monde, dont le quotidien Ouest France, la police et des sources proches ont raconté l’affaire ce jeudi.

Cette « opération internationale », menée en coordination avec les policiers français et ukrainiens ainsi qu’avec le FBI, a mis un terme à la diffusion du ransomware appelé « Egregor », décrit la police dans un communiqué.

Piratage informatique

Au moins 150 entreprises ont été attaquées, principalement aux États-Unis et en Europe, avec des pertes estimées à environ 66 millions d’euros, selon les premiers éléments de l’étude publiée par les services de sécurité ukrainiens (SBU). Selon une source proche du dossier, au moins trois personnes ont été arrêtées dans cet acte. Les domiciles des suspects ont été perquisitionnés et le matériel informatique saisi est « toujours utilisé » par les enquêteurs français envoyés sur les lieux, selon la police.

Les solutions de sécurité informatique Hyères

C’est un rapport d’Europol en septembre qui a conduit le parquet de Paris à ouvrir une enquête en France, remise à la sous-direction cybercriminalité (SDLC). Le groupe a pratiqué la technique de la « double extorsion »: d’une part le cryptage et le vol des données de l’entreprise ciblée, d’autre part la menace de publier ces données compromises sur un site internet si l’entreprise refusait de payer une rançon en bitcoins, le la plus célèbre des monnaies virtuelles.

Le ransomware s’est propagé par pré-intrusion « via l’envoi d’e-mails de phishing et un accès à distance Windows mal sécurisé au bureau », a déclaré la police française. Particulièrement sophistiqué, « Egregor » pourrait prendre le contrôle des imprimantes connectées aux ordinateurs infectés et imprimer la rançon, « amplifiant encore l’impact psychologique de l’extorsion », a déclaré la même source.

Plusieurs entreprises françaises ont été visées par «Egregor», dont le quotidien Ouest France, le transporteur Gefco et le géant du jeu vidéo Ubisoft. Deux attaques de ransomware ont été ciblées ces derniers jours contre des hôpitaux de Villefranche-sur-Saône (Rhône) et de Dax (Landes), mais elles ne portent pas la signature «Egregor». Il a travaillé sur le modèle du logiciel à la demande (Raas, Ransomware as a Service): ses créateurs l’ont mis à disposition d’autres hackers, «affiliés», qui ont pris la responsabilité des attaques avant de partager les bénéfices.

Les détenus font partie « plutôt que de l’équipe de conception et de production », a déclaré Catherine Chambon, directrice adjointe de la lutte contre la cybercriminalité à la magistrature centrale. Si Catherine Chambon qualifie l’opération contre «Egregor» de «démantèlement assez efficace», elle exhorte à rester «très prudente et modeste» sur ce qui ressemble à «un brouillard».

L’origine du mal

Selon l’Agence nationale de sécurité des systèmes d’information (Anssi), « Egregor serait lié à la fin de l’activité du groupe d’attaquants derrière le ransomware Maze », notamment à l’origine d’une attaque contre Bouygues Construction en janvier 2020. À son tour,  » Egregor « pourrait-il renaître sous une autre forme? « Il est possible que ce soit la vie d’un ransomware », a répondu Catherine Chambon. «L’idée est de mettre progressivement en sécurité les cybercriminels afin qu’ils se sentent moins impunis. Même si, une fois qu’il y a un crime, il a peu de chances de disparaître ».

Catégories
Attaque Etude hyères informatique Non classé presse prix Ransomware Ryuk Sécurité

Ryuk aurait réclamé plus de 150 millions de dollars

Suite à l’invasion d’entreprises à travers le monde, on dit que le groupe de rançongiciels Ryuk a mis 150 millions de dollars dans la poche avec le paiement d’une rançon.

Les opérateurs de ransomware Ryuk auraient gagné plus de 150 millions de dollars en Bitcoin en payant de l’argent de piratage à des entreprises du monde entier.

c’est pas très clair!

La société de renseignement sur les menaces Advanced Intelligence (AdvIntel) et la société de cybersécurité HYAS ont publié jeudi une étude qui suit les paiements effectués sur 61 adresses Bitcoin, précédemment attribuées et liées aux attaques de ransomware de Ryuk.

« Ryuk reçoit une partie importante de la rançon d’un courtier bien connu qui effectue des paiements au nom des victimes du ransomware », affirment les deux sociétés. «Ces paiements s’élèvent parfois à des millions de dollars, mais ils se comptent généralement par centaines de milliers. « 

AdvIntel et HYAS expliquent que les fonds extorqués sont collectés sur des comptes de dépôt, puis transférés au blanchiment d’argent. Ensuite, soit ils retournent au marché noir et sont utilisés pour payer d’autres services criminels, soit ils sont échangés dans un véritable échange de crypto-monnaie.

Mais ce qui a le plus attiré l’attention des enquêteurs, c’est que Ryuk a converti son Bitcoin en véritable monnaie fiduciaire à l’aide de portails de crypto-monnaie bien connus tels que Binance et Huobi – probablement via des identités volées. D’autres groupes de ransomwares préfèrent généralement utiliser des services d’échange plus obscurs.

Cette enquête met également à jour nos chiffres sur les activités de Ryuk. Les derniers chiffres étaient datés de février 2020, après que des collaborateurs du FBI se soient exprimés lors de la conférence RSA. À l’époque, le FBI affirmait que Ryuk était de loin le groupe de ransomware actif le plus rentable avec plus de 61,26 millions de dollars générés entre février 2018 et octobre 2019, selon les plaintes reçues par son «Internet Crime Complaint Center».

Cette nouvelle étude de 150 millions de dollars montre clairement que Ryuk a conservé sa place au sommet, du moins pour le moment.

Au cours de l’année écoulée, d’autres groupes de ransomwares – tels que REvil, Maze et Egregor – se sont également fait un nom et ont été très actifs et ont infecté des centaines d’entreprises. Cependant, à l’heure actuelle, aucun rapport ne permet d’estimer les sommes déclarées de ces groupes. L’enquête la plus récente de ce type était celle de la société de cybersécurité McAfee, publiée en août 2020, qui estimait que le groupe de ransomware Netwalker avait accumulé environ 25 millions de dollars de rançon entre mars et août 2020.

Catégories
Android Apple Attaque Bitcoins COVID-19 Ekans Etude EvilQuest GandCrab Hakbit Hôpital hyères informatique Mac MacOS Mairie maze Nefilim NetWalker Non classé Orange prix Ragnar Locker Ransomware revil Ryuk Sécurité Service informatique Shade sodinokibi Technologie ThiefQuest vidéo

Ryuk LE ransomware 2020?

Anssi a publié un nouveau rapport, cette fois axé sur l’activité ransomware de Ryuk. Particulièrement impliqué dans l’attaque de Sopra Steria en France, ce logiciel malveillant se distingue de la concurrence et ne se contente pas de dupliquer les méthodes de ses concurrents.

Ryuk LE ransomware 2020?

Ryuk est un ransomware actif depuis 2018 et dont les opérateurs sont particulièrement actifs. C’est ce qui a valu le titre de «ransomware le plus rentable» selon le FBI en 2018 et généré plus de 61 millions de dollars de rançon entre février 2018 et octobre 2019.

Cependant, Ryuk n’aborde pas les méthodes qui ont fait le succès de groupes malveillants comme Maze ou Revil: pas de chantage pour le vol de données, pas de place pour montrer les victimes ou les communiqués de presse ici. Pourtant, ce ransomware, qui est actif depuis deux ans maintenant, reste une menace majeure, et Anssi a publié un rapport de statut.

Ryuk est un ransomware dont le but est de crypter les données de la victime pour exiger une rançon. Anssi indique que les cibles privilégiées des opérateurs de ce ransomware sont les grandes entreprises capables de payer les grosses rançons requises, principalement aux États-Unis et au Canada. L’agence note également que les opérateurs de Ryuk ne réservent pas d’autres groupes vis-à-vis des établissements de santé: « en octobre 2020, Ryuk serait responsable de 75% des attaques sur le secteur de la santé qu’il attaquerait depuis le premier semestre 2019 ». Des dizaines d’hôpitaux américains ont été victimes d’une campagne de Ryuk au début d’octobre visant les services dans les hôpitaux de l’UHS. Le FBI et le CISA américain ont également mis en garde contre le risque de nouvelles attaques basées sur Ryuk dans un nouveau communiqué d’information publié fin octobre.

Trickbot, Emotet et le bazar
Comme de nombreux ransomwares, Ryuk n’est que la dernière étape d’une chaîne d’infection multi-malware. Les auteurs du rapport indiquent que l’infection Trickbot, au moins jusqu’en septembre 2020, aurait été le point d’entrée privilégié des opérateurs Ryuk pour s’implanter dans les réseaux d’entreprise. Trickbot, avec Emotet et bien d’autres, est un malware de type chargeur qui se propage généralement via des campagnes de courrier électronique malveillantes pour infecter un appareil cible, puis se propager à travers le réseau interne d’une victime et se déplacer jusqu’à ce qu’il compromette un contrôleur de domaine. La dernière étape est la mise en œuvre du ransomware, le cryptage des machines et la demande de rançon. Et si ce type d’attaque prend généralement du temps, certains opérateurs Ryuk se démarquent par leur rapidité: Anssi indique ainsi que dans certains cas le temps de la première infection et du cryptage est réduit de quelques jours. (2 à 5) en trois heures ».

En 2020, cependant, les opérateurs de Ryuk semblent s’être progressivement tournés vers un nouveau chargeur, connu sous le nom de BazarLoader, actif depuis mars 2020. «Comme TrickBot, Bazar serait utilisé comme un accès en tant que service pour faire des compromis ou même qualifier un SI pour le compte d’autres groupes d’attaquants. On ne sait pas si BazarLoader, comme TrickBot, fonctionne également sur un modèle d’affiliation », précise l’agence, qui précise que le logiciel est principalement distribué par le groupe derrière Trickbot. D’autres chargeurs ont également été identifiés dans des attaques impliquant le malware Ryuk: Buer et Le logiciel Silent Night a également été utilisé dans l’attaque qui a implémenté Ryuk.

Raas ou pas Raas, c’est la question
L’un des points qui sépare Ryuk du reste de l’écosystème de la cybercriminalité des groupes de ransomware est la question du modèle commercial de Ryuk. Pour de nombreux ransomwares apparus ces derniers mois, le modèle économique utilisé est généralement celui de RaaS (Ransomware as a service): le groupe à l’origine des ransomwares commercialise ses logiciels sur des forums clandestins auprès d’autres groupes, qui s’assurent ensuite de les diffuser réseaux informatiques de leurs victimes.

Pour Anssi, Ryuk n’est « pas officiellement un RaaS »: l’agence déclare ainsi qu’elle n’a observé aucune promotion des opérateurs Ryuk sur les forums clandestins. Ryuk est néanmoins exploité par plusieurs acteurs malveillants, selon Anssi. S’il n’est pas vendu au public, il pourrait être mis à la disposition de partenaires de confiance par le créateur du code malveillant, ou il pourrait être exploité indépendamment par plusieurs groupes à l’aide d’outils et de formes de propagation communs. .

Il est donc difficile de savoir qui tire exactement les fils de Ryuk: le rapport de l’agence met en évidence le rôle central joué par deux acteurs malveillants, le groupe WizardSpider derrière Trickbot et le groupe identifié comme UNC1878. Selon FireEye, ce dernier groupe est responsable de 83% des attaques impliquant Ryuk. L’agence note également l’implication d’autres groupes tels que FIN6 dans la prolifération du ransomware Ryuk ainsi que du code et des méthodologies entre Ryuk et un autre ransomware connu sous le nom de Conti. Si Ryuk n’est pas «officiellement un RaaS», il n’en est pas moins un acteur profondément enraciné dans la sphère de la cybercriminalité et avec de nombreux liens avec des groupes tiers.

Catégories
Attaque Ekans Etude EvilQuest GandCrab Hakbit Hôpital hyères informatique maze Nefilim Ragnar Locker Ransomware revil Ryuk

Les façons dont les ransomwares pénètrent dans vos systèmes

Les attaques par ransomwares sont en hausse. Voici les façons dont l’attaque initiale est susceptible de commencer.

Les façons dont les ransomwares pénètrent dans vos systèmes

L’impact des ransomwares continue de croître. Les ransomwares sont le problème de sécurité le plus courant en 2020. Ces attaques représentaient plus d’un tiers des cas jusqu’en septembre de l’année dernière.

Et c’est ainsi que les attaquants pénètrent dans vos systèmes d’information: dans près de la moitié (47%) des cas de ransomware, les pirates ont utilisé l’outil ouvert RDP (Remote Desktop Protocol). qui a été utilisé par de nombreuses entreprises pour aider le personnel à travailler à domicile, mais qui peut également permettre aux attaquants d’entrer s’ils ne sont pas correctement sécurisés.

Plus d’un quart (26%) des cas ont été attribués à des e-mails de phishing, et un petit nombre a utilisé des vulnérabilités spécifiques (17%), y compris – mais sans s’y limiter – Citrix NetScaler CVE-2019- 19781 et Pulse VPN CVE-2019- 11510.

Trois secteurs ont été particulièrement touchés cette année: les services, la santé et les télécommunications. Cela contraste avec les données récentes d’IBM, qui suggéraient que l’industrie manufacturière, le secteur des services professionnels et le secteur public étaient les plus susceptibles d’être touchés.

Ryuk, Sodinokibi et Maze sont les trois variantes de ransomwares les plus problématiques en 2020 et représentent 35% de toutes les cyberattaques. Les ransomwares ont tendance à passer par des périodes d’activité avant de redevenir silencieux, les développeurs chiffrant pour le mettre à niveau avant de reprendre le piratage.

De nombreuses variantes de ransomwares volent désormais les données d’entreprise et menacent de les publier: en particulier en téléchargeant entre 100 Go et 1 To de données privées ou sensibles pour maximiser la pression pour payer la rançon. 42% des cas portant sur une variante connue de ransomware étaient liés à un groupe de ransomwares qui exfiltre et publie des données sur les victimes.

Catégories
Android Apple Association Attaque Bitcoins COVID-19 Ekans Etude EvilQuest GandCrab Hakbit Hôpital informatique Mac MacOS maze Nefilim NetWalker Ragnar Locker Ransomware revil Ryuk Sécurité Shade sodinokibi Technologie ThiefQuest

Ransomware de la semaine- octobre 2020 – Des hôpitaux assiégés

Ransomware de la semaine- octobre 2020 – Des hôpitaux assiégés

Cette semaine, nous avons assisté à une attaque concertée contre le secteur de la santé par des groupes de piratage utilisant le ransomware Ryuk. En outre, nous avons vu certaines grandes entreprises bien connues souffrir d’attaques de ransomwares, qui ont affecté leurs activités commerciales.

La plus grande nouvelle cette semaine est que le gouvernement américain a averti le secteur de la santé qu’il existe « des informations crédibles sur une menace accrue et imminente de cybercriminalité pour les hôpitaux et les prestataires de soins de santé américains ». À la suite de ces attaques, nous avons vu six hôpitaux ciblés cette semaine, dont l’hôpital Wyckoff, l’Université du Vermont Health Systems, le Sky Lakes Medical Center et St. Louis. Lawrence Health System.

Nous avons également été informés d’attaques de ransomwares contre des sociétés bien connues, telles que le fabricant de meubles SteelCase, la société de conseil informatique française Sopra Steria et la société d’électricité italienne Enel Group.

Enfin, un représentant de REvil connu sous le nom de UNKN a déclaré qu’ils avaient gagné 100 millions de dollars en un an et que le tristement célèbre gang de labyrinthe avait commencé à fermer son opération de ransomware.

Maintenant que le week-end approche, il est important que toutes les entreprises surveillent les activités suspectes sur leur réseau Windows et leurs contrôleurs de domaine et réagissent de manière proactive si quelque chose est découvert.

LIEN

Les contributeurs et ceux qui ont livré de nouvelles nouvelles et histoires sur les ransomwares cette semaine incluent: @PolarToffee, @VK_Intel, @struppigel, @BleepinComputer, @malwrhunterteam, @malwareforme, @ demonslay335, @jorntvdw, @Seifreed, @FourOctets , @, @Ionut_Ilascu, @DanielGallagher, @fwosar, @MarceloRivero, @Malwarebytes, @Amigo_A_, @GrujaRS, @ 0x4143, @ fbgwls245, @siri_urz, @Mandiant et @IntelAdvanced.

Catégories
Android Apple Association Bitcoins COVID-19 Entreprise de construction Etude EvilQuest GandCrab Hakbit Hôpital hyères NetWalker Non classé Orange prix Ragnar Locker Ransomware Ryuk Sécurité sodinokibi Technologie ThiefQuest vidéo

Ransomware: Septembre 2020 sans précédent

La rentrée scolaire a été marquée par un nombre sans précédent de cyberattaques connues impliquant des ransomwares. Le fruit de la connexion entre plusieurs facteurs. Et ceux-ci ne suggèrent aucun règlement réel.

Ransomware: Septembre 2020 sans précédent

En septembre, nous avons enregistré près de 270 attaques de ransomwares dans le monde, une explosion par rapport aux mois précédents, alors que juin et août ont déjà été marqués par une activité intense des cybercriminels. Mais attention aux trompe-l’œil.

En France, nous avons dénombré 10 cas confirmés, auxquels s’ajoute un cas suspect, mais non confirmé à ce moment, vers le 8 août et à peu près le même en juillet. Les attaques confirmées sont répertoriées sur la chronologie que nous mettons à jour régulièrement. Sur Intrinsec, Cyrille Barthélemy rapporte 13 cas «en crise» en septembre contre 10 en août.

Et de préciser que sa capacité d’intervention n’était évidemment pas la même en plein été qu’en début d’année scolaire. Chez I-Tracing, Laurent Besset a noté 9 interventions sur le mois dernier contre 4 en dessous de la précédente. Chez Advens, Benjamin Leroux fait 3 interventions majeures et moins de 5 interventions plus petites. Mais toujours 150 détections de menaces qui pourraient conduire à une détonation de ransomware, principalement Emotet.

Début septembre, l’Agence nationale de sécurité des systèmes d’information (Anssi) a rapporté avoir traité 104 attaques de ransomwares depuis le début de l’année contre 54 sur l’ensemble de 2019. Et bien sûr, cela ne prend pas en compte les cas hors de son champ d’application.

Concernant la plateforme Cybermalveillance.gouv.fr, le directeur général de GIP Acyma, Jérôme Notin, a encore signalé 1.082 signalements de ransomwares début septembre depuis le lancement de la plateforme le 4 février, avec 44% d’entreprises ou d’associations et 10 % d’administrations ou de communautés. En septembre, Jérôme Notin a enregistré 131 demandes d’assistance, contre 104 en août et 122 en juillet.

En France, à ce stade, il semble difficile de parler d’une explosion. Mais si la tendance à la hausse semble moins prononcée que pour le reste du monde, la menace semble sans doute rester à un niveau élevé.

Il y a au moins deux explications possibles de la situation, qui suggèrent que la menace ne diminuera probablement pas dans un proche avenir. Nous les développons ci-dessous le long de la chronologie.

LIEN

Catégories
Attaque hyères informatique Orange prix Ransomware Ryuk Technologie

Les attaques de ransomwares augmentent de 50% au troisième trimestre 2020

Selon un rapport récent de Checkpoint, les attaques de ransomwares au troisième trimestre 2020 ont été en moyenne de 50% par an. Aujourd’hui dans le monde et plus que doublé aux États-Unis. Parmi les ransomwares dérangeants, Ryuk arrive.

Le ransomware RYUK…Sympa! non?

Dans l’actualité de la sécurité informatique, les voyants sont rouges lorsqu’il s’agit de ransomware. Ainsi, presque chaque jour apporte son lot d’entreprises qui ont été victimes de ce type d’attaque, et ce n’est pas le dernier rapport de Checkpoint sur le sujet qui montre le contraire. À l’échelle mondiale, l’éditeur de sécurité a en fait observé une augmentation moyenne par Journée de 50% des attaques de ransomwares au T3 2020 par rapport à l’année dernière. Selon Checkpoint, les États-Unis ont connu une très forte augmentation des attaques de ransomwares (98,1%), surtout plus que la Russie (57,9%).

« Au cours du mois dernier, des attaques de ransomwares ont été signalées contre un géant du transport maritime, une société de courtage basée aux États-Unis et l’un des plus grands horlogers du monde », a déclaré Check Point. Cela signifie respectivement CMA CGM, Gallagher et Swatch. « Obtenir une nouvelle victime toutes les 10 secondes, la rançon s’est avérée être une méthode lucrative pour attaquer les cybercriminels », a déclaré le responsable de la sécurité.

Les établissements de santé sont durement touchés
Parmi les ransomwares à surveiller, Checkpoint pointe du doigt Ryuk, qui, contrairement à d’autres types plus traditionnels de ransomwares, est distribué dans le cadre d’attaques massives de campagnes de spam et les kits d’exploitation sont davantage utilisés lors d’attaques ciblées. « Il y a eu une augmentation significative des activités de Ryuk depuis juillet 2020, et il attaque environ 20 organisations par semaine », souligne Checkpoint. «Il y a eu une augmentation constante du nombre d’organisations de soins de santé ciblant Ryuk et presque doublé le nombre d’établissements de santé touchés par les ransomwares dans le monde, passant de 2,3% au T2 à 4% au T3. ».

Alors que le géant américain UHS a récemment été touché par Ryuk, d’autres ransomwares ont fait rage ailleurs dans le monde en France, notamment dans le secteur de la santé au CHU de Rouen, chez Panpharma, mais aussi en Allemagne dans un hôpital où un patient est malheureusement décédé.