Catégorie : Sécurité

Catégories
Association Attaque Entreprise de construction Etude informatique Non classé Ransomware Sécurité Technologie

L’incident technique de Paris Habitat était en fait un ransomware

La firme Paris Habitat confirme avoir été touchée par des ransomwares, ce qui a conduit à la paralysie de ses services pendant plusieurs jours. Cependant, Paris Habitat a refusé de payer la rançon et a reconstruit son système sur la base de sauvegardes.

Après près de trois semaines de silence radio, Paris Habitat fournit des détails sur la cyberattaque qui a paralysé ses services. Comme l’ont mentionné MagIT et plusieurs sources internes, c’est en fait un ransomware qui a affecté les services informatiques du bailleur social parisien. «L’attaque a eu lieu dans la soirée du 27 octobre et a été détectée par nos systèmes informatiques le 28 au matin», explique Marie Godard, directrice adjointe de Paris Habitat. «On pense que le vecteur d’intrusion est une attaque de phishing, mais notre enquête n’est pas encore terminée. Cependant, le groupe derrière l’attaque a été identifié comme étant Sodinokibi. « 

Il y a donc eu une demande de rançon, mais Marie Godard explique que « la question ne s’est pas posée. On s’est rendu compte que nous avions des sauvegardes audio remontant au mardi 27 octobre, ce qui nous a évité d’avoir à envisager de payer une rançon. » Paris Habitat garantit qu’il n’y a pas eu de perte ou de vol de données. Quinze jours après la première attaque, Sodinokibi n’a en fait publié aucune donnée sur son site Internet Paris Habitat, suggérant que les données des utilisateurs n’ont pas été effectivement volées.

Pour limiter l’attaque, la direction a choisi d’arrêter tout son système informatique mercredi avant de redémarrer progressivement les systèmes à partir de vendredi. « Nous avons immédiatement alerté nos partenaires directs de la situation », a déclaré le directeur adjoint. Paris Habitat héberge en effet un data center à Paris, qui héberge également AP-HP et Eau de Paris. Mais «la partition entre les différents SI a permis de limiter le risque de reproduction», assure Marie Godard.

En reconstruction
La continuité du service a été assurée en s’appuyant sur le réseau de gardiens d’immeubles de Paris Habitat: le site internet sur place a ainsi référé les locataires à leur concierge ou à un numéro de téléphone unique permettant l’Information. Un site Internet du personnel a également été mis en place pour leur fournir des informations sur le redémarrage des systèmes et les mesures à mettre en œuvre pour le confinement. Lorsque l’attaque a été déclarée quelques jours avant l’annonce du confinement, il valait mieux tuer deux oiseaux d’une pierre. «Le problème maintenant est de récupérer en s’assurant que tout est fiable», a déclaré le directeur adjoint, qui a déclaré que le groupe travaillait avec Frame IP pour remettre les systèmes en marche.

«Nous devons nous assurer que toutes les données sont fiables et que les machines des employés le sont également. Au total, donc, plus de 1 500 ordinateurs portables doivent être ciblés pour s’assurer qu’ils ne sont pas compromis. Selon le directeur adjoint, il y a déjà eu plus de 1 200 unités. Elle explique que les services sont progressivement redémarrés, puisque le site doit être de nouveau en ligne « avant la fin de la semaine ». Le groupe a déposé une plainte et BEFTI et OCLCTIC sont chargés de l’enquête. Un rapport a également été fait à la CNIL. Paris Habitat explique également avoir prévenu Anssi de l’attaque.

Sodinokibi ou Revil fait référence à un groupe de cybercriminalité particulièrement actif, spécialisé dans les attaques de ransomwares. Apparu en avril 2019, ce ransowmare fonctionne sur le modèle de RaaS (Ransomware as a Service), ce qui signifie qu’il loue ses malwares à des groupes tiers, «affiliés», responsables de la réalisation des attaques, alors que les créateurs du malware sont normaux responsable de la négociation et de la récupération de la rançon puis de la redistribution des gains. Revil est un groupe connu pour télécharger et revendre les données qu’il vole à ses victimes via un site dédié. Mais jusqu’à présent, le groupe n’a pas revendiqué la responsabilité de l’attaque ou téléchargé des données appartenant à Paris Habitat.

Catégories
Apple informatique Mac MacOS Ragnar Locker Ransomware Sécurité Technologie vidéo

Capcom confirme le ransomware et le vol des données

La cyberattaque contre Capcom était en fait une cyberattaque par ransomware combinée à un vol des données. Les données de centaines de milliers de personnes sont compromises.

Plus tôt ce mois-ci, l’éditeur de jeux vidéo japonais Capcom – surtout connu pour ses franchises Street Fighter et Resident Evil – a déclaré avoir été victime d’une cyberattaque avec un piratage de son système d’information.

Les communications de Capcom étaient censées être assez rassurantes, tandis que des rapports commençaient simultanément à circuler sur une cyberattaque de ransomware (Ragnar Locker) et un filtrage de données à partir de réseaux au Japon, aux États-Unis et au Canada.

Plus tôt cette semaine, Capcom a fait une nouvelle communication. L’éditeur confirme avoir été victime d’une cyberattaque par ransomware et ajoute que des données personnelles ont été compromises.

Capcom a pu vérifier que les informations personnelles de neuf employés (anciens et actuels) étaient compromises, ainsi que les informations financières et les rapports de vente. Dans une section de données potentiellement compromise, Capcom classe les cas pour près de 350 000 personnes.

Dans ce cas, il s’agit de clients, de partenaires commerciaux, d’actionnaires ou même d’anciens salariés. Essentiellement au Japon et en Amérique du Nord, ce sont principalement des noms, des adresses électroniques et postales, des numéros de téléphone, des dates de naissance et même des photos.

Toujours dans le registre des données potentiellement compromises, Capcom ajoute que près de 14 000 personnes sont associées aux ressources humaines ainsi qu’à tout un ensemble de documents internes confidentiels.

Une combinaison de ransomware et de vol des données
Rappelons que Capcom avait initialement précisé qu’il n’y avait actuellement aucune indication d’un compromis sur les données clients. Le discours a considérablement changé. En revanche, Capcom – qui s’excuse – évite le risque de compromis avec les données bancaires ou de paiement. Tout simplement parce que Capcom ne stocke pas ces informations en interne.

Capcom travaille avec les forces de l’ordre au Japon et aux États-Unis. Les attaquants derrière le ransomware Ragnar Locker avaient en fait adressé une demande de rançon à Capcom pour le retour de données volées et la fourniture d’un outil de décryptage.

L’enquête sur l’incident de sécurité et les données exfiltrées a été entravée par le cryptage des données sur les serveurs et la suppression des journaux d’accès lors de la cyberattaque. Capcom a visiblement décidé de ne pas céder au chantage des attaquants. Ce n’est pas toujours le cas. En retour, les données exfiltrées sont mises en ligne.

Catégories
Android Apple Association Bitcoins COVID-19 Ekans hyères informatique Mac MacOS Ragnar Locker Ransomware revil Sécurité sodinokibi Technologie vidéo

Mattel a été victime cet été d’un ransomware

Le fabricant de jouets a été victime d’une attaque de ransomware l’été dernier. L’attaque a été rapidement interrompue et n’a eu aucun impact significatif sur l’entreprise.

Mattel a contenu l’attaque d’un ransomware

Le fabricant de jouets américain Mattel a révélé mercredi qu’il avait subi une attaque de ransomware qui paralysait certaines fonctions commerciales. Néanmoins, la société affirme s’être remise de l’attaque sans pertes financières importantes.

Mattel a contenu l’attaque
L’incident a eu lieu le 28 juillet, selon un formulaire trimestriel 10-Q, que la société a déposé plus tôt dans la journée auprès de la Securities and Exchange Commission des États-Unis.

Mattel a déclaré que l’attaque par ransomware avait initialement réussi et chiffré certains de ses systèmes.

«Après la découverte de l’attaque, Mattel a commencé à mettre en œuvre ses protocoles de réponse et à prendre une série d’actions pour arrêter l’attaque et restaurer les systèmes affectés. Mattel a contenu l’attaque et, bien que certaines fonctions commerciales aient été temporairement affectées, Mattel a rétabli les opérations », explique la société.

Aucun impact sérieux
Depuis plus d’un an, les gangs de ransomwares volent des données et se lancent dans un double stratagème d’extorsion qui menace de publier les données de l’entreprise piratée sur des sites Web publics appelés «sites de fuite» à moins que les victimes ne paient la rançon souhaitée.

Cependant, le fabricant de jouets explique qu’une enquête ultérieure a conclu que le gang de ransomwares derrière le cambriolage de juillet n’avait volé « aucune donnée commerciale sensible ou des données sur les clients, fournisseurs, consommateurs ou employés ». .

Dans l’ensemble, Mattel semble avoir échappé à l’incident avec seulement un bref temps d’arrêt et sans aucune blessure grave, ce qui est rarement suffisant pour être stressé. De nombreux exemples montrent des pertes financières de plusieurs dizaines de milliers de millions de dollars, comme c’est le cas avec Cognizant ou Norsk Hydro. Mattel souligne que l’attaque du ransomware a légèrement « eu aucun impact significatif sur ses opérations ou sa situation financière. »

Catégories
Attaque Ragnar Locker Ransomware Sécurité

Les cybercriminels achètent des publicités Facebook pour piquer leurs victimes

Le producteur d’alcool Campari a été victime d’une attaque de ransomware début novembre. La veille de la date limite de la rançon, les hackers à l’origine de l’attaque ont payé une campagne publicitaire pour discréditer les communications de leurs victimes.

Les cybercriminels achètent des publicités Facebook pour Campari

C’est un spectacle désastreux: les gangs derrière les ransomwares innovent à un rythme alarmant dans leurs façons de faire pression sur leurs victimes, toujours plus nombreuses. Le dernier en date: le producteur d’alcool italien Campari, créateur de l’alcool éponyme et entre autres du Grand Marnier. L’entreprise a communiqué le 3 novembre 2020 à propos d’une cyberattaque qui a paralysé une partie de ses services. On dit qu’il est sorti le 1er novembre, et le groupe affirme avoir « rapidement identifié le virus » et ainsi empêché sa propagation sur tout son réseau informatique. ZDNet a précisé quelques jours plus tard que Campari était affecté par le ransomware Ragna Locker.

Des organisations criminelles auraient volé 2 téraoctets de données sensibles (fichiers bancaires, informations sur les employés, clauses de confidentialité, etc.) avant de crypter tous les systèmes contaminés. Elle a ensuite demandé une rançon de 15 millions de dollars à sa victime en échange de la clé de décryptage et de la promesse de ne pas transmettre les données volées autrement qu’en supprimant sa propre copie. Ironiquement, le prix comprend également un rapport de pénétration sur les réseaux informatiques, où les criminels décrivent leurs faiblesses ainsi que des recommandations d’amélioration!

Ragnar Locker a donné à sa victime jusqu’au 10 novembre pour organiser le paiement, sinon il publierait progressivement les données gratuitement sur leur site dédié, disponible via le réseau anonyme Tor. La société n’a pas communiqué depuis sur les éventuelles négociations. Mais avant la date limite, les rançons ont porté un coup particulièrement bas qu’aucun autre gang ne s’était jusqu’ici permis: ils ont lancé une campagne publicitaire sur Facebook pour tenter de discréditer les défenses de leurs victimes. .

LES PIRATES UTILISENT UN COMPTE HACKED POUR PROUVER UN AUTRE HACKING
Le journaliste Brian Krebs était très intéressé par la campagne publicitaire, payée par Hodson Even Entertainment, propriété du DJ de Chicago Chris Hodson. Contacté par le journaliste, l’Américain a expliqué que son compte avait été piraté et que les hackers avaient prévu un versement de 500 dollars – avec son argent – pour lancer la campagne.

Dans la campagne publicitaire intitulée « Faille de sécurité dans le réseau du groupe Campari », Ragnar Locker cite l’un des communiqués de presse de ses victimes. La société a expliqué: « Pour le moment, nous ne pouvons pas totalement exclure que certaines informations personnelles et professionnelles aient été volées. » Les criminels écrivent qu’il s’agit d’un « énorme mensonge » et qu’ils « confirment que des données confidentielles ont été volées ». « Nous parlons d’une énorme quantité de données », ajoutent-ils.

LA CAMPAGNE PUBLICITAIRE S’EST ARRÊTÉE

Heureusement pour Hodson et Campari, Facebook a apparemment découvert le caractère malveillant de la campagne. Hodson a donc pu récupérer son compte et accéder à quelques statistiques: 7 150 utilisateurs de Facebook ont ​​vu l’annonce et 10% d’entre eux ont cliqué dessus. Le réseau social a collecté 35 $ pour le lancement de la campagne, mais l’a terminé avant un autre paiement de 159 $.

Brian Krebs dit qu’il n’a pas décidé si le gang a lancé la campagne à partir du seul compte d’Hudson ou à partir de plusieurs comptes piratés. Facebook a ouvert une enquête sur l’affaire.

Les opérateurs de ransomwares utilisent des techniques de plus en plus invasives pour faire pression sur leurs victimes, et on se demande où ils veulent s’arrêter. Ce mois-ci, nous vous avons parlé d’Egregor, qui avait imprimé une rançon imprimée par les imprimantes des victimes, d’autres centres d’appels payants pour contacter les partenaires de leurs victimes par téléphone, menaçant presque tous de publier les données. LIEN

Catégories
Association hyères informatique Sécurité Technologie

EteSync, sortie du protocole version 2

Synchronisation sécurisée, cryptée de bout en bout et respectueuse de la confidentialité de vos contacts, calendriers et tâches (à l’aide de Tasks.org et OpenTasks) et EteSync Notes pour les notes .

EteSync, sortie du protocole version 2

Le protocole vous permet de gérer vos contacts, événements et tâches, qui sont tous cryptés de bout en bout. On pourrait donc comparer l’utilisation de ce protocole avec CalDAV et CardDAV, mais avec l’impossibilité du serveur distant de savoir ce qui est stocké. De plus, ce protocole est journalisé, c’est-à-dire que chaque action effectuée (création, modification et suppression) est enregistrée. Cela donne par exemple Possibilité de revenir facilement en arrière (un contact supprimé, trouver et annuler par exemple la suppression).

Notez que le protocole dans sa version actuelle permet déjà des applications intéressantes comme le partage de calendrier entre différents utilisateurs. LIEN

Catégories
Association informatique Ransomware Sécurité Technologie

Le RGPD contre les ransomwares?

Une norme de cybersécurité doit être traitée comme les règles de la loi sur la protection des données en réponse aux cyberattaques, y compris les incidents de ransomware, suggère un expert en sécurité.

Le phénomène des ransomwares est passé d’individus à une menace réelle et fréquente qui peut entraîner des dommages catastrophiques aux réseaux d’entreprise, la perte des dossiers clients et la fuite potentielle d’informations confidentielles. Les variantes de ransomware incluent des logiciels comme WannaCry, Petya, Ryuk et Gandcrab, mais il y en a beaucoup, beaucoup plus. Lorsqu’un système informatique est compromis, ce type de malware crypte les disques et les fichiers et exige le paiement d’une rançon en échange d’une clé de décryptage.

Selon Check Point, le nombre d’attaques quotidiennes de ransomwares dans le monde a diminué de moitié au cours des trois derniers mois, les pirates tirant parti des perturbations opérationnelles et du passage rapide au travail depuis leur domicile causés par Covid-19.

Après cette période de reconnaissance, les opérateurs de logiciels malveillants sont désormais plus susceptibles d’aller directement contre les sauvegardes. Si ceux-ci peuvent être chiffrés avant que les administrateurs informatiques ne soient avertis d’une infection, cela supprime le réseau de sécurité et les cyber-attaquants sont plus susceptibles d’être soumis à un chantage.
Le problème est que peu de victimes de ransomwares choisissent d’aller à la police, et certaines organisations paient juste pour couvrir l’incident, selon Europol. Plus les victimes paient, plus l’activité criminelle devient lucrative, et l’industrie des ransomwares continue de gagner du terrain à mesure que de plus en plus de pirates adoptent ce type d’attaques.

Combinez la sous-déclaration d’un incident, l’acceptation de l’extorsion et le nombre croissant de hackers intéressés par cette activité et vous avez un problème. Ce défi a été récemment soulevé par l’Office of Foreign Assets Control (OFAC) du Trésor américain, qui a publié des directives sur le moment où le paiement d’une rançon peut violer les sanctions américaines. «Les entreprises qui facilitent le paiement de rançons aux cyberacteurs au nom des victimes, y compris les institutions financières, les compagnies d’assurance qui proposent une cyberassurance et les entreprises qui pratiquent la réponse aux incidents, encouragent les demandes de paiements de rançon à la victime.

Une solution pourrait être de revenir à l’essentiel et de «mettre tout le monde sur un pied d’égalité», déclare Ezat Dayeh en imposant des audits de sécurité qui modélisent la manière dont le règlement général sur la protection des données (RGPD) de l’UE traite les responsables du traitement.

«Tout doit être contrôlé», ajoute Ezat Dayeh. «Vous devez être audité pour savoir ce que vous pouvez faire. Parce que cela donne au moins à l’entreprise une chance de se battre et lui permet de réfléchir à la manière de s’attaquer aux problèmes. Et s’ils ne le font toujours pas, et qu’on leur a dit «vous êtes vulnérable», cela devrait aller jusqu’au PDG, à mon avis. « 

Le RGPD s’efforce de traiter les organisations et les contrôleurs de données sur un pied d’égalité, et avec des lacunes, il y a la possibilité d’amendes basées sur le chiffre d’affaires annuel d’une entreprise.

Si les audits de sécurité étaient traités de la même manière avec des règles que tout le monde peut essayer de suivre, cela pourrait promouvoir un meilleur niveau de cybersécurité ainsi qu’une prise de conscience de la manière dont les organisations devraient se maintenir. une position de sécurité raisonnable – ce qui est particulièrement important à un moment où les attaques potentiellement destructrices, y compris les demandes de rançon, sont en augmentation.

Catégories
Attaque informatique Ransomware Sécurité Technologie

Le ransomware RansomEXX attaque désormais les systèmes Linux

Particulièrement actif ces derniers mois, le ransomware RansomEXX a subi un développement de son code, qui compromet désormais les systèmes Linux.

Un ransomware qui compromet les systèmes Linux

Les systèmes Windows ne sont pas les seules cibles des cyberbackers et de leurs campagnes de phishing. La preuve avec RansomEXX, un ransomware dont on avait parlé ces derniers mois en attaquant de nombreuses entreprises et organismes publics tels que le US Department of Transportation, Konica Minolta, IPG Photonics ou encore les systèmes de transports en commun de Montréal et le tribunal brésilien. Comme nous pouvons le voir dans un récent rapport du fournisseur de solutions de sécurité Kaspersky, RansomExx, un développement de son code offre désormais la possibilité de cibler les systèmes Linux.

«Nous avons récemment découvert un nouveau cheval de Troie de cryptage de fichiers construit comme un exécutable ELF et conçu pour crypter les données sur des machines exécutées par des systèmes d’exploitation basés sur Linux», a déclaré Kaspersky. « Après l’analyse initiale, nous avons remarqué des similitudes dans le code du cheval de Troie, le texte de la rançon et l’approche générale de l’extorsion, suggérant que nous avions effectivement rencontré une version Linux de la famille de ransomwares RansomEXX. »

Selon l’analyse de Kaspersky, ce cheval de Troie implémente son schéma cryptographique en utilisant les fonctionnalités de la bibliothèque open source mbedtls. Une fois lancé, Trojan génère une clé de 256 bits et l’utilise pour crypter tous les fichiers appartenant à l’organisation ciblée auxquels il peut accéder en utilisant le chiffrement par bloc AES en mode ECB. La clé AES est chiffrée par une clé publique RSA-4096 bits intégrée dans le corps du cheval de Troie et ajoutée à chaque fichier chiffré.

De plus, les logiciels malveillants lancent un thread qui régénère et re-crypte la clé AES toutes les 0,18 secondes. Sur la base d’une analyse de l’implémentation, les clés ne diffèrent en réalité qu’à chaque seconde », prévient l’éditeur. Bien que les versions PE précédemment découvertes de RansomEXX utilisent WinAPI (fonctionnalités spécifiques du système d’exploitation Windows), la conception du code de ce cheval de Troie et la méthode d’utilisation des fonctionnalités spécifiques de la bibliothèque mbedtls indiquent que ELF et PE peuvent provenir du même code source. LIEN lemondeinformatique.fr

Catégories
Attaque Mairie Ransomware Sécurité Technologie

Les mairies de Vincennes et d’Alfortville attaqué par des ransomwares

Les systèmes informatiques des mairies de Vincennes et d’Alfortville ont été cryptés avec des ransomwares. Leurs services administratifs ont été durement touchés par ces incidents. Les Emails de la municipalité d’Alfortville ne fonctionnent toujours pas.

Les mairies de Vincennes et d’Alfortville attaqué par des ransomwares

Les mairies de Vincennes et d’Alfortville ont été victimes d’une cyberattaque, rapporte RTL. Les systèmes informatiques des deux communes du Val-de-Marne ont été touchés à quelques jours d’intervalle, sans qu’aucune connexion n’ait encore été établie entre les deux attentats.

UNE ATTENSION INUTILISÉE À L’INTENSITÉ
La première victime était la mairie de Vincennes, qui a déclaré avoir été agressée dans la nuit du 2 au 3 novembre. L’incident n’a pu être évité « malgré l’intensification des mesures de sécurité appliquées quotidiennement », la ville qui qualifie cette attaque sans précédent indique « de son intensité ».

Quant aux conséquences, la centrale téléphonique de la mairie a été indisponible pendant plus de 24 heures et certaines formalités administratives n’ont pu être accomplies. Ces derniers jours, la situation s’est éclaircie. « Les sauvegardes ont fonctionné. Nous avons encore beaucoup de données à récupérer sur certains logiciels, mais la plupart de nos services de télécommunications sont à nouveau opérationnels. Rien n’a été perdu dans l’affaire sauf du temps pour nous et nos citoyens », explique la municipalité, sollicitée par RTL.

Selon des enquêtes internes toujours en cours, il s’agirait d’une attaque «ransomware» visant à paralyser un système d’information en chiffrant tous les fichiers qu’il contient. En échange d’une rançon à payer en bitcoins, les hackers promettent de remettre une clé qui décryptera ces données.

ALFORTVILLE EST TOUJOURS AFFECTÉ
La mairie d’Alfortville a également été touchée par un ransomware plus tôt dans la semaine. Les services d’urbanisme et de soutien à la population sont les plus touchés, et les boîtes aux lettres ne fonctionnent plus, révèle Le Parisien. La municipalité a déclaré qu’elle ne paierait pas la rançon, comme recommandé par les instructions officielles, et prévoit de redémarrer son système informatique d’ici le milieu de la semaine prochaine.

«Nous sommes en train de tout remettre en ordre dans une entreprise spécialisée. Entre-temps, nous sommes tous revenus à la plume, mais avons pu continuer certaines de nos activités, comme notre cellule de crise ou des réunions via Zoom ou WhatsApp. les candidatures », a déclaré Luc Carvounas, le maire d’Alfortville.

LES ORGANISMES PUBLICS MAL PROTÉGÉ
Les organismes publics ne sont pas à l’abri des cyberattaques. On peut citer le conseil de branche d’Eure-et-Loir, l’Agence nationale de la formation professionnelle des adultes (Afpa), les services administratifs du Grand Est, le groupe hospitalier AP-HP … Preuve que le thème de la cybersécurité est encore très mal compris.

Cependant, l’Agence pour la sécurité des systèmes d’information (Anssi) met régulièrement en garde sur ce sujet et donne de précieux conseils. Elle réitère l’importance de sauvegarder régulièrement les données en dehors du système d’information, de surveiller les vulnérabilités des logiciels, de sensibiliser les employés par la formation … Elle ajoute qu’en cas d’incident, les organisations doivent isoler les équipements infectés, porter plainte et ne jamais payer la rançon.

Catégories
Attaque Etude informatique Ransomware Sécurité Technologie

Les attaques de ransomwares en France selon le directeur de l’ANSSI(Agence nationale de la sécurité des systèmes d’information)

Les attaques de ransomwares en France

Scutum, Sopra Steria, Mairie de Vincennes, Mairie d’Alfortville, Software AG, le Groupe ENEL … En France, comme partout en Europe, les grandes entreprises et les administrations voient leur activité très perturbée pendant de nombreux jours après des attaques de ransomwares.
Une situation qui inquiète évidemment les pouvoirs publics. La semaine dernière, la commission sénatoriale des affaires étrangères, de la défense et des forces armées a interviewé Guillaume Poupard, directeur de l’ANSSI (Agence nationale pour la sécurité des systèmes d’information).

« Le crime organisé a pris le cyber-outil pour s’occuper des victimes », a expliqué Guillaume Poupard aux sénateurs, notant une explosion de crimes graves et d’attaques de ransomwares. L’ANSSI n’intervient que sur des événements ayant un impact fort sur la sécurité nationale ou la sécurité économique. Mais Guillaume Poupard note que «nous étions à 54 attaques à la fin de 2019, et il y en avait 128 par. 30 septembre cette année. Au cours d’une année, il triple ou quadruple constamment, donc c’est quelque chose de particulièrement inquiétant, et je ne vois aucune raison pour que cela change à court terme. « 

Le schéma est toujours le même: une attaque (souvent du phishing) qui conduit à une intrusion informatique suivie d’un cryptage qui bloque les données des victimes et une extorsion pour débloquer la situation. Rançon qui coûte cher: «On parle aujourd’hui de millions ou dizaines de milliers d’euros», assure Guillaume Poupard.

En septembre, une patiente en Allemagne est décédée après qu’une opération vitale qu’elle devait subir n’a pas pu avoir lieu après une paralysie informatique à l’hôpital universitaire de Düsseldorf causée par un ransomware.
Fin septembre, le géant hospitalier UHS (Universal Health Services) a également été victime des effets disruptifs des ransomwares.
Fin octobre, le FBI a émis une alarme prétendant disposer d’informations concrètes sur les préparatifs d’une vague d’attaques de ransomwares contre le système hospitalier et les prestataires de soins de santé américains.

Interrogé sur ces événements en pleine crise sanitaire et les attentats contre les hôpitaux français, Guillaume Poupard a précisé que « les attentats n’ont pas explosé, ils n’ont pas augmenté en volume ou en virulence » avant d’ajouter que « les grands groupes criminels ont publié un communiqué au début de La crise de dire qu’ils ont temporairement suspendu les attaques contre les hôpitaux (…) et s’y sont effectivement collés. « . Grands groupes peut-être, mais à en juger par les événements en Allemagne et aux États-Unis, certains groupes n’ont eu aucune inquiétude.
Il note également que les attentats ne cherchent plus à « jeter un large filet », mais sont de plus en plus ciblés et ciblés principalement sur « les victimes sous pression et qui peuvent se permettre de payer ».

Il a défendu le passage de Sopra Steria et leur a même donné comme exemple des entreprises qui ont su réagir rapidement et ont réussi à limiter l’impact de l’attaque ransomware dont elles ont été victimes: «Ils ont pu pour détecter l’attaque, qui n’a touché très tôt que quelques dizaines d’ordinateurs, et la bloquer. Ils ont pris soin d’arrêter complètement les grands systèmes pour ne pas faciliter son expansion et polluer leurs clients ». Guillaume Poupard note également que parmi certaines victimes fortement touchées par les ransomwares d’ici 2020, «nous arrivons désormais avec des prestataires privés intégrés dans l’équation pour réparer les systèmes en quelques jours, au plus quelques semaines pour un redémarrage complet. a parlé il y a un an pendant des semaines et des mois ».

En revanche, Guillaume Poupard n’a pas caché ses inquiétudes quant aux risques supplémentaires que comporte le télétravail. «Nous sommes encore assez préoccupés par toutes les violations que la pratique rapide du télétravail a ouverte dans les systèmes d’information. Le risque est que nous nous en rendions compte dans quelques mois», souligne Guillaume Poupard. Avant, nous encourageons les entreprises à introduire plus de contrôle et de surveillance autour du libre accès pour permettre la pratique à distance. LIEN

Catégories
Attaque Hôpital hyères informatique Ransomware Sécurité Technologie

Le ransomware prend d’assaut la filiale française du spécialiste de la sécurité Scutum

Les pirates informatiques Netwalker revendiquent une cyberattaque contre Scutum. Des données sensibles auraient été téléchargées.

cyberattaque contre Scutum

Ce dernier raconte à ses partenaires qu’il a été victime d’une « cyberattaque par stockage cryptographique dans la nuit de dimanche à lundi 2 novembre ». Pendant plusieurs mois, il a exposé des systèmes affectés par la vulnérabilité dite Shitrix.

SCUTUM est un acteur mondial de la sécurité et de la sûreté en Europe. Cette société fournit des solutions technologiques pour la protection et la prévention des risques pour les infrastructures, les biens, les personnes et les données. Le groupe exploite une plateforme européenne de traitement et d’analyse des informations critiques permettant une gestion précoce des risques et la mise en place de services de secours locaux.

Les pirates du groupe Netwalker commencent à distribuer des données volées à cette société. Les pirates ont donné à la société française 10 jours pour payer le silence des pirates. Ils ont volé des centaines de fichiers.