La banque centrale au Brésil est une unité indépendante du gouvernement brésilien. Il est contrôlé de manière autonome. Cependant, ce piratage est l’autre dans quelques mois. En novembre 2020, c’était le tribunal électoral supérieur au Brésil, qui a été paralysé pendant plus de deux semaines avec une attaque.
La banque centrale du Brésil et la terreur du ransomware
Le ministère des Finances de la Banque centrale du Brésil a été victime Vendredi 13 Août, 2021 une attaque Ransomware selon le ministère de l’Economie. Les conséquences précises de cette attaque n’ont pas encore été révélées. Mais les éléments clés de l’infrastructure que la gestion de la dette semblent être épargnés. L’événement avait déjà attiré beaucoup de réactions. Il a été présenté comme l’attaque la plus sophistiquée jamais orchestrée contre les systèmes informatiques du pays. Afin d’éviter ce genre d’attaque du gouvernement récurrent avait annoncé au moins Juillet 2021 la création d’un réseau pour répondre à ces cyber-attaques.
Ce qui ne l’empêche pas les pirates en but après quelques semaines plus tard d’impôt national. À l’heure actuelle, les autorités brésiliennes légèrement les prolongent les détails de l’attaque et ses conséquences. Les experts du Secrétariat du Trésor et de gouvernement numérique seraient analysées encore toutes les données disponibles. Le Ministère de l’Economie du Brésil notifie dans un communiqué de presse que la taxe nationale est administré par la Banque centrale du Brésil, a été victime Vendredi 13 Août, 2021 une attaque ransomware. La police fédérale sont également au dossier. A en croire le ministre de l’économie, plus d’informations sur l’incident « sera révélé rapidement et en toute transparence ». Nous avons tout simplement le fait que l’attaque aurait causé des dommages aux plates-formes centrales du Trésor, en particulier celles qui ont trait à la dette nationale.
Dans un communiqué publié quelques heures plus tard, la Bourse confirme le Brésil que l’attaque a complètement sauvé programme de rachat soeur Tesouro dette. La question de la sécuritéinformatique est de plus en plus central aux gouvernements du monde entier que les pirates peuvent interférer dans les infrastructures nationales clés.
Le début d’une nouvelle année n’a pas réduit la frénésie des cybercriminels qui n’ont jamais cessé de multiplier les actes frauduleux.
À la fin de 2020, les détections de menace enregistrées par Trend Micro ont montré une augmentation de 20% des attaques ciblant les organisations de télétravail et les employés par rapport à 2019. La PAC des 126 000 attaques par minute autour du monde a donc été atteinte.
Bien que la promesse d’accès au vaccin généralisé soit progressivement au niveau international, la pandémie reste un véritable levier pour les attaquants.
En effet, les menaces utilisant le nom du virus persist: Trend Micro a énuméré plus de 1,6 million au cours des trois premiers mois de l’année. Parmi les techniques d’attaques utilisées, les menaces liées à la messagerie dominante (92%) dans le Top 3, suivies d’URL frauduleuses (7%) et de fichiers infectés (1%). Les États-Unis seul représentent le plus grand nombre de détections d’attaque via des courriels et une URL frauduleuse à l’aide de CVIV-19 en tant que (+684 000 en mars 2021). Notant incroyable dans la pratique, lorsque les déclarations indiquent que le pourcentage de menaces de menaces transportées par courrier électronique a bombé de 107% dans un délai d’un mois.
Les attaquants restent également fidèles à certaines pratiques, les campagnes de logiciels malveillants liées à l’émotet, à Ryuk ou à Trickbot sont restées actives en mars dernier. Et cela, bien que les familles malveillantes ont enregistré un volume de détection (1,1 million) légèrement sur la période, à savoir – 8% par rapport au mois précédent.
Les entreprises continuent de construire des objectifs préférés, comme le montre le remède intensif auprès de Banking Malware Ramnit, dont les attaques ont augmenté de 21% au mois de mars. Attaques de SPOC, qui tendent à usurper l’identité dans les affaires, a augmenté de 6,4% entre février et 2021.
Attention un client T-mobile! L’opérateur américain hier, le 16 août, a confirmé qu’il y avait un cambriolage dans son système informatique, mais ne savez pas si des données personnelles ont été volées. Sur les forums, des pirates informatiques disent qu’ils ont fait une main sur les données confidentielles de 100 millions de clients des opérateurs américains et sont en train de vendre une partie.
Merci T-Mobile USA
Selon les médiats qui ont révélé des ventes de pirates et ont pu analyser leurs données, l’attaque seraient autorisés à récolter les noms, adresses postales, numéros de téléphone, les numéros IMEI, du CP et des chiffres. identification fiscale ou permis de conduire. Actuellement, seules les données d’env. 30 millions de personnes ont été proposées à la vente sur des forums pour 6 bitcoins (correspondant à 236 500 euros).
En bref, la réalité du vol de données ne semble pas être des doutes sur, même si la personne n’a pas encore confirmé officiellement. Le plus grand risque est détenu par les clients concernés est le vol d’identité, y compris son utilisation dans « Sim swapping », une attaque dont le but est de retrouver la ligne de téléphone mobile d’une personne à des codes secrets d’accès envoyés par SMS. les clients T-Mobile ont donc intérêt à la vigilance doubler, donc il ne devrait pas être fait.
Pour sa part, l’ordinateur Bleeping a été capable de récupérer de la capture d’écran Hackers d’accès à SSH à une base de données Oracle T-Mobile USA, qui est probablement la source des données volées. Selon les pirates, la piraterie a été faite il y a environ deux semaines et porte sur des données remontant à 2004.
Les courtiers d’accès sont des individus ou des groupes qui ont réussi à accéder à un réseau ou à un système d’entreprise au moyen d’identificateurs, d’attaque de puissance brute ou du fonctionnement des vulnérabilités.
Des courtiers pour les cybercriminels
Le marché des courtiers d’accès continue de développer, le coût de ces accès pose un faible coût par rapport aux avantages potentiels d’une attaque de ransomware réussie. Ces dernières années, Ransomware-As-A-Service (RAAS) groupes ont été intéressés par ces courtiers parce que les utiliser directement ou les payer en échange d’ un accès à un système cible , ils sont en mesure d’éviter la première étape de l’intrusion: La longue processus est nécessaire pour trouver un terminal vulnérable.
Lundi, Kela Cybergness Société a publié un rapport en explorant le marché des courtiers d’accès et a constaté que le coût moyen d’accès au réseau était de 5.400 $, alors que le prix médian était de 1 000 $. Dollars.
Si nous croyons que les demandes de collègues de rang millions de reach aujourd’hui de dollars d’un point de vue pénal, il est un petit prix à payer.
L’équipe a examiné plus d’un millier de messages publiés sur les forums de cybercriminels web sombre dans la période allant du 1er Juillet 2020 et 30 Juin 2021 et constaté que les annonces offrant un accès inclus un certain nombre d’offres basées sur le réseau et les comptes compromis – tels que l’accès à distance à un ordinateur dans une organisation – ainsi que l’ accès aux comptes de privilèges de domaine et accès à distance-RDP et VPN.
Au total, 25% de la publicité a été libéré par les courtiers.
comptes Privilege élevés qui vendent plus cher Sans surprise, les offres avec la valeur la plus élevée – et donc les prix les plus élevés – étaient des services d’accès offrant des privilèges au niveau de domaine dans des entreprises allant de centaines de millions de dollars de revenus.
Les plupart des services d’accès coûteux concerne une société australienne génère un chiffre d’affaires annuel de 500 millions $ pour 12 Bitcoins (BTC), soit environ 478 000 $, et l’accès à une société d’informatique aux États-Unis, par ConnectWise, dans 5 BTC (200 000 $) .
GigaByte a confirmé le 13/08/2021 être victime d’un cyberhack qui a forcé le développeur à fermer beaucoup de ses serveurs basés à Taiwan. Une opération d’urgence affectant le site de support de la société: les utilisateurs ne peuvent plus accéder aux informations et documents normalement fournis par le site.
Le fabricant d’ordinateurs GigaByte a été victime d’une cybercrattage qui pèse de grands risques sur ses partenaires, y compris Intel et AMD. Les pirates posséderaient des documents confidentiels. Cette situation n’est pas très agréable en soi, mais pire, c’est que cela affecte également les partenaires des gigaoctets. Les hackers posséderont en fait 112 Go de fichiers, dont certains contiennent des informations confidentielles sur les partenaires de la société, y compris Intel et AMD.
Les gigaoctets ne signifiaient pas si c’était un ransomware, mais il semble que le groupe derrière l’attaque soit Ransomexx (précédemment détenant). Parmi les victimes de cette bande de pirates, des institutions publiques, mais aussi des entreprises et des gigaoctets sont probablement les plus importantes.
Afin de faire pression sur Gigabyte, Ransomexx a déjà publié des documents sur les activités du fabricant ainsi que ses partenaires qui n’ont pas demandé quelque chose, mais sont pris dans cette tempête. Pour éviter un plus gros avion, la victime est fortement encouragé à rançon salariale … les autorités ne favorisent pas qu’ils sont touchés par ces compagnies d’attaques à abandonner les pirates, mais gigaoctet ne serait pas le premier à lâcher l’argent demandé sur le maintien ses secrets.
Au cours des dernières semaines, de nombreuses rancingres et de grandes cyber attaques, parfois dans le monde entier devenaient conscientes. Il oublierait presque les risques qui pèsent sur les individus et restent toujours très nombreux. De l’usure de l’identité à la phishing, passez à travers la ligne, pas de sécurité.
Menaces sur les internautes français depuis le début de la crise de la /du Covid
Les grandes attaques des grandes entreprises et l’exposition de 50 à 65 millions d’enregistrements ont un prix élevé, jusqu’à 401 millions de dollars.
Selon une étude IBM, le coût moyen d’une attaque est de plus de 4 millions de dollars.
Le coût des piratages professionnelles atteint un niveau record
Le coût moyen d’une attaque a maintenant dépassé le barreau fatidique de 4 millions de dollars et a atteint un niveau record en vertu de la crise de la santé. Dans un rapport publié mercredi d’IBM, Big Blue estime que, en 2021, coûte une violation de données typique des entreprises de 4,24 millions USD. Le coût est de 10% supérieur à 2020.
En France, les secteurs les plus touchés sont des services financiers, du secteur pharmaceutique ainsi que de la technologie. Au niveau international, aux secteurs de la santé et des services financiers qui enregistrent les violations les plus chères.
Logiciels malveillants et hameçonnage
IBM estime qu’environ 60% des entreprises se sont tournées vers «Cloud» pour poursuivre leurs activités, bien que le renforcement du contrôle de la sécurité n’ait pas nécessairement suivi. Lorsque l’utilisation de travaux distants a explosé, elle était la même pour les infractions de données dont les quantités ont augmenté de 1 million de dollars – les taux les plus élevés de 4,96 millions de dollars contre 3, 89 millions de dollars.
Le vecteur d’attaque le plus courant des victimes de données d’un transfert de données est un compromis sur les informations d’identification, soit extraits des souches de données soumises, vendues ou obtenues par une attaque de force brute. Une fois que le réseau est infiltré, les informations personnelles identifiables (IPI) sont devenues des clients, notamment des noms et des adresses électroniques, volées dans près de la moitié des cas.
En 2021, il a fallu un total de 287 jours pour détecter et contenir une violation de données ou 7 jours de plus que l’année précédente. Au total, une organisation moyenne n’enregistrera pas d’entrer dans les 212 jours. Il ne sera donc pas capable de résoudre complètement le problème avant que 75 jours supplémentaires soient passés.
Les infractions de données dans le secteur de la santé ont été les plus chères, avec une moyenne de 9,23 millions de USD suivi des services financiers – 5,72 millions de dollars – et des médicaments, avec 5,04 millions de dollars.
Selon IBM, les entreprises qui utilisent des solutions de sécurité sont basées sur des algorithmes d’intelligence artificielle (AI), l’apprentissage automatique, l’analyse et le cryptage, ont tous diminué le coût potentiel d’une violation qui permet aux entreprises. Économisez en moyenne entre 0,1 25 et 1,49 million de dollars.
« L’augmentation des infractions de données sont une autre dépense supplémentaire pour les entreprises en fonction des changements technologiques rapides lors de la pandémie », a déclaré Chris McCurdy, vice-président de la sécurité IBM. « Bien que le coût des infractions de données ait atteint un niveau record au cours de la dernière année, le rapport a également démontré des signes positifs de l’impact des tactiques de sécurité modernes, telles que l’AI, l’automatisation et l’adoption d’une approche de confiance zéro – qui pourrait être payée en réduisant coûte ces incidents plus tard. «
Les chercheurs de la Sentinelone CyberSecurity Society ont reconstitué la récente cyberattack contre le système ferroviaire iranien dans un nouveau rapport qui découvre un nouvel acteur malveillant – qu’ils s’appellent « MeteorExpresss ».
Le 9 juillet, les médias locaux locaux ont commencé à signaler une cybercrattage sur le système ferroviaire iranien, avec des pirates qui changent d’affichage dans les stations en demandant aux passagers d’appeler « 64411 », le numéro de téléphone du guide suprême.
Les services ferroviaires ont été interrompus et aujourd’hui, plus tard les attaquants du ministère iranien des Transports. Selon Reuters, le portail et les sous-sports du ministère ont cassé une attaque sur les ordinateurs et le développement urbain de l’ordinateur.
Wiper Meteor du jamais vu!
WIPER est capable de changer de mots de passe pour tous les utilisateurs, de désactiver les épargnants d’écran, de mettre fin à un processus basé sur une liste des processus cible, d’installer un bloqueur d’écran, de la fonction de récupération de désactivation, de modifier le traitement des erreurs politiques de démarrage, de créer des tâches planifiées, de déconnecter des tâches planifiées, de déconnecter des tâches planifiées. Sessions, supprimez des copies d’ombre, modifiez des images de l’écran de verrouillage et de l’exécution. Exigences.
L’éditeur logiciel Kaseya a refusé d’avoir payé une rançon pour un déchiffrement universel après plusieurs jours avec des questions sur la manière dont l’outil est atteint.
Le 21 juillet, la Société a annoncé qu’un outil de déchiffrement universel a été réalisé grâce à une «tierce partie» et a travaillé avec Emsisoft Security Company pour aider les victimes de l’attaque de Ransomware REvil.
Kaseya prétend avoir payé aucune rançon
Lundi, Kaseya a publié une déclaration qui refuse des rumeurs qu’elle aurait payé une rançon sur REvil, le groupe Ransomware, a lancé l’attaque. REvil a demandé à l’origine une rançon de 70 millions de dollars, mais l’aurait réduit de 50 millions de dollars avant que tous ses sites Web ne disparaissent le 13 juillet.
Theresa Payton, ancien directeur des informations de la Maison-Blanche et expert en cybersécurité, a déclaré que les accords non-informations après les attaques sont plus fréquents que vous ne pourriez penser, mais a noté que « demander un accord sur les non-renseignements aux victimes n’est pas une pratique quotidienne pour chaque incident ».
« Lorsqu’un incident affecte davantage de victimes, le conseiller juridique demande à signer un accord sur les non-renseignements pour que la solution du problème ne soit pas publiée », a déclaré Payton.
Payton a ajouté que les causes de la demande de contrat de non-publication ne sont pas toujours mauvaises et invitées à consulter leurs avocats avant de signer quelque chose.
La société et la manière dont l’outil de décryptage universel a été atteint? Selon la presse, la société a chargé un accord de non-publication aux entreprises souhaitant profiter de cet outil.
« Nous certifions clairement que Kaseya n’a pas payé la rançon, que ce soit directement ou indirectement à travers un tiers, pour obtenir du déchiffrement », déclare la déclaration de Kaseya.
« Bien que chaque entreprise devait prendre sa propre décision sur le paiement de RanSom, Kaseya a décidé après avoir consulté des experts, de ne pas négocier avec les criminels qui ont commis cette attaque et que nous n’arrêtions pas de cet engagement. »
Selon la Déclaration, l’équipe d’intervention des incidents d’Emsisoft et de Kaseya a travaillé tous les week-ends pour fournir un déchiffrement avec certaines des 1 500 victimes touchées par l’attaque, y compris une grande chaîne de supermarchés en Suède, de l’Université Virginia Tech et des ordinateurs gouvernementaux locaux à Leonardtown, dans le Maryland.
La société a déclaré qu’elle avait appelé à toutes les victimes de manifester et d’ajouter que l’outil « s’est avéré 100% pour déchiffrer les fichiers complètement cryptés lors de l’attaque ».
Si la nouvelle d’un décendrier universel a été accueillie par des centaines de victimes touchées, certains soulignent qu’il existait un accord de non-information que Kaseya audacieuse les entreprises à signer l’échange d’outils.
CNN a confirmé que Kaseya a exigé un accord de non-information (NDA) d’accéder au déchiffrement. Dana Liedholm, porte-parole de Kaseya et plusieurs sociétés de cyber-sécurité impliquées, ont déclaré à ZDN et qu’ils ne pouvaient pas commenter cet accord.
Cet atlas, disponible sur le site officiel (cybersecurity-atlas.ec.europa.eu), est destiné à réunir des professionnels européens de la sécurité de l’information. houston Bruxelles nous avons un problème!
Un utilisateur est néanmoins de restaurer toutes ces données pour leur suggérer de revendre à la discorde. Les journalistes records ont réussi à mettre la main sur la base de données pour confirmer l’authenticité et confirmer que les données proposées correspondent réellement au site. Parmi les soumissions de données, nous trouvons des adresses électroniques, des adresses de contact, des détails organisationnels ou le nom des personnes à contacter. Données déjà publiées et accessibles à ceux qui ont enregistré un compte sur le site Web de Cybersecurity Atlas.
Mais plus que les données ont la saisie réalisée pour confirmer que la base de données était directement à partir des systèmes informatiques du site Web de Cybersecurity Atlas et ne provenait donc pas d’une simple « raclage » des données d’un utilisateur.
La couverture de données avait été repérée par le site de Zataz: sur un forum spécialisé dans la revente des données volées suggéré un utilisateur qui a été suggéré depuis lundi un lot de fichier du projet CybersSecurity Atlas. Ce projet de la Commission européenne vise à indiquer les adresses de contact de diverses agences et des personnes impliquées dans des questions de cybersécurité européenne. Catalogue de la cybersécurité au niveau européen, lancé en 2018. Ce dossier était disponible publiquement et autorisé des entreprises, des chercheurs et des universitaires à enregistrer et à laisser leurs coordonnées d’accès ouvert.
Accenture a été parmi les victimes du groupe Lockbit avec un compte à rebours dont les déclencheurs étaient programmés le 11/08/2021.
Dans une déclaration, un porte-parole a minimisé l’incident et a affirmé qu’il n’avait qu’une petite influence sur les affaires de la société. Accenture a réalisé un chiffre d’affaires de plus de 40 milliards de dollars l’an dernier et compte plus de 550 000 employés dans plusieurs pays.
De nombreux internautes interrogent le montant des données volées pendant l’attaque et note qu’il n’est pas susceptible que l’attaque vienne du groupe.
Accenture n’a pas répondu aux questions pour déterminer s’il s’agissait d’une attaque effectuée à l’aide d’un employé.
Dans un rapport d’accent publié la semaine dernière, la Société a déclaré que 54% de toutes les victimes de Ransomware ou d’APRESTORT étaient des entreprises dont le chiffre d’affaires annuel était compris entre 1 et 9,9 milliards de dollars.
Accenture propose un certain nombre de services à 91 des 100 meilleures sociétés de classification de la fortune et des centaines d’autres entreprises. Les services informatiques, les technologies de fonctionnement, les services cloudis, la mise en œuvre de la technologie et les conseils ne sont que quelques-uns des services que la société est basée en Irlande offre à ses clients. En juin, la société a acheté Umlaut, une entreprise d’ingénieurs allemands pour élargir sa présence dans le cloud, l’IA et la 5G. Elle a également acquis trois autres entreprises en février.
L’Australian Cyber Security Center a publié un résumé du vendredi indiquant que le groupe Ransomware Lockbit après une petite chute d’opération a été ravivé et intensifié ses attaques.
Selon l’Agence australienne, les membres du Groupe exploitent activement les vulnérabilités existantes dans les produits FORTITITINE FORMIPROXY identifiés par le lancement de la CVE-2018-13379 pour obtenir le premier accès aux réseaux de victimes spécifiques.
« La CCCAA est consciente de nombreux événements impliquant des verrouillements et son successeur » Lockbit 2.0 « en Australie depuis 2020. La majorité des décès connus de la CCAA ont été signalés après juillet 2021, ce qui indique une augmentation nette et significative des victimes nationales par rapport à d’autres variantes de ransomware, « Ajoute le communiqué de presse.
« La CCAA a observé des filiales de lockbit ont mis en œuvre avec succès des ranesomwares sur des systèmes d’entreprise dans divers secteurs, y compris des services professionnels, de la construction, de la fabrication, de la vente au détail et du régime alimentaire. »
En juin, l’équipe de l’intelligence de la menace Poina a publié un rapport qui enquête sur le bit de verrouillage de la structure RAAS et son inclinaison d’acheter un accès au protocole de bureau externe pour les serveurs en tant que vecteur d’attaque initial.
Le groupe exige généralement 85 000 $ en moyenne des victimes et si une tierce partie revient sur les opérateurs de la RAA. Plus de 20% des victimes d’un tableau de bord consulté par les chercheurs d’énergie appartenaient au secteur des logiciels et des services.
« Les services commerciaux et professionnels ainsi que le secteur des transports sont également très ciblés par le groupe Lockbit ».
À l’origine de telles attaques, l’argent est à nouveau et la principale motivation. Qu’il soit réclamé par une demande de rançon ou réalisée par la revente de données, il est toujours au cœur des préoccupations du commerce. Afin d’atteindre leurs objectifs, ce dernier doit donc utiliser une stratégie qui nécessite parfois plusieurs mois de préparation en fonction de la structure ciblée. Dans certains cas, les hackers cherchent à s’infiltrer très tôt et à mettre leurs programmes en dortoir à travers la gravité de l’offuscation. Ils peuvent effacer leurs morceaux et déclencher leurs attaques quelques semaines / mois plus tard.
Cyber attaques d’entreprises, plus chères que prévu!
Il sera nécessaire de s’habituer à ce que la numérisation croissante apporte avec ses nombreux problèmes, et parmi ceux-ci sont des cyberattaques. Leur puissance et leur structure varient selon l’objectif sélectionné, mais la conséquence est identique à toutes les victimes: une immobilisation totale ou partielle de l’appareil productif pour une période indéterminée. Suit une vraie galère pour les structures qui cherchent à se remettre de ces attaques.
Au cœur de la méthode d’une cyberattaque, la première étape consiste à reconnaître, il consiste à récupérer des informations maximales – courriels, téléphones, noms – sur une ou plusieurs de la société. Cette phase d’ingénierie sociale permet de trouver un point d’entrée qui, dans la plupart des cas, c’est l’e-mail. Que vous utilisiez la méthode de phishing, l’installation de logiciels malveillants ou des arnaques d’utilisateurs pour le président, l’objectif, une fois dans les systèmes d’information, effectuez des mouvements. Latérales qui permettent aux pirates d’infiltrer et de toucher d’autres éléments du réseau de la société. L’attaque implémente plus largement et capture ainsi davantage de données et paralysant les serveurs internes.
Le mode survie d’une entreprise
L’un des premiers réflexes pour les entreprises est de couper leurs systèmes d’information pour limiter la pause et empêcher l’attaque de la propagation de l’interne. Un réflexe de survie qui leur permet d’organiser une réponse et d’accélérer le retour à une situation normale. Si les instructions des systèmes d’information, pour les entreprises qui les possèdent sont sur le pied de la guerre, ils ne peuvent que voir les dommages causés.
Dans un processus de retour au processus normal, certaines entreprises peuvent décider de payer immédiatement une rançon en violation des autres essayant de résoudre le cambriolage de leur système d’information. Dans les deux cas, il n’est jamais certain que ce type d’attaque ne se reproduise plus. Il est donc utile de veiller à ce qu’il existe une stratégie de prévention en tant que plans de restauration de l’activité (PRA), qui sont déclenchés à la suite d’une catastrophe. Il investira également dans des solutions de protection des applications ainsi que ceux qui visent à découvrir des attaques et à les bloquer en amont. En bref, il n’est pas question de savoir si le système d’information sera touché, mais plutôt quand ce sera.
Les solutions contre les cyberattaque
Malgré toutes les dispositions technologiques prises, de nouvelles attaques de plus en plus puissantes et pervers seront en mesure de contourner les nombreux systèmes de sécurité créés par des entreprises. L’un des défis des années à venir est donc au niveau de la prévention de l’homme. L’idée d’un pare-feu humain n’est possible que si les employés de la société sont formés pour reconnaître les signes d’une cyberattaque. Cet aspect sera tout important car la transition numérique des entreprises s’est largement accélérée depuis la crise CVIV-19 et le nombre de cyberattaques multiplié par quatre entre 2019 et 2020 en France. Il est donc important et urgent d’introduire un système de responsabilité commune qui ne permettra pas de mieux faire du risque pour mieux préparer les entreprises aux futures attaques.
Et ceux-ci peuvent avoir un impact très important sur la production et conduire à une immobilisation pendant un certain temps. Les récentes cyberattaques ont assisté à un pipeline colonial, un grand réseau de pipelines pétroliers, qui porte près de 45% des combustibles de la côte est aux États-Unis et qui a provoqué un lieu de fourniture pendant plusieurs jours. Cela a généré des mouvements de panique dans la population, entraînant des lacunes dans certaines stations-service. En fin de compte, la société a dû payer près de 4,4 millions de dollars de rançon aux pirates. Des exemples tels que celui-ci montrent qu’une immobilisation de la production, voire de courte durée, peut entraîner des pertes financières importantes pour les entreprises touchées par les cyberattaques ainsi que pour les acteurs de leur écosystème.
La société de logiciels américano-cano-kaseya a maintenant accès à la clé de déchiffrement universelle du Ransomware REvil, qui a affecté ses clients qui sont des fournisseurs de services gérés.
La société a annoncé son accès à l’outil de déchiffrement jeudi 22 juillet , environ 20 jours après l’attaque de Ransomware, qui a eu lieu le 2 juillet.
REvil ; Kaseya prétend avoir la clé de déchiffrement
L’attaque a touché directement 60 ses clients et jusqu’à 1 500 de leurs clients en aval. Les caisses de la chaîne Suédoise Coop Supermarket n’ont pas été inaccessibles pendant presque une semaine en raison de l’attaque. Ils avaient été infectés dans tout le pays avec une mise à jour logicielle corrompue du produit de Kaseya, CSR, qui permet de distribuer des mises à jour logicielles pour des périphériques embarqués et sur l’ensemble de la flotte d’ordinateurs gérés. En Nouvelle-Zélande, les écoles utilisant le logiciel Kaseya ont également été touchées.
Kaseya a maintenant une clé de déchiffrement pour les clients concernés par le Ransomware REvil.
Selon Kaseya, la société de sécurité de la Nouvelle-Zélande Emsisoft a confirmé que l’outil de déchiffrement vous permet de déverrouiller des fichiers cryptés avec la révolution.
« Nous pouvons confirmer que Kaseya a obtenu un outil tiers et que son équipe aide activement les clients affectés par Ransomware à restaurer leurs environnements sans aucun rapport sur aucun problème lié au Decrypeter. La société indique dans une déclaration.
« Kaseya travaille avec Emsisoft pour soutenir les efforts de nos clients et Emsisoft confirme que la clé est efficace pour déverrouiller les victimes ».
Les sites Web du groupe Revil ont été clos la semaine dernière après que le président américain Joe Biden a demandé au président russe Vladmir Poutine d’agir contre des cybercriminels basés à la Russie destinée aux entreprises américaines. Joe Biden aurait déclaré au président russe que des infrastructures critiques devraient être hors périmètre en termes de cybercriminalité.
Une autre attaque du Ransomware de Darkside avait pris le distributeur de carburant colonial de retour sur la côte est aux États-Unis en mai. Certains experts en matière de sécurité estiment que l’attaque contre le pipeline colonial a propulsé la question des ranchants au rang de discussion diplomatique et invite les revenus à suspendre ses activités.
Nous ne savons pas si Kaseya a payé la demande de rançon de 70 millions de dollars. La société aurait obtenu la clé de déchiffrement avec un « tiers de confiance » basé sur un porte-parole signalé par le tuteur.
Bien que certains clients kashasia-aval ont corrigé les systèmes attribués, les points d’extrémité de certains clients ont été hors ligne et pouvaient restaurer des systèmes avec la clé de déchiffrement.
Un client anonyme la semaine dernière a déclaré qu’il a payé une rançon pour révéler le groupe. Mais cela n’a pas pu déchiffrer les fichiers cryptés avec la clé de déchiffrement. REvil vendu son ransomware en tant que service à des groupes de cybercriminels.
La cyberattaque qui a frappé la société informatique Kaseya le week-end dernier a contraint la chaîne de supermarchés suédoise Coop à fermer plus de 800 magasins et supérettes. L’attaque ricoche et peut toucher plus de 1 500 entreprises dans le monde. Et les marques françaises ?
Kaseya développe des solutions et des services pour les fournisseurs de services gérés (MSP). Vendredi, alors que la plupart des Américains étaient prêts à fêter le week-end du 4 juillet, l’entreprise a subi une attaque contre l’une de ses solutions, Kaseya USA. Cela permet aux utilisateurs de distribuer des mises à jour et de surveiller à distance les systèmes informatiques de leurs clients.
Cependant, il y avait une vulnérabilité sur le système. Cela avait été découvert par le DIVD, l’Institut néerlandais de détection des vulnérabilités, qui avait prévenu l’entreprise. Kaseya l’a donc corrigé et le correctif a même été validé lorsque REvil ou l’une de ses filiales a frappé et exploité la vulnérabilité zero-day pour mener son attaque. À ce stade, peu de détails ont été publiés sur ce bug, sauf qu’il était assez facile à exploiter.
Grâce à cela, le groupe de hackers a pu diffuser des fichiers malveillants sous couvert d’une mise à jour automatique de Kaseya VSA et diffuser des ransomwares aux MSP utilisant la solution mais aussi à leurs clients. Il n’est pas encore possible de savoir exactement combien d’entreprises ont été touchées par cette attaque, mais il a été estimé vendredi que plus de 1 000 d’entre elles ont vu leurs fichiers cryptés alors que REvil avance le chiffre d’un million sur son site internet.
Caisses inopérantes, magasins fermés… Une cyberattaque sans précédent est devenue sa première victime en Europe, le groupe de supermarchés suédois Coop, qui représente 20% du secteur dans le pays, a été paralysé samedi 3 juillet par la cyberattaque contre l’entreprise américaine Kaseya. , spécialiste de l’infogérance informatique. 800 magasins sont toujours fermés pendant quatre jours, les caisses enregistreuses sont bloquées et hors d’usage.
C’est par l’intermédiaire d’un de leurs sous-traitants informatiques, Visma Escom, lui-même touché par la cyberattaque, que le système informatique interne de l’entreprise suédoise a été piraté. L’attaque a également touché plusieurs pharmacies suédoises et la compagnie ferroviaire du pays. Plus précisément, les pirates ont attaqué le logiciel phare de Kaseya, « VSA », conçu pour gérer de manière centralisée les réseaux de serveurs, contrôler et sécuriser les systèmes informatiques. Ils ont choisi la méthode des ransomwares, qui consiste à installer des logiciels malveillants qui bloquent toutes les machines ou ordinateurs ciblés jusqu’à ce que leurs propriétaires paient une rançon.
Jusqu’à 1 500 entreprises impliquées Sur ses 40 000 clients, Kaseya estime que moins de 60 clients ont été touchés. Problème, la plupart d’entre eux gardent les clients pour eux-mêmes, ce qui facilite la propagation de l’attaque.
L’écosystème des Ransomware as a service (RaaS) recrute pour forcer les victimes à payer.
Victoria Kivilevich, analyste du renseignement sur les menaces chez KELA, a publié les résultats d’une étude de tendance RaaS, affirmant que les attaques individuelles ont presque « disparu » en raison de la nature lucrative du système. Commerce de ransomwares criminels.
Les gains financiers potentiels des entreprises cherchant désespérément à déverrouiller leurs systèmes ont donné lieu à des spécialistes du chantage et ont également entraîné une énorme demande d’individus capables de prendre en charge le côté négociation d’une chaîne d’attaque.
Les ransomwares peuvent être dévastateurs non seulement pour les activités d’une entreprise, mais aussi pour sa réputation et ses résultats. Si des attaquants réussissent à toucher un fournisseur de services utilisé par d’autres entreprises, ils peuvent également être en mesure d’étendre rapidement leur surface d’attaque à d’autres appareils.
Dans un cas récent, des vulnérabilités zero-day dans des logiciels américains fournis par Kaseya ont été utilisées pendant le week-end férié américain pour compromettre les terminaux et exposer les organisations à un risque d’infection par ransomware. On estime actuellement que jusqu’à 1 500 entreprises ont été touchées.
Selon KELA, une attaque de ransomware typique comporte quatre phases : acquisition de code/malware, propagation et infection des cibles, extraction de données et/ou persistance de la maintenance sur les systèmes affectés et génération de revenus.
Il y a des acteurs dans chaque « domaine », et récemment, la demande de spécialistes de l’exploitation minière et de la génération de revenus a augmenté parmi les groupes de ransomware.
L’émergence de revendeurs en particulier dans le domaine de la monétisation est désormais une tendance dans l’espace RaaS. Selon les chercheurs du KELA, on assiste à l’émergence d’un grand nombre d’acteurs malveillants contrôlant l’aspect négociation, tout en augmentant la pression via les appels téléphoniques, les attaques par paralysie distribuée (DDoS) ou les menaces de fuite d’informations volées.
KELA suggère que ce rôle est dû à deux facteurs potentiels : le besoin pour les groupes de ransomware de s’en tirer avec une marge bénéficiaire décente et le besoin de personnes parlant anglais pour mener des négociations efficaces.
« Cette partie de l’attaque semble également être une activité externalisée, au moins pour certaines filiales et/ou développeurs », explique Kivilevich. « L’écosystème ransomware ressemble donc de plus en plus à une entreprise avec des rôles différents au sein de l’entreprise et des activités plus externalisées. »
Les courtiers d’accès initial sont également très demandés. Après avoir observé les activités du dark web et des forums pendant plus d’un an, les chercheurs affirment que le prix de l’accès aux réseaux compromis a augmenté. Certaines offres sont désormais 25 à 115% plus élevées que précédemment enregistrées, notamment lorsque le niveau administrateur de domaine a été accédé.
Ces intrus peuvent s’attendre à obtenir entre 10 et 30 % de la rançon. Il convient toutefois de noter que certains de ces courtiers ne fonctionnent pas du tout avec les ransomwares et ne se livreront qu’à des attaques ciblant d’autres cibles, telles que celles qui conduisent à la collecte de données de carte de crédit.
« Au cours des dernières années, les groupes de ransomwares ont évolué pour devenir des sociétés de cybercriminalité avec des membres ou des « employés » spécialisés dans différentes parties des attaques et différents services d’assistance », a commenté KELA. « La récente interdiction des ransomwares sur deux grands forums russophones ne semble pas affecter cet écosystème, car seule la publicité des programmes d’affiliation a été interdite sur les forums. »
Ce fut une vilaine surprise pour certains utilisateurs de disques durs réseau Western Digital My Book Live dont le contenu a été automatiquement supprimé à distance dans le cadre d’une réinitialisation de leurs paramètres.
Le 23 juin, de nombreux utilisateurs de WD My Book Live ont eu une très mauvaise surprise lorsqu’ils ont découvert que toutes les données stockées sur leur disque dur réseau (NAS) avaient disparu. Et sans raison apparente, car ils n’avaient effectué aucune opération particulière. En quelques heures, les témoignages se sont multipliés en ligne et sur Twitter, prouvant qu’il ne s’agissait pas d’accidents isolés. Le forum de support de Western Digital, le fabricant de ces systèmes de stockage très populaires, s’est rapidement rempli de messages désespérés appelant à l’aide. « J’ai un WD My Book Live connecté à mon réseau local qui fonctionne bien depuis des années », écrit la personne qui a lancé le fil. « Je viens d’apprendre que toutes les données sont parties là-bas aujourd’hui : les catalogues semblent être là, mais ils sont vides. Auparavant, le volume de 2 To était presque plein : maintenant il est à pleine capacité. » Certains utilisateurs rapportent même que l’accès au NAS est désormais interdit, car l’appareil leur demande un nouveau mot de passe, qu’ils n’ont bien sûr pas. Bref, panique et catastrophe car les données supprimées sont perdues à jamais. Adieu documents, photos, vidéos et autres fichiers personnels collectés au fil des années sur ces appareils conçus uniquement pour effectuer des sauvegardes.
début Juillet WD a identifié l’erreur qui est considérée comme la source du piratage qui a entraîné la suppression de données à distance pour de nombreux utilisateurs de disques durs My Book Live. Ce bug a été introduit en 2011 par une mise à jour du firmware visant à améliorer le processus d’identification des utilisateurs. « Nous avons examiné les journaux que nous avons reçus des clients concernés pour comprendre et caractériser l’attaque. Ils montrent que les pirates sont directement connectés aux appareils My Book Live concernés à partir d’une variété d’adresses IP dans différents pays. » Explique l’entreprise.
Plus important encore, le fabricant annonce qu’une campagne gratuite de récupération de données débutera le mois prochain sans dire si toutes les personnes impliquées seront en mesure de retrouver toutes les données perdues. WD lancera également un programme de mise à niveau avantageux pour ces derniers et les encouragera à acquérir un NAS My Cloud à un prix préférentiel en échange de leur NAS My Book Live.
La société Adrexo, chargée de diffuser la propagande électorale, est à la croisée des chemins depuis la semaine dernière suite à des dysfonctionnements. La communication de l’entreprise évoque notamment l’impact d’une cyberattaque, tandis que les syndicats pointent plutôt un manque de moyens. Services informatique Hyères
Un ransomware pourrait correspondre à la description des symptômes de la cyberattaques d’Adrexo
Dans un communiqué, la direction d’Adrexo évoque la cyberattaque que l’entreprise a connue fin avril pour justifier les dysfonctionnements survenus : « la direction opérationnelle de cette mission a connu des perturbations en mai lors d’une cyberattaque dont l’entreprise a été victime. « Une cyberattaque résolue maintenant, mais qui selon Adrexo aurait perturbé l’organisation de la distribution : » Avec la solution à cet incident, Adrexo s’est organisé pour qu’il soit possible à ses équipes de distribuer dans les meilleures conditions malgré la force informatique et les contraintes opérationnelles. ”.
La diffusion de la propagande électorale dans le cadre du 1er tour de l’élection régionale ne s’est pas déroulée comme prévu : de nombreux citoyens se sont plaints de ne pas avoir reçu la profession de foi des différents partis avant le 1er tour de l’élection. Adrexo est désormais dans le coup : cette filiale du groupe Hopps a remporté le marché de la diffusion de la propagande électorale lors d’un appel d’offres en janvier 2021 avec le groupe.
Mais les dysfonctionnements ont poussé plusieurs partis politiques et autorités locales à exprimer leur mécontentement. Le ministère de l’Intérieur a convoqué lundi les dirigeants des deux sociétés chargées de la distribution à venir pour s’expliquer, laissant La Poste et Adrexo communiquer sur les dysfonctionnements rencontrés.
Un communiqué de presse ne donne pas plus de détails sur la nature ou l’étendue de la cyberattaque en question, mais la société a en fait été touchée par une attaque fin avril. Plusieurs notes et messages diffusés en interne et relayés par les différents syndicats du groupe Hopps ont donné un aperçu de l’ampleur de l’attaque : elle aurait été identifiée dans le week-end du 25 avril et aurait provoqué la paralysie d’un parti. Département IT. Le 30 avril, le groupe s’est félicité de la reprise des opérations en moins de dix jours, affirmant que « le temps de régler cet incident est un exploit », tout en reconnaissant qu’il faudra du temps pour récupérer complètement les services informatiques.
L’impact de la cyberattaque est donc encore difficile à évaluer, et le ministère de l’Intérieur ne semble pas trop s’en émouvoir : il rappelle donc que les deux entreprises sont obligées de donner suite et garantir que les dysfonctionnements ne se reproduisent pas à l’autre tour des élections régionales prévu le 27 juin. Parmi les mesures envisagées pour assurer cela, les préfets seront notamment des sous-officiers chargés d’assurer la qualité des opérations postales et le contrôle opérationnel de la diffusion de la propagande électorale au niveau départemental.
BackdoorDiplomacy ne coupe pas les cheveux en quatre en matière de cyberespionnage.
Ce nouveau groupe de hackers vise les diplomates européens
Un groupe de cyberattaques récemment découvert cible des diplomates européens, africains et moyen-orientaux. Mis en évidence jeudi par des chercheurs d’ESET, le groupe appelé BackdoorDiplomacy, a été lié à des attaques réussies contre des ministères des Affaires étrangères dans de nombreux pays d’Afrique, du Moyen-Orient, d’Europe et d’Asie ainsi que contre un petit sous-ensemble d’entreprises de télécommunications en Afrique et au moins un organisme de bienfaisance au Moyen-Orient.
Selon les chercheurs d’ESET, ce groupe est opérationnel depuis au moins 2017. Il cible à la fois les systèmes Linux et Windows et semble préférer exploiter les appareils vulnérables face à Internet comme vecteur d’attaque initial.
S’il trouve des serveurs Web ou des interfaces de gestion de réseau présentant des points faibles, tels que Des problèmes logiciels ou une mauvaise sécurité de téléchargement de fichiers affectent le groupe. Dans un cas observé par ESET, un bogue appelé F5 – CVE-2020-5902 – a été utilisé pour déployer une porte dérobée Linux, tandis que BackdoorDiplomacy dans un autre cas a adopté les vulnérabilités du serveur Microsoft Exchange pour déployer China Chopper, un webshell.
Bien que BackdoorDiplomacy ait été enregistré en tant que groupe de hackers à part entière, il semble avoir des connexions ou au moins quelque chose en commun avec d’autres groupes. Le protocole de chiffrement du réseau utilisé par APT est presque identique à celui utilisé par la porte dérobée Whitebird du groupe Calypso, et ce malware a été déployé contre des cibles diplomatiques au Kazakhstan et au Kirghizistan dans les années 2017-2020.
En outre, ESET pense avoir des points communs avec CloudComputating / Platinum, qui a ciblé les organisations diplomatiques, gouvernementales et militaires en Asie au cours des années précédentes. D’autres index de codage et de mécanisme sont similaires à Rehashed Rat et MirageFox – également connus sous le nom d’APT15.
Dans le cadre d’autres recherches menées ce mois-ci, Check Point Research a découvert une nouvelle porte dérobée développée par des acteurs chinois de la menace pour une période de trois ans. Le malware, appelé VictoryDll_x86.dll, a été utilisé pour compromettre un réseau appartenant au département d’État d’un gouvernement d’Asie du Sud-Est.
De temps en temps, les attaquants analysent l’appareil pour un déplacement latéral, installent une porte dérobée personnalisée et mettent en œuvre une variété d’outils pour effectuer la surveillance et le vol de données. La porte dérobée, appelée Turian, serait basée sur la porte dérobée Quarian, un malware associé à des attaques contre des cibles diplomatiques en Syrie et aux États-Unis en 2013. L’implant principal est capable de récolter et d’exfiltrer des systèmes informatiques, de prendre des captures d’écran, mais aussi d’écraser. , déplacer/supprimer ou voler des fichiers.
Certains des outils utilisés incluent EarthWorm Network Tunnel Software, Mimikatz, NetCat et des logiciels développés par la National Security Agency (NSA) des États-Unis et dévoilés par ShadowBrokers, tels que EternalBlue, DoublePulsar et EternalRocks. VMProtect a dans la plupart des cas été utilisé pour essayer de cacher les activités du groupe.
Les diplomates peuvent avoir besoin de gérer des informations sensibles transmises via des disques et des supports de stockage amovibles. Pour étendre la portée de ses activités de cyber-espionnage, BackdoorDiplomacy recherche les clés USB et tente de copier les fichiers qu’elles contiennent dans une archive protégée par mot de passe, qui est ensuite envoyée à un centre de commande et de contrôle (C2) via la porte dérobée.
Le groupe de ransomware Avaddon, l’un des groupes de ransomware les plus productifs en 2021, a annoncé qu’il cessait ses activités et fournissait à des milliers de victimes un outil de décryptage gratuit.
Le groupe de ransomware Avaddon ferme son magasin et livre des clés
Lawrence Abrams de BleepingComputer affirme avoir reçu un e-mail anonyme contenant un mot de passe et un lien vers un fichier ZIP nommé « Decryption Keys Ransomware Avaddon ».
Le fichier contenait les clés de décryptage de 2 934 victimes du ransomware Avaddon. Ce chiffre étonnant illustre le fait que de nombreuses organisations ne révèlent jamais d’attaques : certains articles n’attribuaient auparavant que 88 attaques au groupe Avaddon.*
Le Bleeping Computer quotidien en ligne a collaboré avec Emisoft pour créer un dispositif de décryptage gratuit que toute victime d’Avaddon peut utiliser pour retrouver l’accès à ses données.
Fabian Wosar ajoute que les personnes derrière Avaddon ont probablement gagné assez d’argent sur les ransomwares pour qu’elles n’aient aucune raison de continuer. Les revendeurs de rançons ont remarqué quelque chose d’urgent dans leurs négociations avec les opérateurs d’Avaddon ces dernières semaines, a-t-il déclaré. Le groupe a donné après « instantanément au cours des deux derniers jours de modestes contre-offres ». « Cela suggère donc qu’il s’agissait d’un arrêt et d’une fermeture des opérations planifiés et que cela n’a pas surpris les personnes impliquées », explique-t-il.
Les données de RecordedFuture montrent qu’Avaddon est responsable de près de 24% de tous les incidents de ransomware depuis l’attaque du Colonial Pipeline en mai. Le rapport sur les ransomwares d’eSentire indique qu’Avaddon a été vu pour la première fois en février 2019 et fonctionne sur un modèle de ransomware en tant que service, où les développeurs de logiciels donnent aux filiales un pourcentage négociable de 65% de toutes les rançons.
« Les membres du groupe Avaddon devraient également offrir à leurs victimes une assistance et des ressources 24h/24 et 7j/7 pour acheter des bitcoins, tester les fichiers pour le décryptage et d’autres défis qui peuvent empêcher les victimes de payer la rançon », indique le rapport. Ce qui est intéressant à propos de ce groupe de ransomwares, c’est la conception de leur site de blog Dark Web. Non seulement ils prétendent fournir une archive complète des documents de leurs victimes, mais ils disposent également d’un compte à rebours indiquant le temps qu’il reste à chaque victime pour payer. Et pour mettre encore plus de pression sur leurs victimes, ils menacent de lancer des DDoS sur leur site web s’ils n’acceptent pas de payer immédiatement. «
Lawrence Abrams a travaillé avec Fabian Wosar, CTO d’Emsisoft, et Michael Gillespie de Coveware pour vérifier les fichiers et les clés de déchiffrement. Emsisoft a créé un outil gratuit que les victimes d’Avaddon peuvent utiliser pour décrypter leurs fichiers.
Les groupes de ransomware – comme ceux derrière Crysis, AES-NI, Shade, FilesLocker, Ziggy – ont parfois publié des clés de déchiffrement et ont cessé leurs activités pour diverses raisons. Un outil de décryptage Avaddon gratuit a été publié par un étudiant en Espagne en février, mais le groupe a rapidement mis à jour son logiciel malveillant pour le rendre à nouveau infaillible.
« Cette situation n’est pas nouvelle et n’est pas sans précédent. « Plusieurs acteurs malveillants ont publié la base de données de clés ou les clés principales lorsqu’ils ont décidé de mettre fin à leurs opérations », a déclaré Fabian Wosar à ZDNet. « En fin de compte, la base de données clé que nous avons reçue suggère qu’ils ont eu au moins 2 934 victimes. Étant donné que la rançon moyenne d’Avaddon est d’environ 600 000 $ et que les taux de paiement moyens pour les ransomwares, vous pouvez probablement obtenir une estimation décente de ce qu’Avaddon a généré. «
Selon les autorités américaines, JBS a été victime d’une attaque de ransomware fin mai par une « organisation criminelle probablement basée en Russie »
Les cyberattaques peuvent coûter très cher. La question devrait même être au menu de la rencontre entre Joe Biden et Vladimir Poutine le 16 juin à Genève. Pendant ce temps, le géant mondial de la viande JBS, victime d’une attaque fin mai, a déclaré mercredi avoir payé une rançon de 11 millions de dollars en bitcoins à des pirates.
Le géant mondial de la viande JBS paie aux pirates 11 millions de dollars de rançon
JBS avait déclaré aux autorités américaines qu’il était la cible d’une cyberattaque de ransomware d’une « organisation criminelle peut-être basée en Russie », selon la Maison Blanche. Les serveurs sur lesquels reposent ses systèmes informatiques en Amérique du Nord et en Australie avaient été visés, paralysant notamment les activités du groupe en Australie et suspendant certaines lignes de production aux Etats-Unis.
L’entreprise est loin d’être un cas isolé. Le groupe Colonial Pipeline, également cible d’une telle attaque début mai, a reconnu avoir versé aux pirates 4,4 millions de dollars. Lundi, les autorités américaines ont annoncé avoir récupéré une partie de la somme.
« Ce fut une décision très difficile pour notre entreprise et pour moi personnellement », a déclaré Andre Nogueira, patron de la filiale américaine, dans un communiqué. « Cependant, nous avons estimé que cette décision devait être prise pour prévenir tout risque potentiel pour nos clients », a-t-il poursuivi. « Au moment du paiement, la grande majorité des installations de l’entreprise étaient opérationnelles », a déclaré JBS, l’une des plus grandes entreprises alimentaires au monde. Il s’agissait de « s’assurer qu’aucune donnée ne soit exfiltrée » et « d’éviter des problèmes imprévus liés à l’attaque », selon le groupe.
Les États-Unis veulent mettre en place une task force centrale basée à Washington qui regroupera tous les cas de ransomware. Une méthode déjà mise en place pour travailler sur les affaires de terrorisme.
Dans ce contexte chargé, les États-Unis ont indiqué qu’ils entendaient revoir leur approche de la cybercriminalité. Selon un responsable américain interrogé par Reuters, les États-Unis souhaitent mettre en place un groupe de travail centralisé basé à Washington pour coordonner les efforts des gouvernements locaux en cas de ransomware.
Les États-Unis cherchent ainsi à acquérir une vision plus large du phénomène et de l’implication des différents acteurs de l’écosystème de la cybercriminalité en obligeant les procureurs et enquêteurs à centraliser les informations découvertes lors de leur enquête dans une cellule. Cette unité aura pour objectif de collecter et de recouper des informations techniques et des détails sur les cas impliquant des ransomwares, mais aussi des cas connexes liés à l’écosystème de la cybercriminalité créé autour de cette activité : botnets, échanges de crypto-monnaie, services d’hébergement pare-balles et blanchiment d’argent seront également de la partie. les vues de ce groupe de travail spécialisé.
La méthode n’est pas nouvelle et a déjà été mise en œuvre par les États-Unis dans des affaires de terrorisme et certains phénomènes criminels qui affectent directement la sécurité nationale. La paralysie des services de Colonial Pipelines a choqué le pays et montre à quel point les attaques de ransomware peuvent affecter l’infrastructure nationale, considérée comme critique.
Aux États-Unis, les gros titres des ransomwares arrivent chaque semaine : après l’attaque qui a paralysé le Colonial Pipeline, c’est le géant de l’alimentation JBS qui a porté le plus gros fardeau du groupe Revil cette semaine. Dans le même temps, le conglomérat japonais Fujifilm a annoncé cette semaine avoir été touché par une attaque de ransomware qui l’a contraint à suspendre l’activité de son système informatique. Dans plusieurs cas, les attaquants ont réussi à extorquer des rançons aux entreprises concernées : on a appris que le pipeline colonial avait exempté une rançon de 4,4 millions de dollars pour obtenir la clé de décryptage utilisée par les pirates qui avaient paralysé son système.
En France, la récente épidémie de ransomware a incité les autorités à reconsidérer leurs méthodes d’enquête. Si les attaques de ransomwares ne sont pas traitées par le parquet national contre le terrorisme, la section J3 du parquet de Paris a en revanche une compétence nationale sur les affaires liées à la cybercriminalité, ce qui permet de centraliser les informations sur les attaques de ransomwares.
Le lieutenant-colonel Fabienne Lopez, chef du service de cyber-enquête de la gendarmerie, C3N, expliquait fin 2020 que chaque service d’enquête travaillant sur ces sujets s’était spécialisé dans différentes « familles » de ransomware, « à la demande de la section J3 du parquet de Paris ». L’échange d’informations entre les différents services est organisé, notamment par la création d’une base de données commune permettant le partage d’informations.En raison du caractère international de ces études, les enquêteurs sont également liés aux services d’Europol, qui travaillent également à leur niveau pour permettre l’échange d’informations sur les cas de ransomware. Un tournant amorcé en 2020 pour faire face à la reprise des attaques, comme le rapportait Le Monde en début d’année.
L’Anssi et les services de renseignement travaillent également de leur côté pour identifier et traquer les groupes à l’origine des cyberattaques. L’échange d’informations entre ces agences et les tribunaux est en revanche plus compliqué, mais la nouvelle loi sur le renseignement, adoptée cette semaine par l’Assemblée nationale, prévoit plusieurs articles visant à faciliter le transfert d’informations des agences et administrations publiques. pour les services de renseignement.
Les noms, les numéros de carte bancaire et les informations de passeport font partie des informations volées, a déclaré la société d’État dans un communiqué.
Air India a assuré qu’elle «sécurisait» les serveurs informatiques touchés par ce vol massif tout en faisant appel à des experts en sécuritéinformatique. La société a également contacté les sociétés de cartes bancaires concernées.
« Nous regrettons profondément les problèmes causés et sommes satisfaits du soutien et de la confiance de nos passagers », a ajouté la compagnie. Des pirates informatiques ont réussi à voler les données à environ 4,5 millions de passagers de la compagnie aérienne Air India, a déclaré ce dernier vendredi.
Plusieurs compagnies aériennes ont été victimes d’attaques informatiques ces dernières années. Parmi eux, British Airways a été condamnée à une amende de 28 millions de dollars l’année dernière par le régulateur britannique après avoir perdu des données à environ 400000 passagers en 2018 à la suite d’une cyberattaque.
Une amende de 700 000 $ a également été infligée à la société asiatique Cathay Pacific après une perte de données d’env. neuf millions de clients en 2018. En mars, Air India a annoncé avoir été informée en février d’une cyberattaque par sa société de traitement de données SITA PSS. Cela concernait les données personnelles enregistrées par les passagers entre août 2011 et février 2021.
La SITA, qui sous-traite une partie de l’informatique à une grande partie de l’industrie aéronautique, a déclaré à l’époque qu’elle avait été la cible d’une « attaque très sophistiquée » qui avait touché plusieurs entreprises.
Air India fait partie du groupe de compagnies aériennes Star Alliance, où SITA gère le fonctionnement de son programme de fidélité.
D’autres compagnies avaient averti leurs passagers en mars de cette cyberattaque, mais seuls les noms et le nombre de passagers membres du programme de fidélité avaient été volés.
Les données d’un peu plus de 7800 employés de la chaîne de magasins de sport ont été révélées après une base de données mal configurée par un fournisseur, comme l’a révélé la société VPNMentor. Un cas d’école sur la détection désordonnée d’une faille de sécurité.
Lorsqu’il s’agit de signaler des fuites de données, il est parfois préférable de se tourner vers le gestionnaire plutôt que vers le fournisseur: début mars, la société vpnMentor a découvert une base de données Amazon S3 Bucket mal configurée qui exposait plus de données. Sur 7 800 collaborateurs et clients Decathlon.
Parmi les données exposées, vpnMentor déclare avoir identifié des données personnelles – noms, prénoms, adresses e-mail, numéros de téléphone, villes et pays de résidence – et des photos ainsi que le jeton d’approbation. Si les données appartiennent aux salariés de Decathlon, la chaîne de magasins de sport n’est pas directement responsable de la configuration de cette base de données: elles ont été confiées à la société BlueNove, qui a agi en tant que prestataire du Decathlon.
Les données ont été collectées dans le cadre d’un projet de recherche interne, appelé Vision 2030, qui visait à consulter les employés et les partenaires de la chaîne de magasins sur les ambitions et les valeurs de l’entreprise au cours des 10 prochaines années. BlueNove, qui se positionne comme une société spécialisée dans «l’intelligence collective», a donc été désignée pour conduire le projet.
Malheureusement, le projet est tombé sur le radar de vpnMentor: cette société qui propose des comparaisons VPN s’est lancée dans un projet de « web mapping », qui vise essentiellement à identifier des bases de données exposant des données sur le web. L’entreprise se charge alors de contacter les entreprises concernées, et une fois le problème résolu, en profite pour publier un article sur son blog contenant tous les détails de leur découverte.
Selon le message de vpnMentor, signaler la vulnérabilité n’était pas si simple. La société affirme avoir tenté de contacter BlueNove et Amazon en mars pour leur signaler les données exposées. vpnMentor rapporte avoir échangé des e-mails avec l’équipe BlueNove sans obtenir de correctif pour l’erreur. La société explique avoir finalement contacté Decathlon le 12 avril. Deux jours plus tard, l’exposition aux données a été corrigée. Il a donc fallu attendre plus d’un mois et demi et contacter plusieurs responsables pour enfin sécuriser la base de données.
L’histoire semble différente lorsque vous demandez à BlueNove: les communications de l’entreprise expliquent qu’elle a pris connaissance de l’avertissement via un e-mail envoyé le 12 avril à l’un de ses dirigeants, qui a écrit un article sur le partenariat avec Decathlon. Un e-mail en anglais faisant référence à une « faille de sécurité importante » sans donner plus de détails, « le genre de chose qui est assez facilement classée comme spam », a commenté un porte-parole de BlueNove. Aucun autre message de BlueNove n’a été identifié, ce qui n’exclut pas la possibilité qu’un message ait été envoyé sous le radar.
Concernant les données en question, BlueNove n’est pas non plus d’accord: « les données en question (noms, prénoms, adresses e-mail, villes) ne sont pas considérées comme CNIL car des données considérées comme » sensibles « . L’analyse d’impact n’a mis en évidence aucune risque pour les personnes touchées De plus, la ville ou le pays peut être lié aux emplacements des magasins Decathlon, nous ne collectons pas les adresses des participants ni leurs photos. »Les données ont donc été effectivement exposées sur le réseau, mais à première vue elles étaient non exploité par des tiers malveillants.
« Nous avons des adresses dédiées, une pour le support technique et une pour le délégué à la protection des données, qui peut être contacté pour signaler ce type de scénario », a rappelé le porte-parole de BlueNove. Ce mécanisme, qui ne semble pas avoir fonctionné comme prévu dans ce cas précis, mais vpnMentor ne précise pas dans son message les adresses utilisées pour contacter l’entreprise. Lorsque ZDNet a été interrogé sur ce sujet, la société n’avait pas répondu à nos questions au moment de la publication de cet article.
Bien que BlueNove regrette cette exposition involontaire de données, la société estime que la publication de vpnMentor n’est donc pas tout à fait exacte. Ils ne sont pas les premiers à se plaindre du signalement de failles de sécurité par l’entreprise, mais on peut toujours affirmer que personne n’aime être exposé publiquement à ses erreurs.
Signaler des vulnérabilités ou des failles de sécurité est toujours un sujet difficile, comme le souligne Rayna Stamboliyska, vice-présidente de la gouvernance et des affaires publiques chez YesWeHack, et auteur d’un livre blanc sur la question du reporting coordonné des vulnérabilités: «dans ce cas, il faut comprendre que il n’y a pas de relation contractuelle entre les parties, ce qui complique bien entendu les choses. Ici, c’est la bonne foi des chercheurs qui entre en jeu ». Ce type de rapport peut en effet rapidement s’avérer complexe pour les deux entreprises: la victime d’une violation de données n’a aucune envie d’être présentée comme négligente avec les données de ses clients, et de l’entreprise ou du chercheur qui a découvert la brèche. La fuite peut faire face à une application légale si ses recherches sont un peu trop approfondies.
Le vol de données n’est pas le seul risque à prendre en compte dans ce type d’entreprise, on peut aussi craindre qu’un tiers ne tombe pour les données et vous fasse une mauvaise publicité: vpnMentor n’est en fait pas la seule entreprise à pratiquer ce type de reporting suivi d’un publication, et il vaut mieux se préparer à cette éventualité à l’avance. «Dans tous les cas, il y aura toujours des failles, alors soyez mieux préparé», résume Rayna Stamboliyska.
Cette semaine, le président des États-Unis a ordonné la création d’un comité dédié aux cyberattaques ainsi que la création de nouvelles normes de sécurité logicielle pour les agences gouvernementales.
En matière de cybercriminalité, les États-Unis ont été confrontés à une cyberattaque massive menée par le groupe Darkside. En utilisant un ransomware, les pirates ont pu fermer l’opérateur pétrolier Colonial Pipeline, qui transporte généralement près de la moitié du carburant du pays. Une attaque qui a fait souffler un vent de panique chez les Américains. Les stations-service à travers le pays ont été prises d’assaut si loin qu’elles commencent une pénurie nationale.
Si la panique n’a pas duré longtemps car le problème a été rapidement résolu, ce nouvel incident démontre clairement la fragilité de l’Oncle Sam face aux cyberattaques. C’est dans ce contexte que le président américain Joe Biden a signé mercredi 12 mai 2021 un décret qui renforcerait la sécurité du pays contre les cyberattaques.
Pour renforcer la cybersécurité aux États-Unis, Joe Biden a annoncé la création d’un comité chargé d’examiner les cyberincidents. Plus précisément, l’organisation enquêtera sur les principaux hacks qui se sont produits dans le pays pour mieux comprendre les détails de l’affaire. Ce nouveau conseil est modelé par le National Transportation Safety Board, qui est chargé d’enquêter sur les accidents aériens, ferroviaires et maritimes, et peut aider à identifier les coupables potentiels en cas d’attaques supplémentaires. Pour rappel, ce n’est pas la première fois que le gouvernement américain est confronté à une cyberattaque. En décembre dernier, un groupe de pirates informatiques a ciblé le gouvernement avec le piratage massif de SolarWinds. Sans divulguer tous les détails de l’incident, Donald Trump affirmait à l’époque avoir des preuves de l’implication russe. Il y a quelques mois à peine, c’était la Chine qui, cette fois, était soupçonnée d’avoir ordonné une cyberattaque visant le géant Microsoft.
Outre la création d’un comité dédié, Joe Biden a également annoncé la création de nouvelles normes logicielles conçues pour sécuriser plus efficacement les agences gouvernementales américaines et empêcher de nouveaux piratages. Ces nouvelles normes comprendront l’utilisation de l’authentification multifactorielle, mais également le renforcement de la sécurité des échanges entre le gouvernement et les entreprises privées.
La compagnie d’assurance Axa a annoncé qu’elle suspendait temporairement son option «cyber rançon», qui proposait de soutenir les entreprises victimes de ransomwares en payant une rançon. Une pratique qui ne fait pas l’unanimité.
L’assurance ne paie pas toujours la rançon!
Axa France ne paie plus de rançon: la compagnie d’assurance a annoncé la suspension de son dispositif de «cyber rançon», option proposée depuis mi-2020 aux entreprises souscrites à l’assurance cybersécurité proposée par Axa. Comme l’explique Axa France, ce revirement brutal est venu directement du discours du directeur de l’Anssi et du parquet de Paris à ce sujet lors d’une audition au Sénat. Guillaume Poupard avait mis l’accent sur le «jeu nuageux» des compagnies d’assurance, qui, en facilitant le paiement de la rançon, faisait donc des entreprises françaises les principales cibles des cybercriminels.
Les compagnies d’assurance en situation délicate Pour AXA France, qui proposait ce type de service, la déclaration a fait son effet. Comme l’explique un porte-parole de la compagnie d’assurance, «dans ce contexte, AXA France, qui avait fermé sa gamme avec une option dans ce sens, a jugé opportun de suspendre sa commercialisation jusqu’à ce que les conséquences en soient tirées. De ces analyses et que le cadre de l’intervention d’assurance soit clarifié. Il est important que les pouvoirs publics concrétisent leur position sur cette question afin de permettre à tous les acteurs du marché d’harmoniser leurs pratiques « .
Il précise néanmoins que cette suspension n’affecte pas le reste du contrat de cyber-assurance proposé par l’assureur, qui continuera à proposer à ses assurés le reste des services liés à ce contrat. La possibilité de cyber-rachat était offerte aux entreprises ayant mis en place une politique de sécurisation du système informatique et réservée aux «cas marginaux» où le paiement d’une rançon était considéré comme la seule solution disponible. De même, cette option était réservée aux entreprises ayant déposé une plainte. Et dans l’hypothèse où la plainte serait adressée aux services antiterroristes, AXA France déclare avoir alors refusé de rembourser le paiement de la rançon.
L’audience du Sénat a incité les compagnies d’assurance à prendre position sur cette question délicate. AXA France n’est pas le seul du secteur à proposer ce type de service: le mois dernier, la compagnie d’assurance Hiscox expliquait à L’Argus de l’Assurance que ce type de prestation faisait partie de leurs contrats, même si cette éventualité est toujours présentée comme «solution de dernier recours». D’autres acteurs de terrain, comme Generali, en revanche, sont radicalement opposés à ce type de pratique.
Paiements de rançon dans la ligne de mire A la suite de cette consultation, on apprend notamment que la Direction générale du ministère des Finances a confié au Haut Comité juridique de la Place des Finances de Paris la mise en place d’un groupe de travail sur la question du paiement de la rançon. Cela devrait conduire à une série de recommandations sur le sujet et clarifier la position des autorités sur la légalité de cette pratique.
L’interdiction des paiements de rançon est un problème difficile, mais qui se fait de plus en plus entendre au milieu des nouvelles technologies. Fin 2020, la société de cybersécurité Emsisoft a publié une colonne exhortant les gouvernements à interdire le paiement d’une rançon pour freiner les attaques de ransomwares. Dans le même temps, le département américain du Trésor a rappelé que le paiement d’une rançon à certains groupes pouvait entraîner des sanctions pour l’entreprise victime. Début 2021, l’ancien chef de l’agence britannique de cybersécurité a également appelé à une modification de la loi pour interdire à nouveau le paiement d’une rançon pour éviter de financer un écosystème criminel.
Les montants des rançons faisant l’objet d’un chantage à la suite d’attaques de ransomwares augmentent depuis plusieurs années. Selon une analyse de Palo Alto Networks, la rançon moyenne payée par les entreprises en 2020 a triplé, passant de 115.123 dollars en 2019 à 312.393 dollars en 2020, avec un montant record pouvant atteindre 30 millions de dollars. Cette croissance reflète le changement de tactique des cyber-attaquants qui augmentent le pouvoir de levier de leurs victimes et n’hésitent plus à attaquer les grandes entreprises susceptibles de payer une rançon plus importante.
Pierre Fabre a été touché par une cyberattaque majeure, au point que certains sites de production ont été fermés. Le groupe pharmaceutique compte une soixantaine de sites, dont 15 en France.
Pierre Fabre sponsor du Castres Olympique
La cyberattaque contre Pierre Fabre s’est déroulée dans la nuit de mardi à mercredi. « Cependant, la distribution des produits ne sera pas interrompue », a indiqué la direction à l’AFP. Elle a également envoyé un SMS à ses employés, qui ont déclaré: «Après l’incident informatique, l’entreprise s’est complètement arrêtée. Un congé payé ou une journée de loisirs en 2020 est également imposé pour la journée du 1er avril ».
La situation a changé depuis. Le groupe affirme que «la propagation des virus informatiques est complètement contenue». Dans le même temps, ses opérations correctives (c.-à-d. Réparation) ont commencé à fournir un retour progressif à la normale.
Le système informatique de Pierre Fabre a été «immédiatement mis en veille pour empêcher la propagation du virus» à la lumière de la cyberattaque. «Cela a conduit à une fermeture progressive et temporaire d’une grande partie des activités de production à l’exception du site de production d’actifs pharmaceutiques et cosmétiques dans le Tarn», précise la direction.
Le groupe s’assure que la disponibilité de ses produits auprès des patients et des consommateurs reste assurée. En particulier, le centre de distribution de médicaments d’Ussel (en Corrèze) distribue des traitements anticancéreux livrés directement aux pharmaciens ou aux hôpitaux.
Le forum cybercriminel de Mazafaka, qui abrite des gangs d’élite, a lui-même été piraté et pas seulement un petit peu. Les attaquants ont pris le contrôle total du site, le supprimant et le défigurant, comme l’a noté The Record. Le site affiche désormais un document contenant les données des près de 3 000 utilisateurs du forum, avec un message d’avertissement: «Vos données ont été divulguées, ce forum a été piraté».
Outre Maza, d’autres forums sur la cybercriminalité ont dû faire face à des incidents de sécurité ces derniers mois: Verified, un pilier de l’industrie, a dû fermer temporairement après avoir volé son nom de domaine; Pendant ce temps, l’exploitation d’une violation de données a souffert; enfin, le criminel a réussi à s’emparer du compte d’un modérateur de Club2crd pour envoyer de fausses publicités. Ces noms de plates-formes ne vous parlent peut-être pas, mais ils font tous partie des marchés les plus populaires. Une chose ressort: les forums de cybercriminalité se battent de plus en plus pour protéger leurs utilisateurs. Cependant, comme il s’agit d’activités illégales, les utilisateurs n’hésiteront pas à les quitter si les utilisateurs ne font pas confiance à l’administration des forums. Le manque de confiance conduit ainsi à la fermeture des forums.
Après avoir formellement découragé il y a quelques jours et avec raison d’utiliser tout site suggérant de «vérifier» si vous ne faites pas partie des 500 000 personnes dont les nombreuses données de santé ont été volées à des laboratoires à des fins d’analyses médicales, présidente de la CNIL, Marie-Laure Denis, avait rapidement appréhendé le tribunal de Paris pour bloquer l’accès à un lieu qui héberge juste les informations personnelles et sensibles volées.
Le tribunal de Paris a rendu mercredi une décision exigeant que les FAI bloquent l’accès à un site contenant une base de données d’env. 500 000 patients.
Les États-Unis semblent être la principale cible des attaques sur les serveurs Exchange, mais il y a aussi des victimes en Europe.
Une semaine après les révélations sur les attaques sur les serveurs Exchange, il est encore difficile de donner une estimation du nombre de victimes. D’autant plus que les failles qui ont permis ces attaques sont désormais publiques et facilement exploitables.
Dans l’état actuel des choses, les cibles semblent être situées principalement aux États-Unis. Mais l’Europe n’est pas épargnée. Une marque victime a été signalée sur place: l’Autorité bancaire européenne. Elle a dû fermer ses systèmes de messagerie. Ses recherches n’ont révélé, dit-elle, ni filtrage de données ni propagation sur son réseau.
Le score CVSS est utilisé presque systématiquement pour évaluer le danger des vulnérabilités. Mais savez-vous quel calcul se cache derrière le score sur 10?
Il faut dire que la cybersécurité regorge de termes spécifiques et autres acronymes (et anglophones, d’ailleurs) pour qualifier les scénarios d’attaque. On parle de RCE, XSS, de « web shell » ou même d’élévation de privilèges. Les balles d’avertissement sont le plus souvent destinées aux spécialistes et n’utilisent que du jargon. Ils soulignent rarement les risques concrets qu’une nouvelle vulnérabilité pose au public.
«Depuis le début de l’année, un établissement de santé est victime d’une cyberattaque chaque semaine», a déploré Olivier Véran, avant de laisser entendre que l’État utiliserait «très rapidement» 350 millions d’euros pour renforcer les systèmes de protectioninformatique des hôpitaux français. groupes, un montant prélevé sur «l’enveloppe numérique» de Ségur de la Santé supérieur à 25 millions d’euros alloué à l’Agence nationale de sécurité des systèmes d’information (ANSSI) pour réaliser des audits et accompagner les établissements de santé.
Cybersécurité dans les hôpitaux
Bien que la pandémie de coronavirus ait secoué la majorité des gens, des industries et même l’État … à l’exception des pirates. En fait, même en pleine crise sanitaire, ces personnes sans scrupules se sont multipliées par les cyberattaques.
Les hôpitaux de Dax (Landes) et de Villefranche-sur-Saône font partie des hôpitaux qui ont subi des cyberattaques. Pire encore, ils ont perturbé les chirurgies et même l’accès des patients aux urgences. Face à ce fléau, le ministre des Solidarités et de la Santé Olivier Véran et le secrétaire d’Etat au Numérique, Cédric O, se sont rendus à l’hôpital de Villefranche-sur-Saône pour rencontrer le personnel soignant et présenter des mesures de sécurisation des réseaux informatiques des hôpitaux.
Cybersécurité Hyères
Le gouvernement aurait effectivement débloqué un budget de 350 millions d’euros de Ségur de Santé, une consultation qui a eu lieu en mai 2020, qui portait sur la révision du secteur de la santé et les mesures de sécurité à prendre pour protéger les hôpitaux contre les cyberattaques.
Apparemment, l’État a l’intention de procéder d’abord à des audits pour soutenir les hôpitaux dans leur processus de sécurité. Par ailleurs, le gouvernement souhaite également accélérer la mise en place du service national de cybersurveillance en coopération avec l’Agence du Numérique en Santé (ANS). Pour rappel, ce dispositif vise à détecter les points faibles du système d’information de l’hôpital afin d’y remédier au plus vite.
1 milliard de l’État
Emmanuel Macron souhaite renforcer la sécurité des entreprises, des hôpitaux et des administrations tout en augmentant le nombre de cyberattaques dans le monde. Le secteur est exhorté par l’État à doubler ses effectifs en quatre ans
Ce service a été mis en place en 2020 et priorise les demandes de 136 groupes hospitaliers de territoire (GHT).
Bien que l’État ait mis en place des mesures pour protéger les hôpitaux contre les cyberattaques, les conditions d’obtention des aides d’État sont nombreuses. D’autant plus que cette aide suscite au final plus de critiques car elle ne garantit finalement aucune protection des établissements de santé.
Le 4 mars, le site spécialisé Intelligence Online a annoncé une fuite massive de données de la part des services de renseignement militaires et étrangers français (DGSE). Selon les médias, les coordonnées de près de 5 000 personnes ainsi que des données médicales sensibles ont été piratées. Le site Web explique: «Selon nos archives, la base de données contient les mêmes données pour au moins 1 767 militaires. Ces derniers peuvent être identifiés par leur affiliation à la Caisse Nationale Militaire de Sécurité Sociale de Toulon ». Intelligence Online précise qu’un millier d’entre eux sont situés à Evreux et que 230 sont explicitement liés à la base aérienne 105. Cette base abrite notamment l’unité aérienne du service d’action de la DGSE. Des fichiers de près de 500 000 noms circulent sur un forum référencé par les moteurs de recherche. Ces noms sont associés à des données sensibles telles que le groupe sanguin, le médecin traitant, l’assurance maladie et même les mots de passe. Selon Liberation Cheknews, ces données sont similaires à des échantillons prélevés dans un laboratoire d’analyses médicales entre 2015 et octobre 2020.
Le site Intelligence Online, spécialisé dans les activités des personnels de renseignement, fait état d’une fuite majeure au sein de l’armée française. Selon lui, les données médicales de près de 5 000 personnes ont été piratées. Les informations sur les membres de la DGSE sont également concernées.
Sita, fournisseur de services informatiques pour 90% des compagnies aériennes, met en garde contre un « incident de sécurité des données » après avoir été victime d’une « attaque très sophistiquée ».
Sita, le fournisseur informatique de l’industrie aéronautique mondiale, confirme avoir été victime d’une cyberattaque. Les attaquants ont eu accès aux informations personnelles des passagers aériens.
La société de technologie de l’information et de la communication, qui prétend desservir environ 90% des compagnies aériennes du monde, affirme que le 24 février 2021, une cyberattaque a entraîné un « incident de sécurité des données » impliquant des données de passagers stockées sur les serveurs SITA Passenger. Service System Inc. (qui gère le traitement des données des billets d’avion et des passagers) à Atlanta, Géorgie, États-Unis.
Dans un communiqué, la société a décrit l’incident comme une « attaque très sophistiquée » et a déclaré qu’elle « avait agi rapidement » pour contenir l’incident, qui fait toujours l’objet d’une enquête par l’équipe de sécurité de Sita avec des experts externes en cybersécurité.
Certaines compagnies aériennes ont détaillé les informations auxquelles les attaquants avaient accès pendant l’attaque, en mentionnant que des données sur les voyageurs fréquents – telles que leur nom, leur statut et leur numéro de membre – ont été volées.
Un e-mail envoyé aux clients d’Air New Zealand indique que la violation de données n’inclut pas les mots de passe, les informations de paiement, les informations de passeport ou les adresses de contact.
Le chiffre exact du nombre de passagers touchés par l’infraction reste incertain car Sita n’a pas encore répondu publiquement à la question. Mais un article publié dans The Guardian suggère que des centaines de milliers de passagers auraient pu se faire voler leurs informations.
«Nous reconnaissons que la pandémie de Covid-19 a soulevé des inquiétudes quant aux menaces à la sécurité, et que dans le même temps, les cybercriminels sont devenus plus sophistiqués et plus actifs», affirme la société.
Les compagnies aériennes unies dans le cadre de la Star Alliance, notamment Singapore Airlines, Air New Zealand et Lufthansa, ont mis en garde les passagers contre les violations de données Sita. C’est également le cas de certaines compagnies aériennes de la One World Alliance, notamment Malaysia Airlines, Finnair, Japan Airlines et Cathay Pacific. La compagnie aérienne sud-coréenne JeJu Air a également envoyé un e-mail à ses passagers au sujet de l’incident.
Sita n’a pas confirmé la nature exacte des informations auxquelles les pirates ont accès.
Socialarks, une entreprise chinoise, a subi une énorme fuite d’informations personnelles. Safety Detective, qui l’a découvert, rapporte que 214 millions de comptes Instagram, Facebook et LinkedIn sont concernés.
Socialarks
214 millions de comptes Facebook, Instagram et LinkedIn ont été compromis. Un détective de sécurité, dont la mission est d’identifier les vulnérabilités de sécurité des serveurs, a découvert que la société chinoise Socialarks était responsable d’une fuite massive de données personnelles. La société, spécialisée dans la gestion des réseaux sociaux et le développement de marques en Chine, a stocké les données de millions d’utilisateurs, plus de 400 Go, sur un serveur non sécurisé appartenant à Tencent. Dans son article, l’équipe de sécurité détective explique « que le serveur ElasticSearch a été exposé publiquement sans protection par mot de passe ni cryptage ». Plus précisément, le manque de sécurité a permis à chacun d’accéder aux informations sur les utilisateurs concernés. Selon Safety Detective, ceux-ci ont été récupérés grâce au « Datascrapping ». C’est l’ambition des données personnelles disponibles sur les réseaux sociaux. Si l’approche est légale et déjà utilisée par de nombreuses entreprises, c’est le manque de mesures de sécurité nécessaires pour protéger les données collectées qui pose problème. Ce n’est pas la première fois que Socialarkas est touché par une telle violation de données, car il avait déjà révélé les informations sur 150 millions de comptes en août de l’année dernière.
Données sensibles Parmi les données collectées par l’entreprise, on retrouve principalement des informations qui sont communiquées par les utilisateurs directement sur les différents réseaux sociaux. Ainsi, les noms, les noms des utilisateurs, les liens vers les profils, les surnoms des différentes plateformes, les photos de profil et la description des comptes dans le fichier sont saisis. D’autre part, Safety Detective a également remarqué qu’il y avait également des informations plus sensibles sur le serveur. En fait, pour Instagram, par exemple. 6 millions d’adresses e-mail d’utilisateurs ont été enregistrées, alors que ces informations n’avaient pas été diffusées sur les différentes plateformes par les internautes. Les experts ne peuvent expliquer leur présence.
Plus de 810 000 comptes Français concernés
Une telle fuite de données est forcément très dangereuse pour les utilisateurs concernés. L’exposition à ces informations les rend vulnérables aux attaques en ligne telles que le vol d’identité, la fraude financière sur d’autres plateformes, y compris les services bancaires en ligne. Les informations de contact de l’utilisateur peuvent également être utilisées pour envoyer des e-mails personnels. Nous devons donc accorder une attention particulière. .
Les codes sources de Microsoft, Cisco et SolarWinds ainsi que les outils de piratage de FireEye sont proposés pour un million de dollars.
Code source de Microsoft, Cisco Internal Vulnerability Manager, outils de piratage FireEye, fiche client SolarsWinds … Les prétendus hackers russes de ce hack, qui a touché plus de 250 organisations à travers le monde, viennent de créer le site « solarleaks.net », où ils vendent plusieurs gigaoctets des données volées à des entreprises piratées. Un site a été créé.
Les débits de données sont élevés. Comptez ensuite 600 000 $ pour les données Microsoft, 500 000 $ pour les données Cisco et 250 000 $ pour les données SolarsWinds. Les données de FireEye sont les plus abordables car elles ne valent «que» 50 000 $. L’entrepôt entier est offert pour aussi peu qu’un million de dollars. D’autres données seront publiées dans les semaines à venir. « Pensez-y comme un premier jet », disent les hackers.
Avez-vous un fort sentiment de déjà vu? Oui, cette façon de faire est très similaire au groupe Shadow Brokers, qui en 2016/2017 avait sorti des outils de piratage volés à la NSA et souhaitait en vendre d’autres sur Internet (même sous la forme d’un abonnement mensuel, lol). Si vous êtes intéressé, il est trop tard car l’adresse e-mail et les liens sur le site ne fonctionnent plus.
Quoi qu’il en soit, ce n’est probablement pas une offre de bonne foi. Les pirates de SolarWinds ont probablement été pilotés par une agence de renseignement russe. Le but est donc plus de créer une diversion et de ridiculiser les victimes que de gagner de l’argent.
En novembre 2020, Capcom a subi une attaque majeure sur ses serveurs. Et si l’on en croit les dernières informations sur ce sujet, des dizaines de milliers de personnes ont été touchées.
Jeux vidéo
Lors de cette cyberattaque, dont l’éditeur japonais a été victime, de nombreuses données personnelles ont été volées à la fois aux employés et aux utilisateurs. Les noms et adresses de ces derniers se rapportent. De plus, des informations confidentielles sur divers jeux comme Resident Evil Village et Monster Hunter Rise sont apparues sur Internet après l’incident.
Malheureusement, cet accident a eu plus de conséquences que prévu. Aujourd’hui, Capcom affirme qu’environ 390 000 personnes ont été directement touchées par la cyberattaque. C’est 40 000 de plus par rapport au communiqué de presse précédent. Les pirates ont également volé des documents financiers appartenant à l’entreprise.
134 000 joueurs touchés
En détail, Capcom mentionne le fait que les informations personnelles de 3 248 partenaires commerciaux, 3 994 employés et 9 164 anciens employés ont été volées de cette manière. En termes de joueurs, 134 000 fichiers ont été volés au service client japonais, 14 000 sur la boutique en ligne nord-américaine et 4 000 sur le site d’esports.
Suite à l’invasion d’entreprises à travers le monde, on dit que le groupe de rançongiciels Ryuk a mis 150 millions de dollars dans la poche avec le paiement d’une rançon.
Les opérateurs de ransomware Ryuk auraient gagné plus de 150 millions de dollars en Bitcoin en payant de l’argent de piratage à des entreprises du monde entier.
c’est pas très clair!
La société de renseignement sur les menaces Advanced Intelligence (AdvIntel) et la société de cybersécurité HYAS ont publié jeudi une étude qui suit les paiements effectués sur 61 adresses Bitcoin, précédemment attribuées et liées aux attaques de ransomware de Ryuk.
« Ryuk reçoit une partie importante de la rançon d’un courtier bien connu qui effectue des paiements au nom des victimes du ransomware », affirment les deux sociétés. «Ces paiements s’élèvent parfois à des millions de dollars, mais ils se comptent généralement par centaines de milliers. «
AdvIntel et HYAS expliquent que les fonds extorqués sont collectés sur des comptes de dépôt, puis transférés au blanchiment d’argent. Ensuite, soit ils retournent au marché noir et sont utilisés pour payer d’autres services criminels, soit ils sont échangés dans un véritable échange de crypto-monnaie.
Mais ce qui a le plus attiré l’attention des enquêteurs, c’est que Ryuk a converti son Bitcoin en véritable monnaie fiduciaire à l’aide de portails de crypto-monnaie bien connus tels que Binance et Huobi – probablement via des identités volées. D’autres groupes de ransomwares préfèrent généralement utiliser des services d’échange plus obscurs.
Cette enquête met également à jour nos chiffres sur les activités de Ryuk. Les derniers chiffres étaient datés de février 2020, après que des collaborateurs du FBI se soient exprimés lors de la conférence RSA. À l’époque, le FBI affirmait que Ryuk était de loin le groupe de ransomware actif le plus rentable avec plus de 61,26 millions de dollars générés entre février 2018 et octobre 2019, selon les plaintes reçues par son «Internet Crime Complaint Center».
Cette nouvelle étude de 150 millions de dollars montre clairement que Ryuk a conservé sa place au sommet, du moins pour le moment.
Au cours de l’année écoulée, d’autres groupes de ransomwares – tels que REvil, Maze et Egregor – se sont également fait un nom et ont été très actifs et ont infecté des centaines d’entreprises. Cependant, à l’heure actuelle, aucun rapport ne permet d’estimer les sommes déclarées de ces groupes. L’enquête la plus récente de ce type était celle de la société de cybersécurité McAfee, publiée en août 2020, qui estimait que le groupe de ransomware Netwalker avait accumulé environ 25 millions de dollars de rançon entre mars et août 2020.
Les ransomwares ou ransomwares étaient déjà de loin la plus grande menace cybernétique en 2020, et ils continuent de croître à un rythme alarmant.
« 10 jours pour changer leur décision. » C’est l’avertissement que le gang Avalon a envoyé à l’une de leurs victimes via leur blog. Le groupe criminel informatique a paralysé le système informatique d’une organisation avec son ransomware, et maintenant ils veulent forcer leur victime à payer une rançon en échange d’une promesse de revenir à la normale.
Augmenter la pression sur la victime
Pour y parvenir, les voyous utilisent une méthode d’extorsion qui est malheureusement populaire depuis plus d’un an: les menaces contre les violations de données. L’entreprise ne souhaite-t-elle pas récompenser les cybercriminels en payant une rançon? Eh bien, il devra gérer la crise provoquée par la fuite ou la vente de ses données clients: un incident qui risque de ternir encore plus son image et d’entraîner la résiliation de contrats encore nécessaires à sa survie.
Attaque DDoS
Comme si ce double chantage ne suffisait pas, Avalon ajoute une autre couche: « Le site est actuellement sous attaque DDoS et nous l’attaquerons jusqu’à ce que la société nous contacte. » En d’autres termes, même si la victime parvient à récupérer progressivement certains de ses outils et services, les cybercriminels sont obligés de les faire dysfonctionner d’une manière différente. Une attaque DDoS consiste à surcharger un site Web en lui envoyant un grand nombre de requêtes au point qu’il s’exécute lentement ou même cesse de fonctionner. Pour les cybercriminels aussi riches que les opérateurs de ransomwares, il s’agit d’une attaque bon marché car il vous suffit de louer quelques machines. Bien sûr, il existe de nombreux outils et méthodes pour gérer et absorber ce type d’attaque, mais c’est un autre problème auquel les victimes doivent faire face si les équipes de sécurité sont déjà débordées par la gestion des ransomwares.
Comme le souligne Bleeping Computer, Avalon n’est pas le premier gang à utiliser ce type de menace – deux autres l’ont fait dès octobre 2020 – mais cela pourrait être un signe que cette tendance se généralisera parmi les cybercriminels.
Cette pratique est une autre mauvaise nouvelle pour les victimes, confrontées à des voyous dont les moyens et l’imagination croissent à un rythme excessif. Certains commencent à harceler leurs victimes par téléphone, d’autres contre-communiquent en achetant des paris publicitaires sur Facebook. d’autres encore impriment leur note de rançon sur tous les photocopieurs de leurs victimes
Comment ne pas être tenté de payer la rançon quand la pression est forte? Aujourd’hui, tout le monde est d’accord sur le principe: les mauvais ne doivent pas être payés. Céder à leurs demandes, c’est les encourager à poursuivre leurs opérations; la rançon finance leur développement, de sorte qu’à chaque fois ils reviennent avec un modus operandi plus sophistiqué; et de plus, il n’y a aucune garantie que les cybercriminels respecteront leur résiliation du contrat: Parfois, les rançons doublent le montant demandé après une première validation de leur victime.
Beaucoup paient.
Parce qu’il est long et coûteux de restaurer votre système d’une autre manière et peut augmenter le fardeau de l’entreprise bien plus que payer une rançon. Parce que la pression est trop forte aussi. Menaces de fuite, pression sur les employés et maintenant DDoS, c’est trop de problèmes à gérer, trop de dommages potentiels pour l’entreprise.
Certes, les entreprises de sécurité réalisent parfois de petits gains par rapport aux cybercriminels. Mais parviendront-ils un jour à freiner le cercle vicieux qui équilibre leurs relations de pouvoir avec les gangs?
C’est l’une des plus grosses fuites, gigantesque, dangereuse dans les détails des données et très facile à obtenir.
Des fuites de données critiques détruisent la vie de presque tous les citoyens brésiliens
Il est difficile d’imaginer un pire désastre. Mardi 19 janvier, la société de sécurité PSafe a identifié une fuite très inquiétante car elle permettait d’accéder à des données plus critiques de plus de 220 millions de Brésiliens, plus que la population dans son ensemble (et pour cause: la base de données contient également des données sur les personnes décédées. ).
Trois jours plus tard, le site spécialisé Tecnoblog a découvert que non seulement un voleur avait découvert la fuite et téléchargé les données (en août 2019), mais qu’il les avait également postées sur un forum de vente accessible à tous. Certaines des données peuvent être téléchargées gratuitement, le reste peut être acheté au détail.
L’une des raisons pour lesquelles nous parlons de données critiques est que la base de données contient le « Cadastro de Pessoas Físicas » (CPF) des victimes et, dans certains cas, même une photocopie de la carte où ce numéro est écrit. En France, le CPF correspond au numéro fiscal, l’identifiant associé au paiement de la taxe. La simple présence de CPF suffit pour considérer le risque de fraude ou d’usurpation d’identité.
Mais en plus, il est livré avec un certain nombre de données terriblement précises. Respirez profondément, voici une liste non exhaustive de ce que contient la base de données pour chacun, ou presque:
Nom, prénom, date de naissance, nom des deux parents, état matrimonial, niveau de scolarité. Email, numéro de téléphone, adresse (nom exact de la rue, mais aussi coordonnées GPS). Plusieurs équivalents du numéro de sécurité sociale et détail de certaines prestations régulières correspondant aux caisses complémentaires familiales françaises. Détails sur le ménage: nombre de personnes, niveau de revenu. Informations sur l’emploi: nom légal et pièce d’identité de l’employeur, type d’emploi, statut d’emploi, date d’emploi, salaire, nombre d’heures par La semaine. Estimation du revenu: ce calcul prend en compte le salaire, le loyer ou encore l’encaissement d’une éventuelle rente. Ces données sont utilisées pour classer les personnes par niveau de classe sociale (faible, moyen, élevé) et par niveau de revenu. Toutes sortes de données financières: détails de la cote de crédit; le nom du débiteur et l’ID du statut de la dette de la banque du mauvais payeur. Avec tous ces éléments, le fichier, même au format texte, pèse plus de 14 gigaoctets. Dans le détail, il contient 37 bases de données distinctes, signe que l’auteur de l’infraction avait accès à l’ensemble du système d’une entreprise et pas seulement à une ou deux bases de données mal sécurisées.
Qui peut posséder une telle quantité de données critiques? Le détaillant a appelé le fichier « Serasa Experian », le nom d’une société de crédit brésilienne. Bien que la cybercriminalité ne puisse être tenue pour acquise, la base de données contient plusieurs calculs économiques utilisés par Seresa Experian, dont Mosaic, l’un de ses services de classification dédié au ciblage publicitaire. La société contrevenante a déclaré qu’elle avait ouvert une enquête mais n’avait jusqu’à présent trouvé aucune preuve de cambriolage dans son système.
En attendant d’en savoir plus sur les événements qui ont conduit à la fuite, le Brésil doit faire face à une crise nationale de cybersécurité et à une véritable crise de confiance dans les communications. La base de données est une opportunité en or pour les cybercriminels, petits et grands. Il permettra d’établir des hameçonnages massifs et de sélectionner les cibles les plus pertinentes parmi la quasi-totalité de la population. Plus précisément, les criminels peuvent cibler les personnes peu scolarisées, celles qui vivent dans une région particulière ou même s’attaquer aux revenus élevés. Pas besoin de chercher un moyen de les contacter, tout est dans la base de données. Ils peuvent repousser leur attaque par e-mail, téléphone ou lettre en fonction de leur cible.
D’autres utilisations peuvent avoir des conséquences encore plus importantes. Alors que la menace des ransomwares envahit les entreprises, ce type de fuite augmente considérablement le risque. Pour rappel, ce malware se propage aux victimes des systèmes d’entreprise et crypte tout ce qu’il trouve. Les logiciels d’entreprise (e-mails, progiciel bureautique, outils professionnels, etc.) deviennent inutilisables, tout comme les équipements informatiques (ordinateurs, copieurs, ports de sécurité, etc.) et les documents confidentiels ne peuvent plus être lus. C’est alors que les criminels exigent une rançon – allant de quelques centaines de milliers à des dizaines de milliers de millions d’euros – pour une promesse de lever le blocus des systèmes.
Pour pénétrer par effraction dans leur domicile, les intimidateurs ciblent les employés de l’organisation cible qui ont un niveau élevé de responsabilité et d’accès au réseau. L’objectif: infecter le patient zéro, qui infectera très probablement rapidement le reste du réseau. Ils créent donc des phishings sur mesure, qu’ils vivent de données collectées par eux-mêmes ou de fuites. C’est là que réside l’intérêt de la base de données attribuée à Serasa Experian. Il permet un ciblage direct des personnes d’intérêt telles qu’elles sont répertoriées comme telles dans le fichier. Mieux encore, il fournit plus que suffisamment de détails pour créer une arnaque de phishing très convaincante.
Bien que toutes les violations de données n’aient pas de conséquence, elles pourraient façonner les prochaines années avec la cybersécurité brésilienne.
Un serveur Git utilisé par Nissan est resté exposé en raison d’une configuration incorrecte des identifiants qui permettent d’accéder à divers outils internes d’applications mobiles du constructeur.
En laissant la paire nom d’utilisateur et mot de passe par défaut lors de la configuration du serveur Git, il était facile pour tout le monde de se connecter à son compte Nissan North America et d’accéder aux différents fichiers de développement.
Informé par une source anonyme, Tillie Kottman, ingénieur logiciel basé en Suisse, a déclaré à ZDNet que divers codes sources étaient disponibles en raison d’une configuration non sécurisée des informations d’identification sur l’un des serveurs Git utilisés par Nissan North America.
Ainsi, le code source des applications mobiles Nissan NA, une partie de l’outil de diagnostic Nissan Assist, les outils distributeurs, les outils marketing, les services liés au véhicule et d’autres fichiers pouvaient être consultés librement.
NISSAN Hyères
Le serveur incriminé a été rapidement neutralisé après que les fichiers ont commencé à circuler sur Internet via des liens torrent sur Telegram et des sites de piratage dédiés.
Après avoir pris connaissance du problème et mis hors ligne le serveur Git contrefait, Nissan a commenté la fuite vers ZDNet: «Nissan a immédiatement enquêté sur l’accès incorrect au code source propriétaire de l’entreprise. Nous prenons ce problème au sérieux et sommes convaincus qu’aucune donnée personnelle sur les consommateurs, les détaillants ou les employés n’était disponible avec cet incident de sécurité. Le système concerné est sécurisé et nous sommes convaincus qu’il n’y a aucune information dans le code source exposé qui pourrait mettre en danger les consommateurs ou leurs véhicules. «
Au printemps dernier, Mercedes a également rencontré une fuite de données, également due à une configuration incorrecte d’un serveur.
Entre Noël et le jour de l’an, la ville de La Rochelle et la ville d’Annecy ont été victimes de cyberattaques. Malgré la paralysie des services et l’affichage des preuves de piratage, les deux administrations ont choisi de ne pas payer de rançon pour accéder aux données.
C’est la nouvelle star des malwares, les «ransomwares». Les hackers n’endommagent ni ne volent plus de données, ce qui les motive maintenant, c’est de l’argent, et pour débloquer une cyberattaque, ils exigent une rançon, d’où le terme «ransomware» ou «ransomware». vécu plus d’une semaine.
Lundi, les hackers du groupe Netwalker ont revendiqué la responsabilité de l’attaque, et il ne sera pas surprenant d’apprendre qu’ils sont russes. Pour prouver qu’ils étaient en fait les auteurs de cette cyberattaque, ils ont téléchargé des visuels comme preuve des données «récupérées». Cité par France Bleu, celui choisi garantit qu’il ne s’agit que « d’une capture d’écran de fichiers qui ne signifie pas que les informations qu’il contient sont extraites et exploitées ».
Cependant, les hackers demandent une rançon et ils menacent de publier les données «récupérées» sur une trentaine de serveurs de la ville. Leur ultimatum est de 14 jours, et un compte à rebours est mis sur les serveurs lorsque les employés de la mairie tentent d’accéder aux données. «Nous ne savons pas exactement ce qu’ils ont pris et nous n’avons actuellement aucune preuve qu’ils détiennent des données importantes», précise le Parisien des techniciens chargés de rétablir l’accès aux différents services, comme le civil statut, DRH ou services généraux.
Ils menacent de publier les données «récupérées»
Du côté de la ville, nous avons porté plainte et une enquête judiciaire est en cours. Et si jamais les données étaient vraiment mises en ligne, la mairie assure qu’elle avertira ses citoyens, mais dans l’immédiat, l’objectif n’est pas de céder au chantage. Un accident qui touche aussi l’urbanité d’Annecy, et bien que les 1.200 fonctionnaires n’aient plus accès à leurs emails et que les services n’aient pas été rétablis, nous avons également choisi de ne pas céder au chantage, et nous sommes surtout étonnés que être la cible des pirates.
Ceci est d’autant plus dommageable en cette période de pandémie que les services ne sont proposés qu’en ligne, notamment pour les personnes âgées. À l’heure actuelle, cette attaque n’a pas été revendiquée, mais le modus operandi semble être identique. D’ailleurs, le groupe Netwalker avait déjà frappé en France plus tôt, et cet été il était soupçonné d’être à l’origine de la cyberattaque contre les compagnies d’assurance MMA.
Netwalker avait déjà frappé en France plus tôt
Plusieurs grandes entreprises françaises avaient subi des attaques de la part de ce groupe russophone, et l’un des points d’entrée était un PC sous Windows 7, qui n’avait pas été mis à jour. Qu’il s’agisse de logiciels ou de matériel, les pirates sont plus que souvent heureux d’exploiter des vulnérabilités non corrigées. Autre passerelle: le courrier électronique via le phishing et la période des fêtes est la raison idéale pour envoyer de fausses cartes de vœux qui cachent des logiciels malveillants.
CrowdStrike a découvert un autre malware impliqué dans l’attaque de SolarWinds, appelé Sunspot. Il a permis au code Sunburst d’être inséré dans le code source d’Orion, le logiciel SolarWinds compromis par des pirates.
SolarWinds compromis par des pirates.
Un par un, les mystères restants du piratage d’entreprise de SolarWind ont été résolus. CrowdStrike, l’une des sociétés chargées d’enquêter sur l’incident, a publié le 11 janvier un rapport sur des logiciels malveillants jusque-là inconnus impliqués dans la cyberattaque. Ce malware appelé « Sunspot » serait le premier maillon de l’attaque avant le désormais célèbre « Sunburst ».
Il aurait été introduit sur le serveur d’une entreprise dès septembre 2019. Plus précisément, Sunspot a infecté le moteur de production de SolarWind, le système responsable de l’assemblage des logiciels du groupe. Son objectif: espionner l’usine du logiciel Orion, le logiciel de gestion de réseau de l’entreprise.
Comme le note ZDNet, après une phase d’observation, Sunspot a inséré le code nécessaire pour créer le cheval de Troie Sunburst dans le code source d’Orion. Résultat: entre mars et juin 2020, si un client SolarWinds a installé la mise à jour logicielle, Sunburst s’est installé via le même canal. Ce dernier a ouvert une porte aux serveurs des victimes – plus de 18 000 organisations – dans laquelle les hackers pouvaient pénétrer.
Ils ont ensuite dû déposer manuellement un troisième logiciel malveillant, encore plus puissant, appelé « Teardrop », sur des systèmes proches des organisations qu’ils avaient en vue. Ils ont continué à espionner 250 organisations, dont de nombreux départements et agences du gouvernement américain: armée, renseignement, énergie… Ce sont des domaines critiques compromis par des hackers, « probablement » russes selon les autorités américaines.
L’attaque sur SolarWinds a donc duré de septembre 2019 à juin 2020 et n’a été découverte qu’en décembre 2020. C’est un constat d’échec pour l’entreprise victime, qui a désormais confié l’amélioration. de sa sécurité aux grands noms du secteur.
De leur côté, les enquêteurs ont presque atteint le bout de la chaîne des attaques. Il ne leur reste plus qu’à comprendre comment les pirates ont réussi à implémenter Sunspot sur le moteur de production SolarWinds. Les hypothèses sont répandues, mais cet élément reste un mystère pour le moment. Ensuite, ils devront décider qui a organisé l’attaque: les Russes, mais qui exactement? Certains médias, dont le Washington Post, évoquent APT29, surnommé Cozy Bear, un groupe de hackers d’élite affiliés à l’une des agences de renseignement russes.
La société Fareva, qui travaille principalement sur la commercialisation d’un vaccin contre Covid-19, est paralysée depuis le 15 décembre par une cyberattaque de type ransomware. On espère que les systèmes seront à nouveau utilisés avant la fin de la semaine.
Leader mondial de la sous-traitance industrielle
Le sous-traitant pharmaceutique Fareva lutte contre les ransomwares depuis le 14 décembre, et le redémarrage de son unité de production se fait lentement, selon les informations de France Bleu Touraine.
L’attaque a été annoncée dans la presse le 17 décembre: selon Les Echos, c’est le centre de données de l’entreprise basé à Savigny-le-Temple qui a été touché. En effet rebond, plusieurs usines du groupe spécialisées dans le transport et le conditionnement de produits pharmaceutiques et cosmétiques ont été fermées par l’attaque, selon le quotidien. Un reportage que la direction termine avec Les Echos, indiquant que seuls les sites français seraient concernés par l’attaque.
La direction du groupe a alors confirmé que la réponse rapide de l’équipe informatique avait permis de limiter les pertes de données et prévoyait le retour des sites de production à partir du 4 janvier. Mais selon France Bleu Touraine, citant des sources syndicales, les machines de l’usine d’Amboise sont toujours restées immobiles lundi, la quasi-totalité des ouvriers de l’usine étant en emploi de courte durée depuis le 22 décembre. La reprise progressive de l’activité sur place est désormais attendue ce week-end.
Fareva est une société basée au Luxembourg. Il a notamment été choisi par le groupe allemand CureVac pour conditionner le vaccin contre Covid-19. Pour le président du groupe Bernard Fraisse, le lien entre l’attentat et l’annonce serait « évident ».
Et l’hôpital de Hyères?
Outre Fareva, plusieurs hôpitaux français ont été victimes de cyberattaques en décembre: le centre hospitalier d’Albertville-Mûtier en Savoie a annoncé avoir été touché par un ransomware le 22 décembre. Le centre hospitalier a pu continuer à fonctionner dans un accident, mais plusieurs services et équipements ont été rendus inaccessibles par l’attaque. Plus tôt ce mois-ci, c’était l’hôpital de Narbonne qui avait déclaré avoir été victime d’une cyberattaque, mais cette fois, il s’agissait d’exploiter la puissance de calcul de ses équipements pour extraire de la crypto-monnaie. Si les dégâts ont été limités, les mesures prises pour désinfecter le système d’information ont contraint les salariés de l’entreprise à travailler plusieurs jours sans accès à Internet.
En décembre, les agences de cybersécurité française et allemande ont publié une déclaration commune mettant en garde le secteur contre la recrudescence des attaques contre les organismes de santé.
Le secteur de la santé a été confronté à plusieurs attaques en décembre 2020. L’attaque contre l’Agence européenne des médicaments au début du mois a permis à des tiers non autorisés d’accéder aux documents connexes. l’approbation des vaccins. IBM a également signalé une augmentation des attaques de phishing ciblant les entreprises chargées de fournir des vaccins. À l’échelle mondiale, Checkpoint confirme une tendance similaire, indiquant qu’il a connu une augmentation de 45% des attaques ciblant le secteur de la santé depuis novembre 2020.
Le centre hospitalier Albertville-Moûtiers en Savoie est victime d’une cyberattaque depuis le lundi 21/12/2020. Elle a endommagé ses serveurs informatiques.
Le directeur et le directeur délégué, Guy-Pierre Martin (à droite) et Pierre Idée
Quelques jours après l’hôpital de Narbonne, qui a été touché par une cyberattaque infectant ses serveurs, le Centre Hospitalier Albertville-Moûtiers (CHAM) en Savoie a de nouveau été confronté à un virus informatique qui a endommagé son système d’information. Découvert le lundi 21 décembre, vers 18 h. 4, la cyberattaque provoquée par un virus «ransomware» rendu inaccessible «à un certain nombre d’équipements, de serveurs, de logiciels et d’une partie du réseau informatique». Comme l’a indiqué l’hôpital dans un communiqué de presse mercredi. Outre les hôpitaux d’Albertville et de Moûtiers, deux EHPAD ont également été , soutenu par CHAM, concerné.
Dès que l’attaque a été découverte, tout le réseau informatique de l’hôpital a été fermé, rendant impossible l’accès aux dossiers des patients et aux dossiers de traitement. «C’est très compliqué pour tous les services, nous sommes limités par l’ordinateur, et ça risque de durer», explique un officier hospitalier.
Les connexions informatiques à l’hôpital voisin de Chambéry, dont la gestion est partagée avec le centre hospitalier d’Albertville-Moûtiers, ont été suspendues à partir de lundi pour éviter de propager le virus. «Nous avons été informés lundi après-midi qu’une attaque assez grave avait eu lieu à Albertville et que tous les systèmes centraux de communication avaient été cryptés par le virus», explique un membre du personnel de l’hôpital de Chambéry.
Malgré sa virulence, l’attaque ne mettrait pas en péril le fonctionnement de l’établissement. La protection respiratoire et les salles d’opération, la plateforme d’imagerie et les urgences « fonctionnent normalement », précise l’hôpital.
Se défendre contre cette menace en constante évolution n’est pas une mince affaire, mais un bon point de départ est de comprendre où se trouvent les points faibles et comment ils sont exploités.
Tous les experts conviennent que les cybermenaces se sont intensifiées ces derniers mois avec l’augmentation des demandes de rançon et des tactiques que l’on peut qualifier d’impitoyables.
Personne n’est épargné par des organismes publics comme les villes de Vincennes et Aulnoye-Aymeries il y a quelques semaines aux plus grandes entreprises privées comme Bouygues Construction, CMA-CMG ou Sopra-Steria.
Les cybercriminels parviennent à trouver de nouvelles façons de contourner les défenses des entreprises grâce à des attaques plus sophistiquées et ciblées. Se défendre contre cette menace en constante évolution n’est pas une mince affaire, mais un bon point de départ est de comprendre où se trouvent les points faibles et comment ils sont exploités.
Les personnes restent le maillon faible de la cybersécurité
Il suffit d’un clic sur un lien de phishing pour faire le travail: les défenses du réseau sont brisées et les logiciels malveillants sont infiltrés.
Renforcer sa défense contre la négligence humaine nécessite non seulement de former les employés à la sensibilisation à la cybersécurité, mais aussi d’introduire des outils pour filtrer les contenus malveillants avant qu’ils ne causent des dommages. Mais comme la cybersécurité n’est pas une science exacte, même les plans les mieux conçus doivent être continuellement revus et adaptés afin de ne pas être dépassés par le rythme fou du développement des cybermenaces.
Prenons, par exemple, l’augmentation massive du télétravail pendant la pandémie.
Ce nouveau «standard» offre aux hackers une toute nouvelle audience et une cible facile qui n’ont pas l’habitude de se protéger des menaces. Ces nouvelles habitudes de travail ont conduit à une augmentation des attaques RDP (Remote Desktop Protocol) de Microsoft dans le monde, selon le fournisseur de sécurité Kaspersky.
Les mails comme porte d’entrée
Les cybercriminels sont bien conscients que chaque industrie présente des vulnérabilités spécifiques. Ils exploitent ces vulnérabilités en passant de campagnes de phishing massives à des attaques plus ciblées. Par exemple, certaines se concentrent sur des entreprises individuelles, généralement de haut niveau, car elles ont souvent beaucoup à perdre, tandis que d’autres ciblent un secteur particulier en utilisant des logiciels malveillants adaptés aux technologies utilisées dans ce secteur.
Dans certains cas, ils utilisent les deux, comme lors de la récente attaque Honda. Le piège dans ce cas était une variante du ransomware Snake qui pouvait à la fois désactiver les mesures de protection et cibler les systèmes d’exploitation SCADA industriels utilisés dans la fabrication de véhicules.
Les attaques de ransomwares deviennent rapidement une «entreprise» de plus en plus diversifiée. Les victimes risquent désormais de voir leurs données sensibles collectées lors d’une attaque de cryptage. Il devient également de plus en plus clair que les ransomwares ciblent régulièrement les systèmes de sauvegarde et de reprise après sinistre ainsi que les données en temps réel. Du moins en apparence car il faut du temps pour vérifier l’intégrité de ces défenses …
Suivez l’actualité de ransomware
Que peut faire une entreprise pour se protéger de ce qui est aujourd’hui l’une des plus grandes menaces pesant sur son système informatique? Il n’y a pas de réponses faciles ou d’outils simples qui peuvent résoudre le problème.
Plutôt qu’une solution miracle, c’est plutôt une approche méthodologique qu’il faut privilégier: sensibiliser et éduquer les utilisateurs finaux sur la sécurité, mettre à jour les outils anti-malware sur les postes de travail et l’infrastructure, et s’assurer que les stratégies et outils de sauvegarde sont suffisamment robustes pour faire face aux menaces contre les ransomwares et permettre un retour rapide à la normale.
Toutes ces mesures méritent d’être envisagées, mais en tant que dernière ligne de défense, c’est la protection qui est la plus importante. D’autant que l’utilisation de périphériques NAS (Network Attached Storage) pour la sauvegarde et l’archivage est répandue et qu’ils sont en eux-mêmes une cible facile. C’est la «partie réseau» qui expose les périphériques NAS au plus grand risque, les rendant faciles à identifier et, une fois trouvés, faciles à attaquer. Souvent sans que personne ne le sache jusqu’à ce que les demandes de rançon arrivent dans la boîte de réception.
La première approche consiste à verrouiller le réseau auquel les périphériques NAS sont connectés, tout en s’assurant que le micrologiciel du NAS est à jour avec toutes les dernières mises à jour de sécurité. Au-delà, il est intéressant de profiter de l’authentification à deux facteurs lorsqu’elle est disponible, et de SSL pour mieux sécuriser l’accès à distance si nécessaire.
Les bonnes pratiques contre les ransomwares
D’autres bonnes pratiques incluent le blocage automatique des adresses IP après l’échec répété d’attaques de connexion par «force brute», ainsi que l’utilisation du cryptage des données et des pare-feu spécifiques au NAS.
En matière de cybersécurité, il vaut mieux être très prudent. Autrement dit, effectuez des sauvegardes fréquentes et régulières du stockage NAS et stockez ces copies à distance (de préférence hors site) et sans connexion au réseau. C’est le seul moyen de garantir qu’il existe une version propre et récupérable des données qui n’est pas obsolète.
Sans oublier, cependant, que cela doit être combiné avec des contrôles d’intégrité réguliers et des analyses de logiciels malveillants pour s’assurer que les données copiées ne sont pas déjà compromises.
La menace du ransomware cessera-t-elle un jour de planer? Possible, mais sûr, de faire de la place à une menace au moins aussi grande. C’est pour cette raison que de nombreuses entreprises cherchent à le désinfecter au niveau du stockage de données avec les capacités de stockage d’objets, de contrôle de version, de technologie WORM (Write Once Read Many) et de systèmes de fichiers immuables.
Gartner prédit qu’env. 20% des données de l’entreprise d’ici 2021 seront stockées en mode scaling contre 30% aujourd’hui. La fin du ransomware n’est pas a priori pour demain, il semblerait que ce soient ces technologies associées au stockage de données qui permettent de désarmer ce type d’attaque et de voir un peu de lumière au bout du tunnel!
Anssi a publié un nouveau rapport, cette fois axé sur l’activité ransomware de Ryuk. Particulièrement impliqué dans l’attaque de Sopra Steria en France, ce logiciel malveillant se distingue de la concurrence et ne se contente pas de dupliquer les méthodes de ses concurrents.
Ryuk LE ransomware 2020?
Ryuk est un ransomware actif depuis 2018 et dont les opérateurs sont particulièrement actifs. C’est ce qui a valu le titre de «ransomware le plus rentable» selon le FBI en 2018 et généré plus de 61 millions de dollars de rançon entre février 2018 et octobre 2019.
Cependant, Ryuk n’aborde pas les méthodes qui ont fait le succès de groupes malveillants comme Maze ou Revil: pas de chantage pour le vol de données, pas de place pour montrer les victimes ou les communiqués de presse ici. Pourtant, ce ransomware, qui est actif depuis deux ans maintenant, reste une menace majeure, et Anssi a publié un rapport de statut.
Ryuk est un ransomware dont le but est de crypter les données de la victime pour exiger une rançon. Anssi indique que les cibles privilégiées des opérateurs de ce ransomware sont les grandes entreprises capables de payer les grosses rançons requises, principalement aux États-Unis et au Canada. L’agence note également que les opérateurs de Ryuk ne réservent pas d’autres groupes vis-à-vis des établissements de santé: « en octobre 2020, Ryuk serait responsable de 75% des attaques sur le secteur de la santé qu’il attaquerait depuis le premier semestre 2019 ». Des dizaines d’hôpitaux américains ont été victimes d’une campagne de Ryuk au début d’octobre visant les services dans les hôpitaux de l’UHS. Le FBI et le CISA américain ont également mis en garde contre le risque de nouvelles attaques basées sur Ryuk dans un nouveau communiqué d’information publié fin octobre.
Trickbot, Emotet et le bazar Comme de nombreux ransomwares, Ryuk n’est que la dernière étape d’une chaîne d’infection multi-malware. Les auteurs du rapport indiquent que l’infection Trickbot, au moins jusqu’en septembre 2020, aurait été le point d’entrée privilégié des opérateurs Ryuk pour s’implanter dans les réseaux d’entreprise. Trickbot, avec Emotet et bien d’autres, est un malware de type chargeur qui se propage généralement via des campagnes de courrier électronique malveillantes pour infecter un appareil cible, puis se propager à travers le réseau interne d’une victime et se déplacer jusqu’à ce qu’il compromette un contrôleur de domaine. La dernière étape est la mise en œuvre du ransomware, le cryptage des machines et la demande de rançon. Et si ce type d’attaque prend généralement du temps, certains opérateurs Ryuk se démarquent par leur rapidité: Anssi indique ainsi que dans certains cas le temps de la première infection et du cryptage est réduit de quelques jours. (2 à 5) en trois heures ».
En 2020, cependant, les opérateurs de Ryuk semblent s’être progressivement tournés vers un nouveau chargeur, connu sous le nom de BazarLoader, actif depuis mars 2020. «Comme TrickBot, Bazar serait utilisé comme un accès en tant que service pour faire des compromis ou même qualifier un SI pour le compte d’autres groupes d’attaquants. On ne sait pas si BazarLoader, comme TrickBot, fonctionne également sur un modèle d’affiliation », précise l’agence, qui précise que le logiciel est principalement distribué par le groupe derrière Trickbot. D’autres chargeurs ont également été identifiés dans des attaques impliquant le malware Ryuk: Buer et Le logiciel Silent Night a également été utilisé dans l’attaque qui a implémenté Ryuk.
Raas ou pas Raas, c’est la question
L’un des points qui sépare Ryuk du reste de l’écosystème de la cybercriminalité des groupes de ransomware est la question du modèle commercial de Ryuk. Pour de nombreux ransomwares apparus ces derniers mois, le modèle économique utilisé est généralement celui de RaaS (Ransomware as a service): le groupe à l’origine des ransomwares commercialise ses logiciels sur des forums clandestins auprès d’autres groupes, qui s’assurent ensuite de les diffuser réseaux informatiques de leurs victimes.
Pour Anssi, Ryuk n’est « pas officiellement un RaaS »: l’agence déclare ainsi qu’elle n’a observé aucune promotion des opérateurs Ryuk sur les forums clandestins. Ryuk est néanmoins exploité par plusieurs acteurs malveillants, selon Anssi. S’il n’est pas vendu au public, il pourrait être mis à la disposition de partenaires de confiance par le créateur du code malveillant, ou il pourrait être exploité indépendamment par plusieurs groupes à l’aide d’outils et de formes de propagation communs. .
Il est donc difficile de savoir qui tire exactement les fils de Ryuk: le rapport de l’agence met en évidence le rôle central joué par deux acteurs malveillants, le groupe WizardSpider derrière Trickbot et le groupe identifié comme UNC1878. Selon FireEye, ce dernier groupe est responsable de 83% des attaques impliquant Ryuk. L’agence note également l’implication d’autres groupes tels que FIN6 dans la prolifération du ransomware Ryuk ainsi que du code et des méthodologies entre Ryuk et un autre ransomware connu sous le nom de Conti. Si Ryuk n’est pas «officiellement un RaaS», il n’en est pas moins un acteur profondément enraciné dans la sphère de la cybercriminalité et avec de nombreux liens avec des groupes tiers.
Pas de moins de 93 000 logements sont désormais éligibles aux Forfaits 5H de Titan-informatique. Le prestataire de service informatique débarque officiellement sur Toulon.
Titan informatique annonce le lancement de ses forfaits 5H dans la commune de Toulon
Plus vite que prévu, Titan-informatique annonce ce matin l’arrivée de ses Forfaits 5H pour les habitants de Toulon, l’objectif est de couvrir les communes de Toulon, la Garde, la Valette du Var par des services informatique d’ici 2022.
Dans un communiqué de presse publié cette semaine, le Cigref met en garde contre la montée des cyberattaques et la menace que cette hausse fait peser sur l’économie française. Et ce alors que de plus en plus d’entreprises en France sont concernées par les attaques de ransomwares.
Le Cigref s’inquiète de la reprise des attaques par ransomware
Un risque informatique pour les entreprises Francaises:
Depuis le début de l’année scolaire, les assaillants n’ont pas désarmé et l’épidémie de rançon commence à se manifester. Le Cigref, organisation qui regroupe un réseau de grandes entreprises et administrations françaises sur le thème du numérique, indique avoir adressé une lettre au Premier ministre l’avertissant de «l’augmentation du nombre et de l’intensité des cyberattaques» et de l’impact de cette situation sur l’économie française.
« Les pertes d’exploitation des centaines d’entreprises, grandes et petites, qui ont subi une cyberattaque ne sont plus anecdotiques, comme le montre trop souvent l’actualité », a déclaré Cigref dans son communiqué de presse. L’organisation reconnaît les efforts déjà consentis par l’Etat à travers Anssi, mais note «l’insuffisance des réponses de la communauté internationale et des Etats face à la réalité d’une menace qui se déploie à l’échelle mondiale.» Le Cigref saisit également l’occasion pour pour pointer du doigt les fournisseurs de systèmes numériques dont les pratiques sont jugées inadéquates: le Cigref appelle à une régulation de ces acteurs pour améliorer la sécurité globale des entreprises utilisant ces outils.
Covid + ransomware = pas bon!
Le contexte est en effet délicat pour les entreprises déjà touchées par la crise sanitaire et les mesures d’endiguement mises en place par le gouvernement. Mais la période a également été marquée par une vague d’attaques de ransomwares qui a frappé les entreprises françaises. Nous avions publié des retours de Paris Habitat, mais de nombreuses autres victimes d’attaques de ransomwares ont été touchées ces dernières semaines.
On peut citer le quotidien Paris Normandie, la société de services informatiques Umanis, Scutum ou encore Siplec. Il y en a beaucoup d’autres dont les attaques ont été revendiquées par des groupes de cybercriminalité mais non confirmées par les victimes. Et on ne parle que des victimes qui ont été déclarées depuis début novembre, mais beaucoup passent sous le radar et ne communiquent pas et espèrent que les assaillants ne communiquent pas non plus (ce qui est loin d’être évident).
Outre les entreprises, de nombreuses administrations et collectivités locales sont également touchées: les chambres d’agriculture du Centre-Val de Loire et de la Nouvelle-Aquitaine ont ainsi porté le poids de ces attaques, ainsi que Vincennes ou la ville de Bondy, qui rapporte avoir été touchée deux fois de suite. une attaque informatique en dix jours. Une nouvelle typologie des victimes préoccupe particulièrement Anssi, qui publie désormais un guide de sécurité pour les communes et envisage de profiter du plan de relance pour lancer un plan de sécurisation des systèmes informatiques des collectivités locales.
La tendance à la hausse des cyberattaques est observée depuis plusieurs mois maintenant: leMagIt avait réalisé un premier recensement des cyberattaques en septembre, laissant supposer avoir identifié des dizaines de victimes en France et plus de 700 dans le monde. . Cigref n’est donc pas déplacé pour rien: la facture (ou rançon) de l’économie française peut s’avérer salée.
La firme Paris Habitat confirme avoir été touchée par des ransomwares, ce qui a conduit à la paralysie de ses services pendant plusieurs jours. Cependant, Paris Habitat a refusé de payer la rançon et a reconstruit son système sur la base de sauvegardes.
Après près de trois semaines de silence radio, Paris Habitat fournit des détails sur la cyberattaque qui a paralysé ses services. Comme l’ont mentionné MagIT et plusieurs sources internes, c’est en fait un ransomware qui a affecté les services informatiques du bailleur social parisien. «L’attaque a eu lieu dans la soirée du 27 octobre et a été détectée par nos systèmes informatiques le 28 au matin», explique Marie Godard, directrice adjointe de Paris Habitat. «On pense que le vecteur d’intrusion est une attaque de phishing, mais notre enquête n’est pas encore terminée. Cependant, le groupe derrière l’attaque a été identifié comme étant Sodinokibi. «
Il y a donc eu une demande de rançon, mais Marie Godard explique que « la question ne s’est pas posée. On s’est rendu compte que nous avions des sauvegardes audio remontant au mardi 27 octobre, ce qui nous a évité d’avoir à envisager de payer une rançon. » Paris Habitat garantit qu’il n’y a pas eu de perte ou de vol de données. Quinze jours après la première attaque, Sodinokibi n’a en fait publié aucune donnée sur son site Internet Paris Habitat, suggérant que les données des utilisateurs n’ont pas été effectivement volées.
Pour limiter l’attaque, la direction a choisi d’arrêter tout son système informatique mercredi avant de redémarrer progressivement les systèmes à partir de vendredi. « Nous avons immédiatement alerté nos partenaires directs de la situation », a déclaré le directeur adjoint. Paris Habitat héberge en effet un data center à Paris, qui héberge également AP-HP et Eau de Paris. Mais «la partition entre les différents SI a permis de limiter le risque de reproduction», assure Marie Godard.
En reconstruction
La continuité du service a été assurée en s’appuyant sur le réseau de gardiens d’immeubles de Paris Habitat: le site internet sur place a ainsi référé les locataires à leur concierge ou à un numéro de téléphone unique permettant l’Information. Un site Internet du personnel a également été mis en place pour leur fournir des informations sur le redémarrage des systèmes et les mesures à mettre en œuvre pour le confinement. Lorsque l’attaque a été déclarée quelques jours avant l’annonce du confinement, il valait mieux tuer deux oiseaux d’une pierre. «Le problème maintenant est de récupérer en s’assurant que tout est fiable», a déclaré le directeur adjoint, qui a déclaré que le groupe travaillait avec Frame IP pour remettre les systèmes en marche.
«Nous devons nous assurer que toutes les données sont fiables et que les machines des employés le sont également. Au total, donc, plus de 1 500 ordinateurs portables doivent être ciblés pour s’assurer qu’ils ne sont pas compromis. Selon le directeur adjoint, il y a déjà eu plus de 1 200 unités. Elle explique que les services sont progressivement redémarrés, puisque le site doit être de nouveau en ligne « avant la fin de la semaine ». Le groupe a déposé une plainte et BEFTI et OCLCTIC sont chargés de l’enquête. Un rapport a également été fait à la CNIL. Paris Habitat explique également avoir prévenu Anssi de l’attaque.
Sodinokibi ou Revil fait référence à un groupe de cybercriminalité particulièrement actif, spécialisé dans les attaques de ransomwares. Apparu en avril 2019, ce ransowmare fonctionne sur le modèle de RaaS (Ransomware as a Service), ce qui signifie qu’il loue ses malwares à des groupes tiers, «affiliés», responsables de la réalisation des attaques, alors que les créateurs du malware sont normaux responsable de la négociation et de la récupération de la rançon puis de la redistribution des gains. Revil est un groupe connu pour télécharger et revendre les données qu’il vole à ses victimes via un site dédié. Mais jusqu’à présent, le groupe n’a pas revendiqué la responsabilité de l’attaque ou téléchargé des données appartenant à Paris Habitat.
La cyberattaque contre Capcom était en fait une cyberattaque par ransomware combinée à un vol des données. Les données de centaines de milliers de personnes sont compromises.
Plus tôt ce mois-ci, l’éditeur de jeux vidéo japonais Capcom – surtout connu pour ses franchises Street Fighter et Resident Evil – a déclaré avoir été victime d’une cyberattaque avec un piratage de son système d’information.
Les communications de Capcom étaient censées être assez rassurantes, tandis que des rapports commençaient simultanément à circuler sur une cyberattaque de ransomware (Ragnar Locker) et un filtrage de données à partir de réseaux au Japon, aux États-Unis et au Canada.
Plus tôt cette semaine, Capcom a fait une nouvelle communication. L’éditeur confirme avoir été victime d’une cyberattaque par ransomware et ajoute que des données personnelles ont été compromises.
Capcom a pu vérifier que les informations personnelles de neuf employés (anciens et actuels) étaient compromises, ainsi que les informations financières et les rapports de vente. Dans une section de données potentiellement compromise, Capcom classe les cas pour près de 350 000 personnes.
Dans ce cas, il s’agit de clients, de partenaires commerciaux, d’actionnaires ou même d’anciens salariés. Essentiellement au Japon et en Amérique du Nord, ce sont principalement des noms, des adresses électroniques et postales, des numéros de téléphone, des dates de naissance et même des photos.
Toujours dans le registre des données potentiellement compromises, Capcom ajoute que près de 14 000 personnes sont associées aux ressources humaines ainsi qu’à tout un ensemble de documents internes confidentiels.
Une combinaison de ransomware et de vol des données Rappelons que Capcom avait initialement précisé qu’il n’y avait actuellement aucune indication d’un compromis sur les données clients. Le discours a considérablement changé. En revanche, Capcom – qui s’excuse – évite le risque de compromis avec les données bancaires ou de paiement. Tout simplement parce que Capcom ne stocke pas ces informations en interne.
Capcom travaille avec les forces de l’ordre au Japon et aux États-Unis. Les attaquants derrière le ransomware Ragnar Locker avaient en fait adressé une demande de rançon à Capcom pour le retour de données volées et la fourniture d’un outil de décryptage.
L’enquête sur l’incident de sécurité et les données exfiltrées a été entravée par le cryptage des données sur les serveurs et la suppression des journaux d’accès lors de la cyberattaque. Capcom a visiblement décidé de ne pas céder au chantage des attaquants. Ce n’est pas toujours le cas. En retour, les données exfiltrées sont mises en ligne.
Le fabricant de jouets a été victime d’une attaque de ransomware l’été dernier. L’attaque a été rapidement interrompue et n’a eu aucun impact significatif sur l’entreprise.
Mattel a contenu l’attaque d’un ransomware
Le fabricant de jouets américain Mattel a révélé mercredi qu’il avait subi une attaque de ransomware qui paralysait certaines fonctions commerciales. Néanmoins, la société affirme s’être remise de l’attaque sans pertes financières importantes.
Mattel a contenu l’attaque
L’incident a eu lieu le 28 juillet, selon un formulaire trimestriel 10-Q, que la société a déposé plus tôt dans la journée auprès de la Securities and Exchange Commission des États-Unis.
Mattel a déclaré que l’attaque par ransomware avait initialement réussi et chiffré certains de ses systèmes.
«Après la découverte de l’attaque, Mattel a commencé à mettre en œuvre ses protocoles de réponse et à prendre une série d’actions pour arrêter l’attaque et restaurer les systèmes affectés. Mattel a contenu l’attaque et, bien que certaines fonctions commerciales aient été temporairement affectées, Mattel a rétabli les opérations », explique la société.
Aucun impact sérieux
Depuis plus d’un an, les gangs de ransomwares volent des données et se lancent dans un double stratagème d’extorsion qui menace de publier les données de l’entreprise piratée sur des sites Web publics appelés «sites de fuite» à moins que les victimes ne paient la rançon souhaitée.
Cependant, le fabricant de jouets explique qu’une enquête ultérieure a conclu que le gang de ransomwares derrière le cambriolage de juillet n’avait volé « aucune donnée commerciale sensible ou des données sur les clients, fournisseurs, consommateurs ou employés ». .
Dans l’ensemble, Mattel semble avoir échappé à l’incident avec seulement un bref temps d’arrêt et sans aucune blessure grave, ce qui est rarement suffisant pour être stressé. De nombreux exemples montrent des pertes financières de plusieurs dizaines de milliers de millions de dollars, comme c’est le cas avec Cognizant ou Norsk Hydro. Mattel souligne que l’attaque du ransomware a légèrement « eu aucun impact significatif sur ses opérations ou sa situation financière. »
Le producteur d’alcool Campari a été victime d’une attaque de ransomware début novembre. La veille de la date limite de la rançon, les hackers à l’origine de l’attaque ont payé une campagne publicitaire pour discréditer les communications de leurs victimes.
Les cybercriminels achètent des publicités Facebook pour Campari
C’est un spectacle désastreux: les gangs derrière les ransomwares innovent à un rythme alarmant dans leurs façons de faire pression sur leurs victimes, toujours plus nombreuses. Le dernier en date: le producteur d’alcool italien Campari, créateur de l’alcool éponyme et entre autres du Grand Marnier. L’entreprise a communiqué le 3 novembre 2020 à propos d’une cyberattaque qui a paralysé une partie de ses services. On dit qu’il est sorti le 1er novembre, et le groupe affirme avoir « rapidement identifié le virus » et ainsi empêché sa propagation sur tout son réseau informatique. ZDNet a précisé quelques jours plus tard que Campari était affecté par le ransomware Ragna Locker.
Des organisations criminelles auraient volé 2 téraoctets de données sensibles (fichiers bancaires, informations sur les employés, clauses de confidentialité, etc.) avant de crypter tous les systèmes contaminés. Elle a ensuite demandé une rançon de 15 millions de dollars à sa victime en échange de la clé de décryptage et de la promesse de ne pas transmettre les données volées autrement qu’en supprimant sa propre copie. Ironiquement, le prix comprend également un rapport de pénétration sur les réseaux informatiques, où les criminels décrivent leurs faiblesses ainsi que des recommandations d’amélioration!
Ragnar Locker a donné à sa victime jusqu’au 10 novembre pour organiser le paiement, sinon il publierait progressivement les données gratuitement sur leur site dédié, disponible via le réseau anonyme Tor. La société n’a pas communiqué depuis sur les éventuelles négociations. Mais avant la date limite, les rançons ont porté un coup particulièrement bas qu’aucun autre gang ne s’était jusqu’ici permis: ils ont lancé une campagne publicitaire sur Facebook pour tenter de discréditer les défenses de leurs victimes. .
LES PIRATES UTILISENT UN COMPTE HACKED POUR PROUVER UN AUTRE HACKING
Le journaliste Brian Krebs était très intéressé par la campagne publicitaire, payée par Hodson Even Entertainment, propriété du DJ de Chicago Chris Hodson. Contacté par le journaliste, l’Américain a expliqué que son compte avait été piraté et que les hackers avaient prévu un versement de 500 dollars – avec son argent – pour lancer la campagne.
Dans la campagne publicitaire intitulée « Faille de sécurité dans le réseau du groupe Campari », Ragnar Locker cite l’un des communiqués de presse de ses victimes. La société a expliqué: « Pour le moment, nous ne pouvons pas totalement exclure que certaines informations personnelles et professionnelles aient été volées. » Les criminels écrivent qu’il s’agit d’un « énorme mensonge » et qu’ils « confirment que des données confidentielles ont été volées ». « Nous parlons d’une énorme quantité de données », ajoutent-ils.
LA CAMPAGNE PUBLICITAIRE S’EST ARRÊTÉE
Heureusement pour Hodson et Campari, Facebook a apparemment découvert le caractère malveillant de la campagne. Hodson a donc pu récupérer son compte et accéder à quelques statistiques: 7 150 utilisateurs de Facebook ont vu l’annonce et 10% d’entre eux ont cliqué dessus. Le réseau social a collecté 35 $ pour le lancement de la campagne, mais l’a terminé avant un autre paiement de 159 $.
Brian Krebs dit qu’il n’a pas décidé si le gang a lancé la campagne à partir du seul compte d’Hudson ou à partir de plusieurs comptes piratés. Facebook a ouvert une enquête sur l’affaire.
Les opérateurs de ransomwares utilisent des techniques de plus en plus invasives pour faire pression sur leurs victimes, et on se demande où ils veulent s’arrêter. Ce mois-ci, nous vous avons parlé d’Egregor, qui avait imprimé une rançon imprimée par les imprimantes des victimes, d’autres centres d’appels payants pour contacter les partenaires de leurs victimes par téléphone, menaçant presque tous de publier les données. LIEN
Synchronisation sécurisée, cryptée de bout en bout et respectueuse de la confidentialité de vos contacts, calendriers et tâches (à l’aide de Tasks.org et OpenTasks) et EteSync Notes pour les notes .
EteSync, sortie du protocole version 2
Le protocole vous permet de gérer vos contacts, événements et tâches, qui sont tous cryptés de bout en bout. On pourrait donc comparer l’utilisation de ce protocole avec CalDAV et CardDAV, mais avec l’impossibilité du serveur distant de savoir ce qui est stocké. De plus, ce protocole est journalisé, c’est-à-dire que chaque action effectuée (création, modification et suppression) est enregistrée. Cela donne par exemple Possibilité de revenir facilement en arrière (un contact supprimé, trouver et annuler par exemple la suppression).
Notez que le protocole dans sa version actuelle permet déjà des applications intéressantes comme le partage de calendrier entre différents utilisateurs. LIEN
Le phénomène des ransomwares est passé d’individus à une menace réelle et fréquente qui peut entraîner des dommages catastrophiques aux réseaux d’entreprise, la perte des dossiers clients et la fuite potentielle d’informations confidentielles. Les variantes de ransomware incluent des logiciels comme WannaCry, Petya, Ryuk et Gandcrab, mais il y en a beaucoup, beaucoup plus. Lorsqu’un système informatique est compromis, ce type de malware crypte les disques et les fichiers et exige le paiement d’une rançon en échange d’une clé de décryptage.
Selon Check Point, le nombre d’attaques quotidiennes de ransomwares dans le monde a diminué de moitié au cours des trois derniers mois, les pirates tirant parti des perturbations opérationnelles et du passage rapide au travail depuis leur domicile causés par Covid-19.
Après cette période de reconnaissance, les opérateurs de logiciels malveillants sont désormais plus susceptibles d’aller directement contre les sauvegardes. Si ceux-ci peuvent être chiffrés avant que les administrateurs informatiques ne soient avertis d’une infection, cela supprime le réseau de sécurité et les cyber-attaquants sont plus susceptibles d’être soumis à un chantage.
Le problème est que peu de victimes de ransomwares choisissent d’aller à la police, et certaines organisations paient juste pour couvrir l’incident, selon Europol. Plus les victimes paient, plus l’activité criminelle devient lucrative, et l’industrie des ransomwares continue de gagner du terrain à mesure que de plus en plus de pirates adoptent ce type d’attaques.
Combinez la sous-déclaration d’un incident, l’acceptation de l’extorsion et le nombre croissant de hackers intéressés par cette activité et vous avez un problème. Ce défi a été récemment soulevé par l’Office of Foreign Assets Control (OFAC) du Trésor américain, qui a publié des directives sur le moment où le paiement d’une rançon peut violer les sanctions américaines. «Les entreprises qui facilitent le paiement de rançons aux cyberacteurs au nom des victimes, y compris les institutions financières, les compagnies d’assurance qui proposent une cyberassurance et les entreprises qui pratiquent la réponse aux incidents, encouragent les demandes de paiements de rançon à la victime.
Une solution pourrait être de revenir à l’essentiel et de «mettre tout le monde sur un pied d’égalité», déclare Ezat Dayeh en imposant des audits de sécurité qui modélisent la manière dont le règlement général sur la protection des données (RGPD) de l’UE traite les responsables du traitement.
«Tout doit être contrôlé», ajoute Ezat Dayeh. «Vous devez être audité pour savoir ce que vous pouvez faire. Parce que cela donne au moins à l’entreprise une chance de se battre et lui permet de réfléchir à la manière de s’attaquer aux problèmes. Et s’ils ne le font toujours pas, et qu’on leur a dit «vous êtes vulnérable», cela devrait aller jusqu’au PDG, à mon avis. «
Le RGPD s’efforce de traiter les organisations et les contrôleurs de données sur un pied d’égalité, et avec des lacunes, il y a la possibilité d’amendes basées sur le chiffre d’affaires annuel d’une entreprise.
Si les audits de sécurité étaient traités de la même manière avec des règles que tout le monde peut essayer de suivre, cela pourrait promouvoir un meilleur niveau de cybersécurité ainsi qu’une prise de conscience de la manière dont les organisations devraient se maintenir. une position de sécurité raisonnable – ce qui est particulièrement important à un moment où les attaques potentiellement destructrices, y compris les demandes de rançon, sont en augmentation.
Particulièrement actif ces derniers mois, le ransomware RansomEXX a subi un développement de son code, qui compromet désormais les systèmes Linux.
Un ransomware qui compromet les systèmes Linux
Les systèmes Windows ne sont pas les seules cibles des cyberbackers et de leurs campagnes de phishing. La preuve avec RansomEXX, un ransomware dont on avait parlé ces derniers mois en attaquant de nombreuses entreprises et organismes publics tels que le US Department of Transportation, Konica Minolta, IPG Photonics ou encore les systèmes de transports en commun de Montréal et le tribunal brésilien. Comme nous pouvons le voir dans un récent rapport du fournisseur de solutions de sécurité Kaspersky, RansomExx, un développement de son code offre désormais la possibilité de cibler les systèmes Linux.
«Nous avons récemment découvert un nouveau cheval de Troie de cryptage de fichiers construit comme un exécutable ELF et conçu pour crypter les données sur des machines exécutées par des systèmes d’exploitation basés sur Linux», a déclaré Kaspersky. « Après l’analyse initiale, nous avons remarqué des similitudes dans le code du cheval de Troie, le texte de la rançon et l’approche générale de l’extorsion, suggérant que nous avions effectivement rencontré une version Linux de la famille de ransomwares RansomEXX. »
Selon l’analyse de Kaspersky, ce cheval de Troie implémente son schéma cryptographique en utilisant les fonctionnalités de la bibliothèque open source mbedtls. Une fois lancé, Trojan génère une clé de 256 bits et l’utilise pour crypter tous les fichiers appartenant à l’organisation ciblée auxquels il peut accéder en utilisant le chiffrement par bloc AES en mode ECB. La clé AES est chiffrée par une clé publique RSA-4096 bits intégrée dans le corps du cheval de Troie et ajoutée à chaque fichier chiffré.
De plus, les logiciels malveillants lancent un thread qui régénère et re-crypte la clé AES toutes les 0,18 secondes. Sur la base d’une analyse de l’implémentation, les clés ne diffèrent en réalité qu’à chaque seconde », prévient l’éditeur. Bien que les versions PE précédemment découvertes de RansomEXX utilisent WinAPI (fonctionnalités spécifiques du système d’exploitation Windows), la conception du code de ce cheval de Troie et la méthode d’utilisation des fonctionnalités spécifiques de la bibliothèque mbedtls indiquent que ELF et PE peuvent provenir du même code source. LIEN lemondeinformatique.fr
Les systèmes informatiques des mairies de Vincennes et d’Alfortville ont été cryptés avec des ransomwares. Leurs services administratifs ont été durement touchés par ces incidents. Les Emails de la municipalité d’Alfortville ne fonctionnent toujours pas.
Les mairies de Vincennes et d’Alfortville attaqué par des ransomwares
Les mairies de Vincennes et d’Alfortville ont été victimes d’une cyberattaque, rapporte RTL. Les systèmes informatiques des deux communes du Val-de-Marne ont été touchés à quelques jours d’intervalle, sans qu’aucune connexion n’ait encore été établie entre les deux attentats.
UNE ATTENSION INUTILISÉE À L’INTENSITÉ
La première victime était la mairie de Vincennes, qui a déclaré avoir été agressée dans la nuit du 2 au 3 novembre. L’incident n’a pu être évité « malgré l’intensification des mesures de sécurité appliquées quotidiennement », la ville qui qualifie cette attaque sans précédent indique « de son intensité ».
Quant aux conséquences, la centrale téléphonique de la mairie a été indisponible pendant plus de 24 heures et certaines formalités administratives n’ont pu être accomplies. Ces derniers jours, la situation s’est éclaircie. « Les sauvegardes ont fonctionné. Nous avons encore beaucoup de données à récupérer sur certains logiciels, mais la plupart de nos services de télécommunications sont à nouveau opérationnels. Rien n’a été perdu dans l’affaire sauf du temps pour nous et nos citoyens », explique la municipalité, sollicitée par RTL.
Selon des enquêtes internes toujours en cours, il s’agirait d’une attaque «ransomware» visant à paralyser un système d’information en chiffrant tous les fichiers qu’il contient. En échange d’une rançon à payer en bitcoins, les hackers promettent de remettre une clé qui décryptera ces données.
ALFORTVILLE EST TOUJOURS AFFECTÉ
La mairie d’Alfortville a également été touchée par un ransomware plus tôt dans la semaine. Les services d’urbanisme et de soutien à la population sont les plus touchés, et les boîtes aux lettres ne fonctionnent plus, révèle Le Parisien. La municipalité a déclaré qu’elle ne paierait pas la rançon, comme recommandé par les instructions officielles, et prévoit de redémarrer son système informatique d’ici le milieu de la semaine prochaine.
«Nous sommes en train de tout remettre en ordre dans une entreprise spécialisée. Entre-temps, nous sommes tous revenus à la plume, mais avons pu continuer certaines de nos activités, comme notre cellule de crise ou des réunions via Zoom ou WhatsApp. les candidatures », a déclaré Luc Carvounas, le maire d’Alfortville.
LES ORGANISMES PUBLICS MAL PROTÉGÉ Les organismes publics ne sont pas à l’abri des cyberattaques. On peut citer le conseil de branche d’Eure-et-Loir, l’Agence nationale de la formation professionnelle des adultes (Afpa), les services administratifs du Grand Est, le groupe hospitalier AP-HP … Preuve que le thème de la cybersécurité est encore très mal compris.
Cependant, l’Agence pour la sécurité des systèmes d’information (Anssi) met régulièrement en garde sur ce sujet et donne de précieux conseils. Elle réitère l’importance de sauvegarder régulièrement les données en dehors du système d’information, de surveiller les vulnérabilités des logiciels, de sensibiliser les employés par la formation … Elle ajoute qu’en cas d’incident, les organisations doivent isoler les équipements infectés, porter plainte et ne jamais payer la rançon.
Scutum, Sopra Steria, Mairie de Vincennes, Mairie d’Alfortville, Software AG, le Groupe ENEL … En France, comme partout en Europe, les grandes entreprises et les administrations voient leur activité très perturbée pendant de nombreux jours après des attaques de ransomwares.
Une situation qui inquiète évidemment les pouvoirs publics. La semaine dernière, la commission sénatoriale des affaires étrangères, de la défense et des forces armées a interviewé Guillaume Poupard, directeur de l’ANSSI (Agence nationale pour la sécurité des systèmes d’information).
« Le crime organisé a pris le cyber-outil pour s’occuper des victimes », a expliqué Guillaume Poupard aux sénateurs, notant une explosion de crimes graves et d’attaques de ransomwares. L’ANSSI n’intervient que sur des événements ayant un impact fort sur la sécurité nationale ou la sécurité économique. Mais Guillaume Poupard note que «nous étions à 54 attaques à la fin de 2019, et il y en avait 128 par. 30 septembre cette année. Au cours d’une année, il triple ou quadruple constamment, donc c’est quelque chose de particulièrement inquiétant, et je ne vois aucune raison pour que cela change à court terme. «
Le schéma est toujours le même: une attaque (souvent du phishing) qui conduit à une intrusion informatique suivie d’un cryptage qui bloque les données des victimes et une extorsion pour débloquer la situation. Rançon qui coûte cher: «On parle aujourd’hui de millions ou dizaines de milliers d’euros», assure Guillaume Poupard.
En septembre, une patiente en Allemagne est décédée après qu’une opération vitale qu’elle devait subir n’a pas pu avoir lieu après une paralysie informatique à l’hôpital universitaire de Düsseldorf causée par un ransomware.
Fin septembre, le géant hospitalier UHS (Universal Health Services) a également été victime des effets disruptifs des ransomwares.
Fin octobre, le FBI a émis une alarme prétendant disposer d’informations concrètes sur les préparatifs d’une vague d’attaques de ransomwares contre le système hospitalier et les prestataires de soins de santé américains.
Interrogé sur ces événements en pleine crise sanitaire et les attentats contre les hôpitaux français, Guillaume Poupard a précisé que « les attentats n’ont pas explosé, ils n’ont pas augmenté en volume ou en virulence » avant d’ajouter que « les grands groupes criminels ont publié un communiqué au début de La crise de dire qu’ils ont temporairement suspendu les attaques contre les hôpitaux (…) et s’y sont effectivement collés. « . Grands groupes peut-être, mais à en juger par les événements en Allemagne et aux États-Unis, certains groupes n’ont eu aucune inquiétude.
Il note également que les attentats ne cherchent plus à « jeter un large filet », mais sont de plus en plus ciblés et ciblés principalement sur « les victimes sous pression et qui peuvent se permettre de payer ».
Il a défendu le passage de Sopra Steria et leur a même donné comme exemple des entreprises qui ont su réagir rapidement et ont réussi à limiter l’impact de l’attaque ransomware dont elles ont été victimes: «Ils ont pu pour détecter l’attaque, qui n’a touché très tôt que quelques dizaines d’ordinateurs, et la bloquer. Ils ont pris soin d’arrêter complètement les grands systèmes pour ne pas faciliter son expansion et polluer leurs clients ». Guillaume Poupard note également que parmi certaines victimes fortement touchées par les ransomwares d’ici 2020, «nous arrivons désormais avec des prestataires privés intégrés dans l’équation pour réparer les systèmes en quelques jours, au plus quelques semaines pour un redémarrage complet. a parlé il y a un an pendant des semaines et des mois ».
En revanche, Guillaume Poupard n’a pas caché ses inquiétudes quant aux risques supplémentaires que comporte le télétravail. «Nous sommes encore assez préoccupés par toutes les violations que la pratique rapide du télétravail a ouverte dans les systèmes d’information. Le risque est que nous nous en rendions compte dans quelques mois», souligne Guillaume Poupard. Avant, nous encourageons les entreprises à introduire plus de contrôle et de surveillance autour du libre accès pour permettre la pratique à distance. LIEN
Ce dernier raconte à ses partenaires qu’il a été victime d’une « cyberattaque par stockage cryptographique dans la nuit de dimanche à lundi 2 novembre ». Pendant plusieurs mois, il a exposé des systèmes affectés par la vulnérabilité dite Shitrix.
SCUTUM est un acteur mondial de la sécurité et de la sûreté en Europe. Cette société fournit des solutions technologiques pour la protection et la prévention des risques pour les infrastructures, les biens, les personnes et les données. Le groupe exploite une plateforme européenne de traitement et d’analyse des informations critiques permettant une gestion précoce des risques et la mise en place de services de secours locaux.
Les pirates du groupe Netwalker commencent à distribuer des données volées à cette société. Les pirates ont donné à la société française 10 jours pour payer le silence des pirates. Ils ont volé des centaines de fichiers.
ROCK HSU Président-RAY CHEN Vice-président et CSO-MARTIN WONG Président et PDG
Compal, une société taïwanaise qui fabrique des ordinateurs portables pour certaines des plus grandes marques d’ordinateurs, a été victime d’une attaque de rançon au cours du week-end. L’attaquant était soupçonné d’être le gang DoppelPaymer, selon une capture d’écran de la rançon partagée par des employés de Compal avec des journalistes de Yahoo Taiwan.
Les usines de Compal fabriquent des ordinateurs portables pour Apple, Acer, Lenovo, Dell, Toshiba, HP et Fujitsu.
Le patron de Compal nie les attaques de ransomware et admet le piratage
Malgré les rapports des médias locaux, Qingxiong Lu, PDG adjoint de Compal, a admis lundi dans un communiqué à United News Network que la société avait subi une faille de sécurité, mais a nié que la récente interruption du service ait été causée par un ransomware. « Compal ne fait pas l’objet de chantage de la part de pirates informatiques, comme le dit la rumeur », a déclaré le directeur de Compal aux journalistes.
En outre, Qingxiong a déclaré que l’incident n’avait affecté que le réseau de bureaux interne de l’entreprise et que les lignes de production de Compal qui fabriquent des ordinateurs portables pour d’autres entreprises n’avaient pas été affectées. Monsieur. Qingxiong pensait que l’état de l’entreprise reviendrait à la normale une fois que le personnel aurait fini de restaurer tous les systèmes affectés par ce qu’il a décrit comme des «anomalies».
Compal est aujourd’hui le deuxième plus grand fabricant d’ordinateurs portables au monde après Quanta Computer, une autre société taïwanaise. Dans le passé, Compal a produit des ordinateurs portables pour des entreprises telles que Apple, Acer, Lenovo, Dell, Toshiba, HP et Fujitsu. Outre les ordinateurs portables, l’entreprise fabrique également des moniteurs, des tablettes, des montres intelligentes, des téléviseurs intelligents et d’autres périphériques pour ordinateurs.
Compal est la troisième grande usine taïwanaise à être touchée par les ransomwares cette année. La société d’énergie publique taïwanaise CPC Corp. a été touchée par le ransomware ColdLocker en mai, tandis que l’usine taïwanaise du fabricant américain de montres intelligentes Garmin a été touchée par le ransomware WastedLocker en juillet.
Un groupe de 18 candidats issus du monde du logiciel libre, d’associations de patients, de médecins et de syndicats et de journalistes a demandé au gouvernement de suspendre le traitement et la centralisation des données de santé de plus de 67 millions de personnes au sein du Health Data Hub, hébergé par Microsoft Azure, le géant américain nuage.
Ce collectif a condamné le choix de Microsoft principalement en raison de l’absence d’appel d’offres et des effets de l’extraterritorialité du droit américain. En fait, la Cour européenne de justice («la Cour européenne de justice») a récemment révélé que le service de renseignement américain (via la FISA et l’ordonnance 12 233) n’a aucune restriction sur l’utilisation des données européennes. .ne.s.
Suite à un mémoire important de la CNIL, et malgré un décret urgent du gouvernement au lendemain de l’audience, le Premier ministre a pris une décision reconnaissant que le Health Data Hub hébergé par Microsoft ne protège pas les données de santé françaises de l’intrusion américaine, et cela contredit tout ce qui a été dit depuis plusieurs mois par le ministère de la Santé.
Cependant, preuve de la gravité des infractions constatées, ce refus de suspension n’est qu’une décision prise «à très court terme», notamment pour éviter une interruption brutale des quelques projets en cours sur le Health Data Hub.
En revanche, le Département d’Etat demande au Health Data Hub et à Microsoft d’apporter de nouvelles modifications à leurs contrats et de prendre des précautions supplémentaires sous la supervision de la CNIL.
Surtout, au-delà du «très court terme», le Département d’Etat déclare attendre une solution qui éliminera tout risque d’accès aux données personnelles des autorités américaines, notamment en référence à un recours. les offres d’un prestataire français ou européen telles qu’annoncées par le secrétaire d’État au numérique et évoquées par la CNIL dans ses commentaires au Conseil.
En d’autres termes, le Health Data Hub tel qu’il existe aujourd’hui ne devrait pas pouvoir être utilisé tel qu’il est au-delà des quelques projets existants, car les nouveaux ne risquent pas d’être violés.
Et comme le demandait la CNIL dans sa mission d’observation, les données de santé françaises ne devraient pas pouvoir héberger Microsoft à l’avenir et devraient se pencher sur l’une des nombreuses alternatives existantes.
Avec l’urgence prise par le gouvernement ainsi que les constats importants de la CNIL, c’est donc une victoire dont le collectif SanteNathon et ses adhérents sont fiers.
Mais compte tenu de l’absence de suspension effective et de la persistance de la mauvaise foi du gouvernement et du ministère de la Santé en la matière, la lutte doit se poursuivre.
C’est pourquoi, face à l’urgence d’empêcher le transfert irréversible des données de santé aux États-Unis, maintenant que le groupe veut saisir le Conseil d’État pour prendre des mesures pouvant dépasser le «très court terme» ainsi que la CNIL en termes d’actuel et de passé délits.
D’autres actions sont également à l’étude, notamment au niveau européen.
Si vous êtes limité à Toulon, La Garde ou Hyères (comme tout le monde) et que vous cherchez une bonne bière à consommer chez vous, j’ai définitivement ce qu’il vous faut.
Il s’agit de « Bières du Monde et d’Ailleurs », un PUB développé à La crau / La Moutonne et installé maintenant sur La Garde, qui aide les travailleurs à exprimer leur bonheur avec une bonne bière bien fraîche pour leur post-travail. La belle vie je vous dit.
Bières du Monde & D’Ailleurs ouvert au format cave à emporter du lundi au samedi de 12H à 20H Ouvert au format cave à emporter du lundi au samedi de 12H à 20H Bières du Monde & D’Ailleurs à emporter du lundi au samedi de 12H à 20H Bières du Monde et D’Ailleurs ouvert à emporter du lundi au samedi de 12H à 20H
Ransomware de la semaine- octobre 2020 – Des hôpitaux assiégés
Cette semaine, nous avons assisté à une attaque concertée contre le secteur de la santé par des groupes de piratage utilisant le ransomware Ryuk. En outre, nous avons vu certaines grandes entreprises bien connues souffrir d’attaques de ransomwares, qui ont affecté leurs activités commerciales.
La plus grande nouvelle cette semaine est que le gouvernement américain a averti le secteur de la santé qu’il existe « des informations crédibles sur une menace accrue et imminente de cybercriminalité pour les hôpitaux et les prestataires de soins de santé américains ». À la suite de ces attaques, nous avons vu six hôpitaux ciblés cette semaine, dont l’hôpital Wyckoff, l’Université du Vermont Health Systems, le Sky Lakes Medical Center et St. Louis. Lawrence Health System.
Nous avons également été informés d’attaques de ransomwares contre des sociétés bien connues, telles que le fabricant de meubles SteelCase, la société de conseil informatique française Sopra Steria et la société d’électricité italienne Enel Group.
Enfin, un représentant de REvil connu sous le nom de UNKN a déclaré qu’ils avaient gagné 100 millions de dollars en un an et que le tristement célèbre gang de labyrinthe avait commencé à fermer son opération de ransomware.
Maintenant que le week-end approche, il est important que toutes les entreprises surveillent les activités suspectes sur leur réseau Windows et leurs contrôleurs de domaine et réagissent de manière proactive si quelque chose est découvert.
Les contributeurs et ceux qui ont livré de nouvelles nouvelles et histoires sur les ransomwares cette semaine incluent: @PolarToffee, @VK_Intel, @struppigel, @BleepinComputer, @malwrhunterteam, @malwareforme, @ demonslay335, @jorntvdw, @Seifreed, @FourOctets , @, @Ionut_Ilascu, @DanielGallagher, @fwosar, @MarceloRivero, @Malwarebytes, @Amigo_A_, @GrujaRS, @ 0x4143, @ fbgwls245, @siri_urz, @Mandiant et @IntelAdvanced.
Alors que Covid-19 continue de frapper les États-Unis, le groupe hospitalier Universal Health Services est au bord d’une attaque informatique. Le ransomware Ryuk pourrait être au travail. Néanmoins, l’UHS promet que les soins peuvent toujours être fournis et que les données médicales n’ont pas été compromises.
Le groupe hospitalier américain UHS touché par les ransomwares
Le géant hospitalier Universal Health Services (UHS), qui exploite 400 hôpitaux et cliniques aux États-Unis et au Royaume-Uni, est victime d’une attaque de ransomware. Cité par Reuters, il a déclaré que son réseau avait été mis hors ligne suite à un « problème de sécuritéinformatique ».
MALWARE RYUK SERA AU TRAVAIL
L’attaque a frappé les systèmes UHS dimanche matin et a fermé les ordinateurs et les systèmes téléphoniques de plusieurs établissements médicaux, ont déclaré deux sources à Techcrunch. L’un d’eux a déclaré qu’un texte faisant référence à «l’univers de l’ombre» est soudainement apparu sur les écrans d’ordinateur. C’est l’empreinte du ransomware Ryuk, connu pour être le malware le plus rentable, selon le FBI. «On a dit à tout le monde d’éteindre les ordinateurs et de ne plus les rallumer», poursuit-elle.
Ni l’étendue de l’incident ni les conséquences de l’attaque contre les services de santé ne sont encore connues. Dans une brève déclaration, le géant de l’hôpital a déclaré avoir mis en œuvre « des protocoles de sécurité informatique complets » et travaillé avec ses « partenaires de sécurité informatique pour restaurer les opérations informatiques le plus rapidement possible ». «Les soins aux patients continuent d’être dispensés de manière sûre et efficace», promet l’UHS. LIEN
Le Trésor américain traite les victimes de ransomwares comme des collaborateurs
Dans une directive émise par le département du Trésor américain, le gouvernement déclare que des sanctions peuvent être envisagées pour les entreprises qui paient une rançon après une attaque de ransomware. L’idée de sanctionner les paiements de rançon gagne du terrain outre-Atlantique.
Tout le monde déconseille fortement de payer la rançon, mais beaucoup le font. Aux États-Unis, un rappel du département du Trésor américain pourrait encore refroidir les entreprises ciblées contre les ransomwares: l’OFAC (Office of Foreign Access Control) a publié une directive sur le paiement d’une rançon, déclarant que les entreprises qui acceptent de céder à l’extorsion de groupes de cybercriminalité, dans certains les cas pourraient également être sanctionnés par les autorités américaines.
Cette nouvelle mesure ne s’applique pas à tous les paiements de rançon: la directive publiée par l’OFAC explique que seuls les paiements aux groupes concernés par des sanctions prononcées par l’OFAC sont concernés par cette mesure. Le document répertorie plusieurs acteurs bien connus du monde du ransomware qui ont été visés par les sanctions de l’OFAC: le créateur du ransomware Cryptolocker Eugene Bogachev, les deux développeurs iraniens du ransomware Samsam, les groupes nord-coréens Lazarus, Bluenoroff et Andariel et enfin Evil Corp groupe, connu pour avoir développé le malware Dridex et plusieurs ransomwares toujours actifs.
Pour l’OFAC, le paiement d’une rançon à ces groupes ou à leurs affiliés peut soumettre les victimes à une enquête pour contourner les sanctions gouvernementales. Les entreprises publiques, mais aussi les partenaires qui ont participé au processus de réaction à l’incident ou qui ont réalisé l’opération, pourraient donc être concernés. L’OFAC demande aux entreprises concernées par ce scénario de contacter ces équipes avant de payer une rançon. «Les paiements de rançon profitent aux acteurs malveillants et peuvent saper les objectifs de sécurité nationale et de politique étrangère des États-Unis. Pour cette raison, les demandes de licence impliquant des rançons requises du fait d’activités malveillantes rendues possibles par le numérique seront examinées par l’OFAC au cas par cas avec présomption de refus », précise l’OFAC dans sa communication.
L’affaire de piratage Garmin, qui aurait accepté le paiement d’une rançon de 10 millions de dollars en crypto-monnaie à des personnes affiliées au groupe Evil Corp, a peut-être demandé à l’OFAC d’émettre le rappel. Comme le rapporte ZDNet.com, plusieurs journalistes ont posé la question au département du Trésor américain au moment de l’annonce du paiement de Garmin.
Une rançon pharaonique de 23 millions de dollars a été envoyée par le groupe de cyber-hackers.
L’éditeur de logiciels allemand Software AG a été victime du ransomware Clop.
Aucune entreprise n’est à l’abri des ransomwares. Fini les acteurs du secteur informatique malgré toute la vigilance naturelle dont ils peuvent faire preuve. Éditeur de longue date de middleware et de solutions d’intégration de données, Software AG – qui a également développé son activité vers la gestion et l’analyse des API – vient d’en payer le prix. La société a été ciblée le 3 octobre 2020 par le ransomware Clop, qui s’est répandu dans ses systèmes et réseaux. Une rançon de 23 millions de dollars (2083 0069 BTC selon Bleeping Computer) a été demandée par des cybercriminels qui ont commencé à envoyer des captures d’écran d’informations sensibles sur le dark web. Ceux-ci comprennent: la numérisation des passeports et des cartes d’identité des employés de Software AG, des e-mails, des documents financiers ou même des annuaires téléphoniques dans le réseau interne de l’entreprise.
Cette rançon est l’une des plus importantes jamais demandées au monde.
À titre de comparaison, le FBI estime l’étendue de l’extorsion de la part des cybercriminels à 140 millions de dollars en 6 ans. Selon les équipes de MalwareHunterTeam, cette version de Clop peut contenir un outil pour désinstaller le programme antivirus McAfee, mais à l’heure actuelle, on ne sait pas s’il a été créé et utilisé dans le cadre de cette attaque contre Software AG ou s’il l’a été présent avant. Rien d’étonnant à ce que Software AG soit le deuxième plus grand fournisseur informatique allemand, derrière SAP, avec plus de 10 000 clients professionnels dans 70 pays.
Le cyber gang Russe TA505 privilégié
Software AG a signalé l’incident le lundi 5 octobre 2020, après avoir déclaré avoir subi des perturbations de son réseau informatique interne en raison d’une attaque de malware. « Bien que les services à ses clients, y compris ses services basés sur le cloud, restent inchangés, Software AG a donc fermé les systèmes internes de manière contrôlée conformément aux règles de sécurité interne de l’entreprise », a averti l’éditeur. «L’entreprise est en train de restaurer ses systèmes et ses données pour reprendre des opérations ordonnées. Cependant, les services d’assistance et la communication interne de Software AG sont toujours affectés. «
Clop est un ransomware bien connu utilisé principalement par les cybercriminels russes TA505, ciblant principalement la finance, la distribution, les institutions publiques, les secteurs de l’aérospatiale et de la santé. Récemment, ce ransomware aurait été utilisé dans des cyberattaques visant Go Sport et Courir ainsi qu’au CHU de Rouen.
Mr Bricolage s’ajoute à la longue liste d’entreprises victimes de ransomwares. Depuis une semaine, les sièges sociaux de la grande chaîne de distribution sont paralysés par des malwares. L’entreprise a déposé une plainte et s’assure néanmoins qu’aucune donnée n’a été volée.
Mr Bricolage est affecté par les ransomwares
La chaîne de supermarchés M. Bricolage est victime d’une attaque de ransomware, rapporte L’Express. Ses 850 points de vente n’ont pas été touchés. C’est le siège du groupe situé à Chapelle-Saint-Mesmin, dans le Loiret, qui est paralysé. Les lignes téléphoniques, le système de messagerie électronique et les logiciels de bureau ont tous été bloqués et ont empêché les travailleurs de travailler.
« Les réseaux internes qui hébergeaient le siège ont en fait été exposés à une cyberattaque la semaine dernière », a confirmé un porte-parole de la société française aux médias. « Les équipes se mobilisent pour rétablir au plus vite la situation et redonner à tous les salariés l’accès au réseau sans aucun problème », a promis le groupe de 439 salariés. En outre, il affirme qu’aucune donnée n’a été volée à des cyber-attaquants qui réclament désormais le paiement d’une rançon, dont le montant n’est pas précisé.
La rentrée scolaire a été marquée par un nombre sans précédent de cyberattaques connues impliquant des ransomwares. Le fruit de la connexion entre plusieurs facteurs. Et ceux-ci ne suggèrent aucun règlement réel.
En septembre, nous avons enregistré près de 270 attaques de ransomwares dans le monde, une explosion par rapport aux mois précédents, alors que juin et août ont déjà été marqués par une activité intense des cybercriminels. Mais attention aux trompe-l’œil.
En France, nous avons dénombré 10 cas confirmés, auxquels s’ajoute un cas suspect, mais non confirmé à ce moment, vers le 8 août et à peu près le même en juillet. Les attaques confirmées sont répertoriées sur la chronologie que nous mettons à jour régulièrement. Sur Intrinsec, Cyrille Barthélemy rapporte 13 cas «en crise» en septembre contre 10 en août.
Et de préciser que sa capacité d’intervention n’était évidemment pas la même en plein été qu’en début d’année scolaire. Chez I-Tracing, Laurent Besset a noté 9 interventions sur le mois dernier contre 4 en dessous de la précédente. Chez Advens, Benjamin Leroux fait 3 interventions majeures et moins de 5 interventions plus petites. Mais toujours 150 détections de menaces qui pourraient conduire à une détonation de ransomware, principalement Emotet.
Début septembre, l’Agence nationale de sécurité des systèmes d’information (Anssi) a rapporté avoir traité 104 attaques de ransomwares depuis le début de l’année contre 54 sur l’ensemble de 2019. Et bien sûr, cela ne prend pas en compte les cas hors de son champ d’application.
Concernant la plateforme Cybermalveillance.gouv.fr, le directeur général de GIP Acyma, Jérôme Notin, a encore signalé 1.082 signalements de ransomwares début septembre depuis le lancement de la plateforme le 4 février, avec 44% d’entreprises ou d’associations et 10 % d’administrations ou de communautés. En septembre, Jérôme Notin a enregistré 131 demandes d’assistance, contre 104 en août et 122 en juillet.
En France, à ce stade, il semble difficile de parler d’une explosion. Mais si la tendance à la hausse semble moins prononcée que pour le reste du monde, la menace semble sans doute rester à un niveau élevé.
Il y a au moins deux explications possibles de la situation, qui suggèrent que la menace ne diminuera probablement pas dans un proche avenir. Nous les développons ci-dessous le long de la chronologie.
La rentrée scolaire a été marquée par un nombre sans précédent de cyberattaques connues impliquant des ransomwares. Le fruit de la connexion entre plusieurs facteurs. Et ceux-ci ne suggèrent aucun règlement réel.
L’été meurtrier 2 (toujours pas le film), un ransomware.
En septembre, nous avons enregistré près de 270 attaques de ransomwares dans le monde, une explosion par rapport aux mois précédents, alors que juin et août étaient déjà marqués par une activité intense des cybercriminels. Mais attention aux trompe-l’œil.
En France, nous avons dénombré 10 cas confirmés, auxquels s’ajoute un cas suspect, mais non confirmé à ce moment, vers le 8 août et à peu près le même en juillet. Les attaques confirmées sont répertoriées sur la chronologie que nous mettons à jour régulièrement. Sur Intrinsec, Cyrille Barthélemy rapporte 13 cas «en crise» en septembre contre 10 en août.
Et de préciser que sa capacité d’intervention n’était évidemment pas la même en plein été qu’en début d’année scolaire. Chez I-Tracing, Laurent Besset a noté 9 interventions sur le mois dernier contre 4 en dessous de la précédente. Chez Advens, Benjamin Leroux fait 3 interventions majeures et moins de 5 interventions plus petites. Mais toujours 150 détections de menaces qui pourraient conduire à une détonation de ransomware, principalement Emotet.
Début septembre, l’Agence nationale de sécurité des systèmes d’information (Anssi) a rapporté avoir traité 104 attaques de ransomwares depuis le début de l’année contre 54 sur l’ensemble de 2019. Et bien sûr, cela ne prend pas en compte les cas hors de son champ d’application.
Concernant la plateforme Cybermalveillance.gouv.fr, Jérôme Notin, PDG de GIP Acyma, a encore signalé début septembre 1.082 signalements de ransomwares à ce jour depuis le lancement de la plateforme le 4 février, avec 44% d’entreprises ou d’associations et 10 % d’administrations ou de communautés. En septembre, Jérôme Notin a enregistré 131 demandes d’assistance, contre 104 en août et 122 en juillet.
En France, à ce stade, il semble difficile de parler d’une explosion. Mais si la tendance à la hausse semble moins prononcée que pour le reste du monde, la menace semble sans doute rester à un niveau élevé.
Il y a au moins deux explications possibles de la situation, qui suggèrent que la menace ne diminuera probablement pas dans un proche avenir. Nous les développons ci-dessous le long de la chronologie.
les groupes de hackers modifient leurs objectifs et les prix
Les groupes de hackers de ransomware améliorent de plus en plus leur stratégie. Ainsi que le profil de leurs victimes potentielles, comme le souligne IBM.
Les attaques de ransomwares continuent de croître, ce qui, selon IBM, suggère que les gangs exigeant une rançon augmentent leurs demandes de rançon et deviennent plus sophistiqués sur la façon dont ils calculent la rançon qu’ils tentent de faire chanter. Le nombre d’attaques de ransomwares auxquelles l’équipe dédiée d’IBM est confrontée a triplé au deuxième trimestre 2020. Il représente désormais un tiers de tous les incidents de sécurité auxquels IBM est confronté entre avril et juin 2020.
Rien qu’en juin, un tiers de toutes les attaques de ransomware traitées par l’équipe IBM jusqu’à présent cette année se sont produites. Le rapport indique que les demandes de rançon augmentent rapidement, certaines atteignant 40 millions de dollars, révélant en outre que les attaques de Sodinokibi représentent un tiers des demandes de rançon auxquelles IBM Security X-Force a répondu au cours de l’année. Pour IBM, l’industrie a radicalement changé au cours des derniers mois.
La rançon frappe le plus durement l’industrie manufacturière, représentant près d’un quart de tous les incidents recensés par IBM aujourd’hui, suivi du secteur des services puis du secteur public. « Les attaques contre ces trois secteurs suggèrent que les acteurs de la menace recherchent des victimes avec une faible tolérance aux temps d’arrêt », a déclaré le personnel du groupe américain. « Les organisations qui nécessitent une disponibilité élevée peuvent perdre des millions de dollars chaque jour en raison de la fermeture de l’entreprise. En conséquence, elles peuvent être plus susceptibles de payer une rançon pour retrouver l’accès aux données et reprendre leurs activités. Des activités », note également. la direction d’IBM. LIEN
Plusieurs entreprises ont été touchées, dont certaines ont décidé de traverser Rubicon en payant une rançon. Dans le même temps, les cybercriminels se structurent et se professionnalisent.
Il est difficile de trouver une semaine sans voir une ou plusieurs entreprises victimes de ce fléau. En juillet, Netwalker était soupçonné d’avoir gravement perturbé l’activité MMA de la compagnie d’assurance, tout comme le groupe de construction Rabot Dutilleul. Une succursale d’Orange Business Services a été attaquée par Nefilim et a volé 350 Mo de données. Comment ne pas mentionner Garmin, dont la production a été arrêtée pendant deux jours, ainsi que ses sites Web, ses applications mobiles, ses appels téléphoniques, son chat en ligne et sa messagerie.
Et le mois d’août n’a pas été plus paisible, au contraire. Les vacances ont été gâchées pour Carlson Wangonlit Travel by Ragnar Locker ransomware. 30 000 PC auraient été bloqués et 2 To de données volées. Autre spécialiste du voyage dans les troubles, l’une des marques sur la compagnie de croisière Carnival a été visée par une attaque. La litanie se poursuit avec le groupe Maze, qui regroupe plusieurs sociétés Canon, LG et Xerox. Récemment, la société coréenne de semi-conducteurs SK Hynix a été touchée par ce gang. Le groupe derrière Sodinokibi, quant à lui, a poursuivi Brown-Forman, la société mère de Jack Daniel. Le fournisseur de services complets Spie a eu du mal à se débarrasser du ransomware Nefilim. 4 sites de production ont été fermés par MOM, propriétaire des compotes Materne et des crèmes MontBlanc. LIEN
Selon la US Insurance Coalition, les attaques de ransomwares représentent 41% des réclamations depuis le début de l’année. Bitdefender rapporte une multiplication par 7 des rapports sur un an. LIEN
Une femme est décédée jeudi en Allemagne après une attaque de ransomware qui visait à tort un hôpital. En raison de la paralysie du système informatique, le patient a dû être transféré dans un autre établissement mais n’a pas survécu.
Une femme meurt des suites d’un ransomware
Ce que les experts en cybersécurité craignaient depuis longtemps est enfin arrivé. Une femme est décédée suite à une attaque de malware. Arrivée aux urgences d’un hôpital de Düsseldorf, en Allemagne, elle n’a pas pu être prise en charge par des médecins car le système informatique était paralysé par un ransomware ou un ransomware.
Au total, 30 serveurs d’hôpitaux de Düsseldorf ont été infectés par un ransomware, qui a crypté les disques durs et laissé des instructions adressées à l’Université Heinrich Heine, à laquelle l’établissement est affilié. L’hôpital n’était pas la cible des pirates et a été accidentellement pris dans l’attaque. Le patient a dû être transféré dans un hôpital de la ville voisine de Wuppertal, à 32 kilomètres. Les médecins n’ont pas pu commencer le traitement pendant une heure et elle n’a pas survécu.
Les auteurs risquent d’être tués
La police a contacté les auteurs de l’attaque pour les informer de la situation. Ils ont alors immédiatement fourni la clé de cryptage pour bloquer les serveurs concernés. L’hôpital rapporte qu’il n’a subi aucune perte de données et que les systèmes sont redémarrés. L’attaque aurait exploité un bogue dans un produit Citrix (CVE-2019-19781).
Ce n’est pas la première attaque de ransomware dans un hôpital, car d’autres ont déjà forcé les médecins à transférer des patients vers d’autres établissements. Cependant, il peut s’agir du premier décès lié aux logiciels malveillants, directement ou indirectement. Une enquête est en cours pour établir le lien de causalité. Dans ce cas, les auteurs pourraient être accusés de meurtre.
Les cybercriminels ont fait près de 700 victimes dans le monde depuis le début de l’année. Nous avons identifié plusieurs dizaines de cas en France. Mais la transparence semble encore très limitée.
Comment déterminer l’importance de la menace? Quelques exemples épars, plus ou moins frappants, suffisent-ils à éveiller la conscience? Rien n’est moins sûr. Mais il n’y a aucun doute: la menace des ransomwares augmente.LIEN
Non seulement les gens méritent d’être protégés en cette année spéciale 2020, mais votre informatique doit également avoir tout à portée pour rester en bonne état de marche. Et pour l’occasion, Informatique-hyeres.fr vous propose des services de dépannage, réseau, sécurité et entretien informatique sur Hyères et alentours.
Equinix, responsable mondial de centre de données, affirme avoir été ciblé par un ransomware. Heureusement, les données client ne sont pas compromises (normalement!)
Les centres de données sont désormais considérés comme des coffres-forts. Le fournisseur mondial de centres de données Equinix affirme avoir été ciblé par une cyberattaque de type ransomware.
La société n’a pas fourni de détails sur l’attaque et a simplement déclaré qu’une enquête avait été ouverte et que les autorités avaient été prévenues. Cependant, le site Web Bleeping Computer affirme avoir reçu une copie de la rançon reçue par Equinix.
Selon la source, la note contenait une capture d’écran de dossiers contenant des fichiers cryptés par des logiciels malveillants. Selon les noms de ces fichiers, ils contiennent des données très sensibles telles que des informations juridiques et financières.
Par cette note, les pirates menaceraient Equinix d’envoyer les fichiers sur Internet si la rançon n’est pas payée dans les trois jours. Cette attaque aurait eu lieu le week-end dernier.
Un lien ajouté à la note a conduit à un site de paiement de rançon. Le montant demandé était de 455 Bitcoins ou l’équivalent de 4,5 millions de dollars. Les criminels ont également menacé de doubler la somme si la rançon n’était pas payée rapidement. On ne sait pas encore si Equinix a choisi de payer ou non.
Quoi qu’il en soit, la société affirme que seules les données de ses propres systèmes ont été compromises. Bien que la plupart des clients exploitent leur propre équipement dans ses centres de données, leurs données et leur fonctionnement n’ont pas été affectés.
Les centres de données ont été pleinement opérationnels ainsi que les services gérés proposés par la société. En d’autres termes, Equinix a frôlé le désastre car une fuite de données de ses clients les aurait sans doute incités à changer de fournisseur.
Pour rappel, Equinix est le leader mondial du marché des data centers en termes de chiffre d’affaires. Basée à Redwood City, en Californie, la société exploite plus de 200 centres de données dans 55 pays à travers le monde. Ses clients comprennent Ford, Netflix et Spotify.
Si même ce colosse peut être paralysé par les ransomwares alors que ses serveurs sont sécurisés par les technologies les plus avancées, c’est la preuve que personne n’est plus à l’abri des cybercriminels. En fait, Equinix n’est pas le premier fournisseur de centres de données à être victime d’une cyberattaque.
Les attaques de ransomwares visent généralement des individus, mais les pirates ciblent désormais les grandes entreprises informatiques et leurs centres de données. Un autre fournisseur, CyrusOne, a également payé le prix. Il en va de même pour le producteur d’aluminium Norsk Hydro, l’Université de Californie à San Francisco et le système juridique du Texas.
Il existe plusieurs mesures préventives pour protéger vos systèmes contre les ransomwares en adoptant les meilleures pratiques de cybersécurité. Assurez-vous de sauvegarder vos données les plus sensibles et de les chiffrer afin qu’elles ne puissent pas être utilisées par des pirates. Même si vous êtes victime d’un ransomware, il existe des remèdes qui peuvent vous permettre de récupérer vos données sans payer la rançon. Consultez notre guide à ce sujet.
Le tribunal de Paris a été victime d’une cyberattaque en envoyant de faux courriels à plusieurs juges et avocats, dont certains sont associés à des affaires très sensibles. Une première enquête remise aux services de renseignement internes a été ouverte pour déterminer les causes de l’incident et ses auteurs.
LA JUSTICE SE MODERNISE ?
Le tribunal de Paris a été victime d’une attaque informatique, révèle le Journal du Dimanche (JDD) le 6 septembre. Une première enquête sur les «attaques contre des systèmes automatisés de traitement de données contenant des données à caractère personnel mis en œuvre par l’État» a été ouverte pour déterminer les causes de l’incident et ses auteurs. Il a été remis à la direction générale de la sécurité intérieure (DGSI), chef du renseignement français, compte tenu de la sensibilité de l’affaire.
Cette institution judiciaire est composée de quatre unités: le siège, le parquet de Paris, le parquet national (PNF) et le parquet national contre le terrorisme. C’est la juridiction qui traite la plupart des affaires en France, dont certaines sont très sensibles comme l’affaire Sarkozy-Kadhafi.
ENVOYER DE FAUX EMAILS Cette cyberattaque consistait à envoyer de faux courriels à plusieurs juges et avocats. Pierre Cornut-Gentille et Jean-Marc Delas, avocats en droit pénal des affaires, ont reçu des messages sous forme d’échanges entre les deux collègues ou entre les cabinets des cabinets. Pierre Cornut-Gentille a été prévenu par « la fausse adresse ». Méfiant, l’avocat a décidé de « ne pas cliquer ». «Du coup je n’ai pas été joint, comme l’a confirmé mon informaticien», raconte-t-il. De son côté, Jean-Marc Delas a vu que son activité avait été fortement perturbée par l’attaque suite à l’ouverture d’un mail contaminé. «En fin de compte, je me suis retrouvé dans une situation où je n’avais plus accès à mon ordinateur», explique-t-il.
Aude Buresi, juge d’instruction à la place financière responsable du financement illégal de l’ancienne affaire ONU et Kerviel, a également été victime de l’attaque. Elle a dû revoir le calendrier de ses examens. Les invocations d’il y a plusieurs semaines ont été reportées. Selon des sources judiciaires, elle n’est pas la seule juge à avoir payé le prix de cet incident. Rémy Heitz, le procureur de la République, a également été visé. Il estime que le piratageinformatique doit être pris très au sérieux en ce qui concerne les personnes concernées et les données potentiellement volées par les cybercriminels.
LE SERVICE POUR L’INTÉRIEUR, AUSSI! Mais selon Le Figaro, cette cyberattaque ne se limite pas au tribunal de Paris. Dimanche après-midi, le ministère de l’Intérieur a déclaré qu’il était « actuellement victime d’une campagne d’attaques de courrier ». Il a bloqué la réception par email des fichiers au format .doc « pour éviter les risques de contamination ». Il est impossible de savoir pour le moment si les deux attaques sont liées.
Le Tribunal de Paris vient s’ajouter à la longue liste des organisations victimes d’une cyberattaque. Côté public on retrouve le conseil de quartier d’Eure-et-Loir, le CHU de Rouen, l’Agence nationale de l’éducation des adultes (Afpa), les services administratifs du Grand Est, le groupe AP-HP … Quant aux entreprises privées, Bouygues Construction victime d’un ransomware ainsi que de la filiale «Transport et logistique» du groupe Bolloré. Et cette tendance est partagée par la plupart des États du monde. Aux États-Unis, pas moins de 50 collectivités locales ont été touchées par un incident de sécurité depuis janvier 2020. LIEN
Le début d’année a été clairement lucratif pour les ransomwares en France. L’Anssi et la plateforme Cybermalveillance le soulignent. Surtout, ce n’est qu’un début!
L’Agence nationale de sécurité des systèmes d’information (Anssi) et la Direction des affaires criminelles et des grâces (DACG) du ministère de la Justice viennent de publier un guide visant à sensibiliser les entreprises et les collectivités à la menace des ransomwares.
Et il semble qu’il y ait plus qu’une simple urgence: depuis le début de l’année, Anssi dit avoir traité 104 attaques de ransomwares, contre 54 en 2019 dans son ensemble. Et l’agence souligne que « ces chiffres ne donnent pas un aperçu complet des ransomwares actuels affectant le territoire national ». Comme nous le signalait le CERT de Capgemini sur Twitter – «il faut compter toutes [les attaques] gérées par les équipes du CERT en dehors d’Anssi» – mais aussi une confirmation que les cas connus, même dans les médias, ne représentent pas qu’une fraction des cyberattaques avec un ransomware. Et pourtant, ne serait-ce que pour la France, la liste des incidents connus peut déjà paraître très longue.
Concernant la plateforme Cybermalveillance.gouv.fr, Jérôme Notin, PDG de GIP Acyma, rapporte 1.082 signalements de ransomwares à ce jour depuis le lancement de la plateforme le 4 février, auprès de 44% d’entreprises ou d’associations et 10% d’administrations ou de collectivités. Hélas, plusieurs éléments convergent pour suggérer que la vague est loin d’être terminée.
La publication de ce guide par Anssi et DACG constitue un premier indice: il n’y aurait guère de raison de l’être si l’agression des cybercriminels semble être en déclin. Il est évident qu’il s’agit d’une tentative des autorités pour empêcher que la chute ne s’aggrave qu’une source déjà perceptible par rapport à fin 2019.
Trop de systèmes vulnérables
Deuxième indice: certains messages semblent encore avoir du mal à passer, laissant des routes ouvertes aux attaquants. Cela commence par un patch, en particulier pour certains équipements sensibles. Le moteur de recherche spécialisé Onyphe a récemment identifié 15 systèmes Citrix Netscaler Gateway pour les entreprises du Fortune 500 touchées par la vulnérabilité CVE-2019-19871 exposées à Internet, mais aussi 659 Cisco ASA affectés par la CVE-2020- 3452, tous les mêmes 5 serveurs VPN Pulse Secure ou près de soixante systèmes SAP affectés par la vulnérabilité CVE-2020-6287.
Au cours de l’été, nous avons même observé un groupe affecté par une attaque de cyber-ransomware exposant un système affecté par l’une de ces vulnérabilités, malgré des messages et des rappels qui ont duré plusieurs semaines. Et cela sans prendre en compte les services RDP disponibles en ligne sans authentification de la couche réseau (NLA). Autant de points d’entrée sans même parler de phishing.
Les attaques de ransomwares actuelles et la cybercriminalité économique empruntent plus généralement aux APT, a souligné Ivan Kwiatkowski des équipes de recherche et d’analyse de Kaspersky dans nos colonnes début février. Concrètement, cela signifie que l’attaque s’étend très profondément dans le système d’information jusqu’à ce qu’elle obtienne des privilèges dignes d’un administrateur et fournisse un accès très large aux données de l’entreprise compromise.
Passer d’une cible à une autre
Cela donne lieu à un premier risque: le risque de propagation – immédiate ou ultérieure – de l’attaque à des tiers en dehors de la victime d’origine, des clients ou des partenaires. Il existe un soupçon de connexion entre la cyberattaque de Maze contre Xerox et HCL Technologies, sur laquelle aucune des parties ne souhaite commenter. Mais en 2019, la start-up Huntress Labs a détaillé trois incidents dans lesquels des ordinateurs de clients de fournisseurs de services gérés ont été compromis par un ransomware via des outils de gestion à distance. Et ça ne s’arrête pas là.
Les données volées par les cybercriminels avant que leur ransomware ne soit déclenché peuvent être une mine d’or pour les futures campagnes de phishing hautement ciblées … et faciliter l’utilisation d’informations authentiques récupérées lors de l’attaque précédente. Une seule liste de milliers d’adresses e-mail avec quelques éléments personnels supplémentaires peut être un formidable point de départ.
À la mi-juillet, Brett Callow d’Emsisoft a attiré notre attention sur un cas aussi suspect: Nefilim a revendiqué la responsabilité d’une attaque contre Stadler en mai; NetWalker en a revendiqué un sur Triniti Metro début juillet; l’une des captures d’écran de ce dernier était un dossier nommé … «lettres Stadler». Pour l’analyste, «ces composés semblent trop souvent être des coïncidences». Et ce, même si NetWalker fait confiance aux «partenaires», alors que Nefilim opérerait plutôt dans le vide. Car rien ne dit qu’un des partenaires NetWalker n’a pas regardé les données que Nefilim a précédemment publiées pour les utiliser dans le cadre de l’attaque sur Triniti Metro …
Un espoir: la limitation des ressources disponibles Récemment, de nouveaux groupes de cybercriminalité sont apparus qui combinent le cryptage et le vol de données avec la menace de divulgation pour soutenir leurs efforts d’extorsion. Mais la capacité des cybercriminels à exploiter toutes les pistes qu’ils obtiennent n’est pas illimitée. Des appels aux «partenaires» ont lieu régulièrement sur les forums qu’ils visitent. Et les profils recherchés ont un haut niveau de compétence: bien que les outils disponibles gratuitement ne manquent pas, la phase de reconnaissance manuelle avant la mise en œuvre et la détonation du ransomware nécessite une certaine expertise. Cependant, rien ne garantit que certains spécialistes des étapes intermédiaires des attaques n’interviendront pas pour différents groupes.
De toute évidence, toutes ces voies ne doivent pas être exploitées en même temps: la lenteur de nombreuses organisations à fermer les portes d’entrée qu’elles laissent ouvertes sur Internet n’aide que les cybercriminels. Attention donc: un répit peut donner l’impression de se retirer de la menace, du moment qu’il ne s’agit que d’une illusion. Et une chose semble certaine: il n’est pas temps de se détendre.
Le groupe de construction Leon Grosse a été impacté par le ransomware Maze, qui avait déjà été illustré pour avoir également fait rage sur Bouygues Construction. L’entreprise indique un retour progressif à la normale de ses équipements et services informatiques.
L’été meurtrier des ransomwares n’est pas terminé. Après Bouygues Construction et Rabot Dutilleul, c’est au tour d’un autre groupe de construction d’être touché par les ransomwares. Dans ce cas, c’est la société Léon Grosse qui est touchée par le labyrinthe, selon Ransom Leaks. Ce malware est illustré avec précision pour affecter Bouygues Construction, tandis que du côté de Rabot Dutilleul, c’est le ransomware Netwalker qui l’a envahi.
« Le groupe Léon Grosse a fait l’objet d’une cyberattaque le 26 août 2020. Les systèmes d’information ont donc été interrompus pour stopper la propagation de l’attaque », a expliqué la société. Les équipes, accompagnées d’experts externes, travaillent actuellement pour analyser et rétablir la situation dans les meilleurs délais. Les équipements et services informatiques sont ainsi progressivement restaurés. En coopération avec les autorités compétentes, tout est mis en œuvre pour limiter l’impact de cet incident sur nos clients et partenaires ». Contacté pour plus de détails, Léon Grosse n’a pas encore répondu à notre demande.
Les sites Web ne sont toujours pas disponibles Si Léon Grosse indique que son activité commerciale ainsi que ses sites Internet fonctionnent, ce n’est pas encore le cas de son informatique, en tout cas qu’il supporte ses sites Internet: «Pour des raisons techniques, les sites Internet du Groupe Léon Grosse et de ses filiales sont temporairement indisponibles . Nous travaillons au redémarrage de toutes nos pages, et nous nous en excusons », peut-on relire cet après-midi sur le site principal de l’entreprise. Léon Grosse a été fondée en 1954 et compte près de 2 300 employés et un chiffre d’affaires de près de 725 millions d’euros l’an dernier. LIEN
L’absence de protocole rend les entreprises vulnérables aux cyberrisques
Les experts en sécuritéinformatique de Proofpoint ont publié les résultats de l’analyse DMARC (Domain-Based Message Verification Reporting and Compliance) montrant dans quelle mesure les compagnies aériennes sont exposées aux cyberattaques.
Réalisée sur 296 compagnies aériennes membres de l’Association du transport aérien international (IATA), qui représente 82% du trafic mondial, l’étude montre que 61% des compagnies aériennes n’ont pas de registre DMARC publié, ce qui les rend plus vulnérables aux cybercriminels, il s’agit de voler leur identité et ainsi d’augmenter le risque de fraude par e-mail. LIEN
L’Agence du revenu du Canada (ARC) a dû suspendre ses services en ligne dimanche après avoir été la cible de deux cyberattaques au cours desquelles des pirates ont utilisé des milliers d’identités et de mots de passe frauduleux pour obtenir des avantages et accéder aux renseignements personnels des Canadiens.
Environ 5 500 comptes de l’ARC ont également été la cible d’une cyberattaque «bloquant la légitimité». Ce type de cyberattaque utilise des noms d’utilisateur et des mots de passe collectés lors de piratages de comptes précédents et tire parti du fait que de nombreux internautes utilisent les mêmes mots de passe pour plusieurs de leurs comptes.
L’accès à tous les comptes concernés a été suspendu afin de protéger les informations des contribuables canadiens. Le service en ligne «Mon dossier» de l’Agence du revenu du Canada n’était pas disponible dimanche matin.
Cette décision intervient à un moment où de nombreuses entreprises et citoyens canadiens utilisent le site Web de l’agence pour s’inscrire à divers programmes financiers mis en place pour les aider pendant la pandémie du COVID-19.
Selon un haut fonctionnaire fédéral, le gouvernement espère rétablir le service en ligne aux entreprises d’ici lundi. C’est à partir de cette date qu’ils ont pu souscrire aux derniers services d’assistance qui leur étaient destinés. On ne sait pas si la suspension des services aura un autre impact sur les programmes fédéraux tels que l’Allocation canadienne pour enfants et l’Allocation canadienne d’urgence.
L’ARC reste vague sur ce que les victimes de ces cyberattaques doivent faire pour restaurer leurs comptes. Elle dit simplement qu’une lettre leur sera envoyée.
Au moins une victime dit qu’elle attend toujours les nouvelles du gouvernement après que quelqu’un a déjà piraté son compte de l’ARC pour s’inscrire avec succès à la prestation d’urgence mensuelle du Canada de 2 000 $.
Leah Baverstock de Kitchener, en Ontario, dit qu’elle a découvert que son compte avait été piraté lorsqu’elle a reçu plusieurs courriels de l’ARC le 7 août annonçant que sa demande de PKU avait été acceptée. Cependant, elle n’a pas perdu son emploi pendant la pandémie et n’a jamais fait une telle demande. Elle a également appelé l’agence.
«La dame à qui je parlais a pensé que c’était bizarre», dit-elle. Elle m’a alors dit qu’un de ses supérieurs devait m’appeler dans les 24 heures car mon compte n’était pas disponible. Et je n’en ai pas entendu plus. «
Mme Baverstock a exprimé sa frustration face à ce manque de suivi. Elle dit toujours qu’elle ne sait pas comment les pirates ont pu accéder à son compte. Elle a contacté sa banque et d’autres institutions financières pour leur demander d’empêcher les pirates d’utiliser ses informations personnelles pour commettre d’autres fraudes. «Je suis très inquiet. Tout le monde peut utiliser mon nom. Qui sait ? «
Les services en ligne du gouvernement fédéral qui utilisent GCKey pour y accéder ont été la cible de cyberattaques affectant 14 541 comptes, a déclaré samedi le Secrétariat du Conseil du Trésor du Canada dans un communiqué.
Utilisé par près de 30 ministères fédéraux, GCKey donne aux Canadiens accès à des services comme mon compte ou leurs comptes d’immigration, de réfugiés et de citoyenneté au Canada. Les mots de passe et noms d’utilisateur de 9 041 Canadiens ont été acquis frauduleusement et utilisés pour tenter d’accéder aux services publics.
«Tous les comptes GCKey concernés ont été annulés dès que la menace a été détectée», selon le gouvernement fédéral, qui garantit que les ministères concernés communiqueront avec les Canadiens touchés par cette cyberattaque.
La Gendarmerie royale du Canada (GRC) et le Commissariat du Canada à la protection de la vie privée ont été informés de ces cyberattaques visant les renseignements personnels des Canadiens. LIEN
Le gendarme européen de la cybersécurité a été alerté en début d’année sur la sécurité informatique dans les hôpitaux. Liste des recommandations à suivre pour assurer la sécurité de leur réseau informatique.
L’UE fournit dix conseils pour protéger les hôpitaux contre les cyberattaques
Les hôpitaux deviennent une cible de plus en plus tentante pour les cybercriminels. D’autant moins depuis la crise sanitaire, qui place le réseau hospitalier et le marché de la santé au premier plan des risques croissants de cyberattaques.
La taille des réseaux hospitaliers, l’importance vitale du parc de PC dans les réseaux qui restent opérationnels, car la manière dont une grande partie des systèmes informatiques liés à la santé fonctionnent sur des systèmes d’exploitation non pris en charge signifie que la protection des hôpitaux contre les cyberattaques devient de plus en plus compliquée tâche aujourd’hui.
Les pirates informatiques en profitent, soit pour distribuer des ransomwares, soit pour tenter de voler des informations personnelles sensibles aux patients. Pour lutter contre ces menaces croissantes, l’ENISA, l’agence européenne de cybersécurité, a publié en début d’année une liste de recommandations destinées aux responsables informatiques des hôpitaux. Bien que cette liste s’adresse principalement au secteur de la santé, la plupart des recommandations émises par Bruxelles ont une portée plus large.
« Protéger les patients et assurer la résilience de nos hôpitaux est une partie essentielle du travail de l’Agence pour rendre le secteur européen de la santé cyber-sûr », a déclaré Juhan Lepassaa, PDG de l’ENISA, entre autres. Le document intitulé «Directives pour la passation de marchés pour la cybersécurité dans les hôpitaux» recommande dix bonnes pratiques pour rendre le secteur de la santé plus résilient aux cyberattaques.
Impliquer le service informatique dans les achats
Cela semble évident, mais impliquer l’informatique dans l’approvisionnement dès le départ garantit que la cybersécurité est prise en compte dans toutes les phases du processus d’approvisionnement technologique. Ce faisant, des recommandations peuvent être faites sur la manière dont les nouvelles technologies s’intègrent dans le réseau existant et quelles mesures de sécurité supplémentaires peuvent être nécessaires.
Mettre en place un processus d’identification et de gestion des vulnérabilités
Nous vivons dans un monde imparfait, et il existe des produits qui contiennent des vulnérabilités, connues ou non encore découvertes. Avoir une stratégie en place pour faire face aux vulnérabilités tout au long du cycle de vie d’un appareil peut aider l’équipe de sécurité à se tenir au courant des problèmes de sécurité potentiels.
Développer une politique de mise à jour matérielle et logicielle
Les chercheurs en sécurité découvrent souvent de nouvelles vulnérabilités dans les appareils et les systèmes d’exploitation. Cependant, le réseau informatique de l’hôpital a toujours été incapable de garantir l’utilisation des correctifs – et c’est l’une des raisons pour lesquelles le ransomware WannaCry a eu un tel impact sur le NHS, le service public de la santé à travers le canal.
Le document, publié par Bruxelles, recommande donc aux services informatiques de déterminer le moment le plus approprié pour appliquer les correctifs dans chaque segment du réseau, ainsi que de déterminer des solutions pour les machines qui ne peuvent pas être réparées, par ex. Segmentation.
Renforcez les contrôles de sécurité pour la communication sans fil
L’accès aux réseaux hospitaliers doit être limité par des contrôles stricts, ce qui signifie que le nombre d’appareils connectés doit être surveillé et connu afin que tout appareil inattendu ou indésirable essayant d’y accéder soit identifié. Le document publié par les autorités européennes recommande que le personnel non autorisé n’ait pas accès au Wi-Fi et que les mots de passe réseau soient conçus pour être forts et difficiles à déchiffrer.
Création de politiques de test plus strictes
Les hôpitaux qui acquièrent de nouveaux produits informatiques devraient établir un ensemble minimum de tests de sécurité à effectuer sur les nouveaux appareils ajoutés aux réseaux – y compris des tests de pénétration, une fois ajoutés au réseau, pour prendre en compte les tentatives des pirates. abuser.
Créez des plans d’affaires pour la continuité
Des plans de continuité des activités doivent être élaborés chaque fois qu’une défaillance du système menace de perturber les services hospitaliers de base – qui dans ce cas sont les soins aux patients – et le rôle du prestataire dans ces cas. doit être bien défini.
Prendre en compte les problèmes d’interopérabilité
La capacité des machines à transmettre des informations et des données est essentielle au bon fonctionnement des hôpitaux, mais elle peut être compromise en cas de cyberattaque ou de temps d’arrêt. L’hôpital doit avoir des plans de sauvegarde au cas où cette opération serait compromise.
Autoriser le test de tous les composants
Les systèmes doivent être testés régulièrement pour s’assurer qu’ils offrent une bonne sécurité en combinant convivialité et sécurité – par exemple, le service informatique doit s’assurer que les utilisateurs n’ont pas changé des mots de passe complexes pour des mots de passe plus simples. Tout cela doit être pris en compte lors des tests, explique le document fourni par l’ENISA.
Autoriser l’audit des réseaux informatiques La conservation des journaux des tests et de l’activité du réseau permet de suivre plus facilement ce qui s’est passé et comment les attaquants ont accédé au système en cas de compromission, ainsi que d’évaluer quelles informations ont été compromises. «La sécurisation des journaux est l’une des tâches de sécurité les plus importantes», explique le document.
Avec un ransomware, le group Nefilim ont attaqué le groupe SPIE en juillet. Si le groupe a réussi à récupérer ses systèmes, des données volées sont diffusées depuis hier par des attaquants.
Le groupe SPIE ciblé par les ransomwares en juillet
Le groupe SPIE n’a pas échappé à la vague de ransomwares qui a touché les entreprises françaises en juillet. Comme le rapporte leMagIT, le groupe SPIE, spécialisé dans les réseaux d’énergie et de télécommunications, a été pris pour cible par les opérateurs de rançongiciels Nefilim début juillet. Le ransomware a été activé dans la nuit du 13 au 14. Juillet et a bloqué plusieurs serveursWindows du groupe, provoquant un «temps d’arrêt des applications métier», selon un porte-parole de Spie. L’entreprise précise néanmoins que l’impact opérationnel est resté très limité et que les équipes se sont immédiatement activées pour remettre en service les systèmes concernés.
Comme c’est maintenant le cas avec les attaques de ransomwares, cela a également entraîné le vol de données. Hier, les opérateurs de ransomware nefiliim ont commencé à placer sur leur blog des archives sur des fichiers qu’ils prétendent volés sur les serveurs du groupe. Une archive 10go est proposée et le blog montre que cette archive n’est que la première partie des données publiées. Le groupe SPIE, pour sa part, confirme que « des données internes et des données d’un nombre très limité de clients peuvent avoir été volés » et assure avoir pris contact avec les clients concernés.
La distribution en ligne de données volées n’est pas une bonne nouvelle pour SPIE, mais cela indique que l’entreprise a choisi de ne pas payer la rançon exigée par les cybercriminels et a réussi à remettre ses systèmes en marche sans récupérer la clé de décryptage utilisée par les ransomwares.
Le groupe Nefilim avait déjà été à l’origine de l’attaque d’Orange Business Services début juillet.
Coveware collecte des données mondiales sur les ransomwares et la cyber-extraction pour minimiser les coûts et les temps d’arrêt associés.
Une réponse professionnelle et transparente aux incidents de ransomware. Lorsque le ransomware arrive et que les sauvegardes échouent.
Coveware vous aide à vous concentrer sur votre récupération en interne, tandis que les équipes de professionnels de Coveware gèrent le processus de négociation de cyber-chantage et de récupération de données cryptées par le ransomware. Laissez les experts ransomware guider votre entreprise pour une récupération sûre, compatible et rapide des ransomwares.
Sécurité: les attaques de ransomwares ciblant Garmin et CarlsonWagonLit ont apparemment porté leurs fruits pour les cybercriminels. Dans les deux cas, les preuves suggèrent que les entreprises ont effectivement payé les rançons requis.
Officiellement personne ne paie de rançon
La société Garmin a été prise pour cible le 23 juillet par des attaquants utilisant le ransomware WastedLocker, un correctif apparu en mai 2020 et apparemment lié au groupe Evil Corp. L’attaque a complètement incarné les systèmes de l’entreprise, qui offrent des services GPS utilisés à la fois dans plusieurs appareils connectés et dans des applications utilisées dans l’aviation. La semaine dernière, Garmin a annoncé un « retour progressif aux opérations » après une longue semaine de silence radio.
Comme le rapporte Bleeping Computer, cela n’est pas dû au retour à la normale, notamment à la compétence et à la prévoyance des équipes informatiques de l’entreprise: le magazine britannique explique qu’il a pu accéder au logiciel de décryptage utilisé par les équipes Garmin pour récupérer ‘accès aux business units.
«Une fois que ce package de récupération a été déballé, il contient divers installateurs de logiciels de sécurité, une clé de déchiffrement, un déchiffreur WastedLocker et un script pour les exécuter», explique Bleeping Computer, notant que la clé de déchiffrement et le déchiffreur ont probablement été obtenus grâce au paiement d’une rançon.
Bleeping Computer rapporte également que le package comprend des références à Emsisoft et Coveware, deux sociétés américaines de cybersécurité spécialisées dans les ransomwares. Coveware fait une offre de soutien aux victimes de ransomwares, et une étude de Propublica l’année dernière a révélé que l’entreprise se positionnait souvent comme un médiateur dans les négociations entre victimes et attaquants. Emsisoft propose de développer un logiciel de décryptage pour les victimes qui ont réussi à récupérer la clé de cryptage de l’attaquant mais qui préfèrent éviter d’utiliser le logiciel de décryptage fourni par l’attaquant. Les deux sociétés ont donc probablement aidé Garmin à récupérer la clé de cryptage et à récupérer les machines affectées par les ransomwares.
Le montant exact de la rançon versée par Garmin n’est pas connu, mais selon des sources internes de l’entreprise citées par la presse américaine, les attaquants ont initialement demandé 10 millions de dollars.
Garmin a mis la main dans le pot de confiture, mais ils peuvent se réconforter en pensant qu’ils ne sont pas les seuls cette semaine. En fait, la société Carlson Wagonlit Travel (CWT) a également été ciblée sur les ransomwares: cette fois, il s’agit d’un groupe utilisant le ransomware RagnarLocker. Vendredi dernier, le groupe CWT s’est contenté d’évoquer « une attaque informatique » et a refusé de commenter le sujet tel que rapporté par LeMagIT.
Mais les chercheurs en sécurité ont découvert, jeudi 30 juillet, sur le service VirusTotal, un échantillon de produits de rançon RagnarLocker contenant une rançon spécifiquement adressée à CWT. Cela a été téléchargé sur le service de découverte le 27 juillet. Le chercheur de MalwareHunterTeam, JamesWT, qui a découvert l’échantillon, retrace également les transactions qui ont eu lieu à l’adresse bitcoin fournie par l’attaquant en rançon. Et cela indique avoir reçu un paiement de 414 bitcoins, soit 4,5 millions de dollars par. 28 juillet: sur la blockchain Bitcoin, toutes les transactions sont enregistrées et sont accessibles au public.
La société CWT, spécialisée dans les voyages d’affaires, a été victime du ransomware Ragnar Locker et aurait payé 4,5 millions de dollars pour reprendre ses activités normales.
Carlson Wagonlit Travel a choisi la voie des négociations depuis Ragnar Locker.
Constatons-nous un pic de l’activité des ransomwares cet été? C’est la question que l’on peut se poser à la lumière des différents cas. Le dernier après Garmin, Carlson Wagonlit Travel (CWT), spécialiste des voyages d’affaires, a également été attaqué par un ransomware. Selon Reuters, la société a payé 4,5 millions de dollars pour redémarrer les 30 000 PC recroquevillés par l’attaque. De plus, les hackers auraient téléchargé 2 To de données, dont certaines sont considérées comme sensibles (informations de facturation, souscriptions d’assurance, comptes, etc.).
Si CWT a confirmé avoir subi un «cyber incident», la société nie le vol de données. Un moyen de rassurer les clients qui comprend de nombreuses grandes entreprises comme Axa Equitable, Abbot Laboratories, AIG, Amazon, Facebook ou Estée Lauder. Le groupe a ouvert une enquête sur les attaques et les évasions, mais la reprise aurait été particulièrement rapide.
Ragnar Locker et une négociation de rançon publique
Selon JameWT de l’équipe Malware Hunter, le ransowmare impliqué est Ragnar Locker. Ce dernier n’est pas étranger et utilise les vulnérabilités RDP dans Microsoft Windows. Dernièrement, il a même réussi à se camoufler comme une machine virtuelle. Le poids lourd de l’énergie portugais EDP (Energias de Portugal) en avait fait les frais: des cyber-hackers parvenaient à accéder à 10 To de données sensibles, et une rançon de près de 11 millions de dollars (1580 bitcoins) avait alors été demandée.
Dans le cas de CWT, les pirates ont initialement exigé le paiement de 10 millions de dollars en bitcoin. Nos collègues de Reuters ont pu observer l’échange entre les pirates et le responsable de la société (dans ce cas le CFO) dans un groupe de discussion public en ligne. DAF a expliqué que la société avait été durement touchée par la pandémie de Covid-19 et avait donc accepté de payer 4,5 millions de dollars soit 414 bitcoins. Le paiement a été réglé le 28 juillet. Avec humour, les hackers ont même donné à CWT quelques conseils de sécurité « fermer RDP et autres services, mettre en place une liste blanche IP (rdp / ftp), installer un EDR, avoir au moins 3 administrateurs fonctionnant 24h / 24… ». Après Garmin, l’affaire CWT montre que de plus en plus d’entreprises n’hésitent pas à payer une rançon pour reprendre rapidement leurs activités. Les effets de la pandémie de Covid-19 ont affaibli les entreprises et elles ne peuvent pas se permettre une longue procédure.
Quatre ans après son lancement, l’initiative No More Ransom a permis à plus de 4 millions de victimes d’attaques de ransomwares de récupérer leurs fichiers gratuitement.
650 millions d’euros économisés grâce à l’initiative No More Ransom
Au cours des quatre premières années de l’initiative No More Ransom d’Europol, plus de 4 millions de victimes d’attaques de ransomwares ont évité de payer plus de 650 millions d’euros en réponse aux demandes d’extorsion de groupes de cybercriminels.
Lancé pour la première fois en 2016 avec quatre membres de base, No More Ransom fournit des outils de décryptage gratuits pour les ransomwares et n’a cessé de croître depuis. Aujourd’hui, il compte 163 partenaires dans les domaines de la cybersécurité, de la police, des services financiers et autres. Ensemble, ils ont mis des outils de décryptage gratuits à la disposition de plus de 140 familles de ransomwares, téléchargés plus de 4,2 millions de fois.
Les principaux contributeurs au projet incluent Emisoft, fournisseur de 54 outils de décryptage pour 45 familles de ransomwares; membre fondateur de Kaspersky, qui a fourni 5 outils à 32 familles de ransomwares; et Trend Micro, qui a fourni 2 outils de décryptage à 27 familles de ransongware. Parmi les autres sociétés de cybersécurité qui ont participé à No More Ransom, figurent également Avast, Bitdefender, Check Point, ESET et le membre fondateur McAfee.
Un outil populaire
No More Ransom est désormais disponible en 36 langues et accueille des invités de 188 pays à travers le monde. Les visiteurs sont principalement situés en Corée du Sud, aux États-Unis, au Brésil, en Russie et en Inde.
«No More Ransom est l’association entre tous les partenaires clés et les forces de l’ordre du monde entier, et tout le monde évolue dans la même direction. Comme tout le monde contribue à cette menace, nous trouvons des mesures concrètes pour lutter contre les ransomwares en tant que mesure préventive », explique Edvardas Šileris, directeur du Centre européen de cybercriminalité d’Europol, dans un entretien avec ZDNet.
«En fin de compte, ce n’est pas combien d’argent ils économisent qui compte, mais plutôt combien de personnes récupèrent leurs fichiers gratuitement. Il est tout aussi important pour un parent de restaurer les photos de ses proches que pour une entreprise de restaurer son réseau », ajoute-t-il.
La menace grandit
Bien que No More Ransom se soit avéré utile aux victimes de ransomwares, Europol lui-même ajoute que la prévention reste le meilleur moyen de se protéger contre les attaques. D’autant plus aujourd’hui que la nature en constante évolution des ransomwares signifie qu’il existe de nombreuses formes de logiciels malveillants qui ne disposent pas d’outils de décryptage gratuits … et peut-être pas. jamais.
Europol recommande plusieurs mesures de précaution, telles que la sauvegarde hors ligne de fichiers importants. Ainsi, en cas d’attaque, ils peuvent être récupérés immédiatement, qu’un outil de décryptage soit disponible ou non. L’organisation recommande également aux utilisateurs de ne pas télécharger de programmes à partir de sources suspectes ou d’ouvrir des pièces jointes provenant d’expéditeurs inconnus pour éviter d’être victimes d’une attaque de phishing.
Malgré les efforts de No More Ransom et d’autres initiatives de cybersécurité, les ransomwares restent très efficaces pour les cybercriminels, qui parviennent souvent à gagner des centaines de milliers, voire des millions, de dollars en une seule attaque. Cependant, l’application de mises à jour et de correctifs de sécurité aux PC et aux réseaux peut contribuer grandement à arrêter ces types d’attaques. LIEN
De nombreuses entreprises sont ciblées. Après Orange, MMA, CPM, c’est au tour de Misterfly dans l’industrie du tourisme d’être victime d’une cyberattaque dite «ransomware» le 13 juillet. L’entreprise a envoyé un mail à tous ses partenaires pour expliquer la situation.
Misterfly victime d’une cyberattaque par ransomware
dans une lettre adressée à ses agences de voyages partenaires, Misterfly déclare avoir été victime d’une cyberattaque dite «ransomware».
« La conséquence de cette cyberattaque a été de rendre inaccessible une partie du réseau informatique de MisterFly », ajoute le communiqué.
Personne de contact pour nous Frédéric Pilloud, directeur du e-commerce, précise: «Nous savons que les pirates ont réussi à copier un certain nombre de fichiers, et tout notre travail d’analyse est de savoir de quels fichiers il s’agit. Une chose est sûre, que ce ne soit pas ce ne sont pas des informations bancaires car elles ne passent pas par nous « .
Le site de réservation de billets utilise la norme PCI DSS (imposée par Iata), qui garantit le non-stockage des informations de paiement. Ces données sont diffusées directement aux organismes de paiement.
« Le risque maximum serait que les données sur les réservations de nos clients et leurs coordonnées soient disponibles en ligne, mais nous ne sommes pas sûrs. Et avec ces données, il ne serait pas possible de modifier ou d’annuler une réservation, mais je répète pour le moment que nous ne le faisons pas. savoir exactement quels fichiers sont ciblés », explique le directeur e-commerce.
Plusieurs entreprises ont été la cible du même type d’attaque. Les dernières concernent notamment la compagnie d’assurance MMA, Orange et la société multiservices CPM International France, selon le site spécialisé Zataz.com.
Les ransomwares sont des logiciels malveillants qui prennent en otage des données personnelles. «Le contexte général de la mise en œuvre du télétravail et des connexions entre salariés via les VPN favorise ce type d’attaque», souligne Frédéric Pilloud, «Dans notre cas, quelqu’un a ouvert un dossier qu’il ne devait pas ouvrir».
Misterfly s’excuse donc pour l’impact «que cela peut avoir sur la durée du traitement». Et ajoute: « Dans tous les cas, nous vous recommandons de rester vigilant, surtout si vous recevez des communications non sollicitées. Nous vous rappelons d’être particulièrement prudent avec les communications qui prétendent provenir de MisterFly et qui doivent être faites régulièrement, nous vous recommandons change votre mot de passe sur notre site MFPro. «
Une équipe dédiée dans l’entreprise est sur le pont et travaille pour mesurer l’étendue de l’attaque.
Des clubs de football de Premier League ont été la cible de cyberattaques par ransomwares.
Les clubs de football anglais sous les projecteurs des cybercriminels
Les cybercriminels et les pirates informatiques échangent activement des équipes sportives, des organisations et des ligues par le biais de phishing, d’attaques de ransomwares et d’autres moyens dans le but de collecter des sommes énormes. Le gendarme britannique de la cybersécurité a détaillé les cybermenaces auxquelles sont confrontés les clubs de football professionnels, révélant que plus de 70% de ces institutions sportives britanniques ont été victimes d’une tentative de piratage au cours des 12 derniers mois.
Près d’un tiers des clubs de la « Premier League », l’élite du football anglais, ont enregistré au moins cinq attaques, principalement menées pour des raisons économiques. Le rapport avertit que ces attaques ne sont pas menées par des États, mais par des groupes malveillants.
Les principales cyberattaques contre lesquelles les organisations sportives sont mises en garde sont les campagnes de phishing, de courrier électronique, de fraude et de ransomware utilisées pour verrouiller les systèmes et les stades lors d’événements critiques. Un quart des attaques de logiciels malveillants ciblant des organisations sportives auraient impliqué des ransomwares.
Le transfert se transforme en drame
L’un des incidents les plus critiques signalés par le gendarme britannique de la cybersécurité concernait le piratage du compte de messagerie d’un directeur général d’un club de football. Elle avait eu lieu avant qu’un transfert ne soit négocié et avait presque conduit au vol de la somme de 1 million de livres sterling. Par les cybercriminels via des messages commerciaux compromis.
Le responsable du club, dont l’identité n’a pas été révélée, a fourni par inadvertance ses informations d’identification sur une page de connexion Office 365 falsifiée. Il a ainsi donné aux attaquants ses coordonnées et la possibilité de surveiller ses courriels – dont un concernant le transfert imminent d’un joueur. Les attaquants ont utilisé les informations volées pour entamer un dialogue entre les deux clubs, et l’accord a même été approuvé – mais le paiement n’a pas été effectué car la banque a identifié le compte des cybercriminels comme frauduleux.
Un stade piraté
Un autre exemple des autorités britanniques a été une attaque de rançon contre un club de football anglais qui a brisé les systèmes de sécurité et d’entreprise et a empêché les tourniquets de fonctionner et les supporters d’entrer ou de sortir du stade. L’attaque a failli entraîner l’annulation du match de championnat, ce qui aurait coûté au club des centaines de milliers de livres, soit l’équivalent des revenus qui auraient été perdus.
Des pirates auraient pénétré sur le réseau via un e-mail de phishing ou un accès à distance au système de vidéosurveillance connecté. Une fois que les pirates sont arrivés, ils ont pu se propager sur le réseau car il n’était pas segmenté. Les attaquants ont exigé 400 bitcoins pour ne pas avoir exécuté leurs menaces. Mais le club n’a pas payé et a fini par restaurer le réseau lui-même.
Renforcer la sécurité
L’avertissement aux clubs sportifs et aux organisations de ligue de rester vigilants contre les cyberattaques intervient à un moment où beaucoup d’entre eux ont déjà des difficultés financières en raison de l’impact de la pandémie de coronavirus sur les événements sportifs, dont beaucoup ont été annulés ou contraints de se dérouler à huis clos. La perspective de perdre plus d’argent à une cyberattaque peut donc être très dommageable.
Pour aider à se protéger contre les cyberattaques, les autorités britanniques recommandent aux organisations sportives d’introduire des contrôles de sécurité des e-mails, une mesure qui, selon le rapport, n’est « pas appliquée de manière cohérente » partout. secteur. Les organisations doivent également veiller à ce que leur personnel reçoive une formation en cybersécurité et à ce que la gestion des risques informatiques soit prise au sérieux à tous les niveaux.
Et pour se protéger contre les ransomwares et autres cyberattaques d’infrastructure, les entreprises doivent s’assurer que tous les systèmes sont à jour avec les dernières mises à jour de sécurité pour empêcher les criminels de les exploiter. vulnérabilités connues. L’accès à distance doit également être restreint là où il n’est pas nécessaire.
L’agence de santé numérique a publié la semaine dernière son rapport 2019 sur l’évolution des incidents de sécuritéinformatique affectant les centres de santé. Le rapport note que les ransomwares, comme le secteur privé, ne sont pas sortis dans les établissements de santé en 2019.
Les centres de santé des plus ciblés par les ransomware en 2019
Garmin a dû fermer plusieurs de ses services, entravé par une attaque massive de ransomware. L’entreprise annonce plusieurs jours de disruption, le temps de reprendre les choses en main. Le service Garmin Connect en particulier est en panne. En conséquence, de nombreux utilisateurs des montres connectées de la marque ont du mal à synchroniser leurs données de suivi.
Garmin a subi une attaque de ransomware dévastatrice le 22 juillet. Si vous possédez une montre intelligente de marque et que vous rencontrez des difficultés pour synchroniser vos données avec Garmin Connect, vous n’êtes pas seul. Le service fait partie de ceux affectés par la cyberattaque. Sur les réseaux sociaux, de nombreux utilisateurs se disent accueillis par un message d’erreur indiquant que le service est temporairement en panne, ce que la marque confirme dans un communiqué. À partir de ce moment, le problème n’est toujours pas résolu. Les conséquences pour l’entreprise et ses clients devraient durer plusieurs jours.
Toutes les smartwatches Garmin sont concernées
«Nos serveurs sont actuellement hors service pour maintenance, ce qui affecte Garmin Connect Mobile, notre site Web et Garmin Express. Nous faisons de notre mieux pour résoudre le problème le plus rapidement possible ». L’attaque concernant les serveurs de la marque, toutes les montres connectées à Garmin sont potentiellement affectées. L’arrêt affecte également les centres d’appels de la marque, qui ne peuvent pas recevoir d’appels, d’e-mails ou de messages via leur chat en ligne.
Garmin se tait sur les causes de cette énorme panne de courant, cachée sous couvert de maintenance. Mais selon les indiscrétions des salariés de la marque, il est actuellement en cours de fonctionnement de produits en vrac appelés WastedLocker, information confirmée par Phil Stokes, un chercheur en sécurité au sein de la société SentinelOne.
On pense que le ransomware WastedLocker était à l’origine de l’incident
Ce n’est pas la première fois qu’un ransomware détruit une entreprise ou une institution. En août 2019, de tels malwares ont attaqué plus d’une centaine d’hôpitaux français. En décembre de cette année-là, une cyberattaque s’est écrasée en raison du réseau de ransomware New Orleans. Mais récemment, c’est WastedLocker qui est l’essentiel de la conversation. Ce correctif relativement nouveau a été créé par Evil Corp, un formidable groupe de cybercriminels russes. Ce malware est répandu depuis mai 2020 et a déjà affecté des entreprises de plusieurs secteurs, y compris de grandes entreprises du Fortune 500 aux États-Unis. Garmin également connu pour son GPS et ses Dashcams ont été ajoutés à la liste. Nous ne connaissons pas encore l’ampleur des dégâts que cette cyberattaque a causés à l’entreprise.
Selon le site Web ZDnet, la «maintenance» annoncée par la marque devrait se poursuivre jusqu’à ce week-end, selon une note interne de Garmin qui aurait été divulguée après avoir été partagée avec ses partenaires à Taiwan.
Depuis des semaines, je mets en garde contre le danger des ransomwares. Parce que les voyous opposés sont organisés, très organisés. Le nombre de cas «confirmés» a été multiplié par sept entre le 18 juin 2020 et le 18 juillet 2020. Parmi les blessés récents figurent la compagnie d’assurance MMA et la société multiservices CPM International France.
Un autre correctif! le slogan devient fatigant car les cas se multiplient trop. Selon mes conclusions, les cyberattaques (connues) ont été multipliées par sept entre le 18 juin 2020 et le 18 juillet 2020. Parmi les victimes francophones les plus récentes figurait une filiale de l’opérateur Orange et de la compagnie d’assurance MMA.
Des centaines de clients touchés! Le deuxième objectif est CPM International. Selon les informations que j’ai pu recueillir, c’est le groupe NetWalker qui s’est infiltré dans la filiale France Omniservices / Omnicom. Cette société agit comme un centre de services partagés pour les fonctions de support (ressources humaines, finance et informatique). Netwalker a donné à l’entreprise neuf jours pour payer le double de la rançon: déchiffrer et / ou ne pas diffuser les documents volés lors de l’infiltration de l’entreprise.
Et le problème est énorme. Netwalker cache les fichiers volés, même avant le paiement de la rançon. Comme leur système est automatisé, le mot de passe pour accéder aux fichiers s’affiche à la fin du compte à rebours. Cela signifie que les informations sont déjà disponibles en ligne pour ceux qui ont le lien et le mot de passe pour accéder aux fichiers!
Dans ce dernier cas, le siège social du Mans ainsi que des agences ont été touchés.LIEN
20 sociétés sont concernées, dont l’avionneur français ATR.
Malgré sa réputation d’entreprise de cybersécurité solide, Orange a subi une cyberattaque majeure dans la division Orange Business Services. Selon les allégations de pirates appartenant au groupe Nefilim, plusieurs clients commerciaux auraient été touchés lors d’une attaque subie le week-end du 4 juillet.
Orange Business Services victime d’un ransomware
350 Mo de données volées à Orange Business Services Après le fameux WannaCry et la récente attaque contre l’Université de Rouen, c’est au tour d’Orange Business Services d’être victime d’une rançon. Plus de 350 Mo de données ont été volés lors de cette cyberattaque qui a eu lieu au début du mois. Il s’agit du département dédié aux entreprises directement ciblées par les hackers. Le groupe de hackers connu sous le nom de Nefilim a dévoilé son butin sur son site Web pour revendiquer l’attaque et prouver qu’Orange n’est pas invincible. La division Orange Business Services a reconnu les faits. Un ransomware de type cryptovirus a effectivement eu lieu.
Selon la société française, l’impact de cette cyberattaque serait encore limité. Les pirates ont pu voler « uniquement » les données hébergées sur une plate-forme appelée Neocles, qui est en cours de fermeture. Tous les clients concernés par ce vol de données ont apparemment été prévenus par Orange dans le processus. Les pirates ont réussi à voler des e-mails et des cartes de vol. Une vingtaine d’entreprises ont été touchées par l’attaque. L’avionneur français ATR, filiale d’Airbus, aurait été touché. Les cartes de vol volées proviennent de son domicile.
Une cyberattaque difficile à contrer
En mars dernier, une étude a montré que la majorité des ransomwares ont lieu en dehors des heures de travail, les soirs ou les week-ends. Cette cyberattaque confirme pleinement l’enquête FireEye. Pour être précis, 76% du ciblage des ransomwares se fait en dehors des heures d’ouverture. Quand ils sont les plus vulnérables. L’attaque dont Orange Business Services a été victime a eu lieu un samedi soir … Pendant ces fenêtres horaires, personne ne peut réagir immédiatement et fermer le réseau. Le processus de rançongiciel sera donc plus susceptible de réussir.
Nefilim est un collectif de jeunes hackers. Le groupe est apparu il y a seulement quelques mois et a déclaré qu’il n’attaquerait pas les hôpitaux, les écoles ou les gouvernements. Le Centre d’attaque et de réponse informatique de Nouvelle-Zélande a déjà révélé les méthodes que ce groupe a utilisées pour atteindre ses objectifs.
Orange regrette le potentiel d’accès indésirable aux données d’une vingtaine de clients professionnels. Il s’agit du ransomware Nefilim. Orange a donc décidé de se déclarer victime de ransomware.
Selon toute vraisemblance, ce correctif est Nefilim. Ses premières traces remontent à fin février. C’est un dérivé de JSWorm, lancé début 2019 et renommé depuis Nemty.
Le groupe télécom indique que l’attaque a affecté son département Orange Business Services dans la nuit du 4 au 5 juillet. Il aurait révélé les données d’une vingtaine de clients de l’offre « pack informatique ». Composé de « postes de travail virtualisés pour PME » basés sur les technologies Microsoft.
En chiffres absolus, la communication ne mentionne pas Nefilim – juste un « cryptovirus ». Mais il ne fait aucun doute que l’on considère la liste officielle des victimes (disponible sur un site du réseau Tor). Les opérateurs de ransomware ont ajouté Orange le 15 juillet. Et en parallèle avec une archive de 339 Mo, qui contient entre autres des fichiers du constructeur aéronautique ATR Aircraft.
Nefilim, vraisemblablement distribué sur des connexions RDP mal sécurisées, utilise le chiffrement d’enveloppe. Il crypte les fichiers avec une clé AES-128, même cryptée avec une clé RSA-2048 intégrée au code du ransomware. Deux éléments principaux le distinguent de Nemty. D’une part, le paiement s’effectue par e-mail et non via un portail Tor. En revanche, il n’a jamais été commercialisé selon le modèle « as a service » (c’est-à-dire ouvert au public).LIEN
Malgré l’augmentation du nombre d’attaques pendant l’enceinte de confinement, un sur cinq admet qu’il n’a pas pu accéder à une sauvegarde de ses données en cas de besoin
Ontrack, leader mondial des services de récupération de données, dévoile les résultats d’une enquête européenne sur les ransomwares. Quatre entreprises sur dix (39%) n’ont pas de plan d’urgence contre les ransomwares ou ne savent pas s’il en existe un. Et cela malgré un nombre sans précédent de ransomwares enregistrés au cours des 12 derniers mois1.
Les cyberattaques et les violations de données peuvent avoir de graves conséquences pour les entreprises en termes de temps d’arrêt, de dommages financiers et de réputation de l’entreprise. Les attaques de ransomwares visant à chiffrer les données d’une victime et à réclamer des frais pour les récupérer continuent d’être fréquentes. Malheureusement, les blessures peuvent être graves et généralisées. La plus grande attaque à ce jour – WannaCry – aurait touché plus de 200 000 ordinateurs dans 150 pays différents. Les ransomwares sont courants aujourd’hui et ont été exacerbés par la tendance actuelle du travail à domicile.
Un sur cinq (21%) a déclaré avoir été victime d’une attaque de ransomware et plus d’un quart (26%) a reconnu ne pas avoir pu accéder à une sauvegarde de son ordinateur après l’attaque. . Même lorsque les entreprises pouvaient accéder à une sauvegarde fonctionnelle, 22% d’entre elles ne pouvaient récupérer qu’une partie ou la totalité des données.
Dans la plupart des pays, les employés ont travaillé pendant quelques mois avec des paramètres complètement différents, où les nouveaux risques de sécurité sont élevés et où les cybercriminels trouvent de nouvelles façons d’exploiter les faiblesses qu’ils peuvent trouver.
« Nous avons constaté une augmentation significative du nombre de cas de ransomwares depuis le début du confinement », a déclaré Philip Bridge, président d’Ontrack, LLC. «Malheureusement, nous sommes à un moment où l’augmentation des distractions à la maison a conduit à une plus grande complaisance du personnel. Par exemple, en cliquant sur des liens infectés par des ransomwares, ils ne cliqueraient pas s’ils étaient au bureau. «
Bien que les avantages soient nombreux, le travail à distance observé pendant le confinement peut rendre le réseau et les systèmes informatiques d’une entreprise vulnérables. Il ajoute un grand nombre de points de terminaison aux entreprises où il n’y en avait pas auparavant. De plus, nombre d’entre eux sont considérés comme des « Shadow IT » (systèmes / solutions informatiques utilisés par un (des) employé (s), non autorisés ou pris en charge par l’organisation informatique de l’entreprise) et ne sont pas validés par l’employeur.
« La menace des ransomwares n’a jamais été aussi grande. Le fait que 39% des répondants à notre enquête disposent d’un plan d’urgence pour les attaques de ransomwares est inquiétant. Ils jouent avec leurs données et leurs clients. Il est impératif de s’assurer que les entreprises a mis en place des processus et des procédures pour atténuer l’impact de toute cyberattaque et protéger les données sensibles « , a ajouté M. Bridge.
Dans le cadre de cette étude, Ontrack a interrogé 484 entreprises en France, en Allemagne, en Italie, en Espagne, au Royaume-Uni et aux États-Unis.
Une nouvelle solution appelée Try2Cry a été récemment découverte par un chercheur en sécuritéinformatique. Il distingue la propagation à d’autres PC en infectant les clés USB et en utilisant des raccourcis Windows (fichiers LNK).
Windows 10, 7 et 8.1: méfiez-vous de ce ransomware qui se propage dans les raccourcis et les clés USB!
Une nouvelle solution appelée Try2Cry a récemment été mise en lumière par le chercheur en sécurité informatique Karsten Hahn, analyste de l’éditeur d’antivirus G Data Software. Selon ses informations, ce ransomware tente de se frayer un chemin vers d’autres PC en infectant les clés USB connectées à l’appareil actuellement attaqué.
Après avoir infecté un périphérique, Try2Cry s’assure de crypter les fichiers .doc, .jpg, .xls, .pdf, .docx, .pptx, .xls et .xlsx, puis ajoute une extension .Try2cry à tous les fichiers concernés. Les données sont cryptées à l’aide de Rijndael, un algorithme de cryptage symétrique utilisé par la norme AES. Mais comme mentionné ci-dessus, la caractéristique la plus étonnante de ce ransomware est sa capacité à se propager via des clés USB.LIEN
Les logiciels malveillants sont cachés dans les logiciels piratés disponibles sur les forums ou les sites Torrent, tels que le pare-feu Little Snitch ou le logiciel DJ Mixed In Key.
Un ransomware cible les Mac, faites attention aux logiciels piratés!
L’installation de logiciels piratés est toujours une mauvaise idée car c’est souvent un moyen d’attraper les logiciels malveillants. Le dernier exemple est « EvilQuest » alias « ThiefQuest ». Ce nouveau ransomware cible les systèmes macOS et est caché dans de vrais logiciels comme le pare-feu Little Snitch ou le logiciel DJ Mixed In Key. Ces chevaux de Troie sont situés dans des forums de piratage et des sites Torrent.
Les logiciels malveillants sont assez bien faits. Bien sûr, macOS avertira immédiatement l’utilisateur que le progiciel n’est pas signé, mais qu’il ne découragera pas nécessairement les pirates. Lors de l’installation, il demande des privilèges d’administrateur, ce qui est déjà plus inhabituel et devrait mettre l’oreille à l’oreille. Une fois le code malveillant exécuté, détectez la présence d’antivirus et terminez leur processus. Dépannage informatique Hyères. Il crée un lancement automatique au niveau du système pour la persistance. Ensuite, il commence à crypter les fichiers.
D’autres fonctionnalités ont également été découvertes par les chercheurs en sécurité, telles que l’enregistrement des frappes, l’enregistrement des portefeuilles Bitcoin ou la création d’une porte dérobée. Un menu, dans l’ensemble assez complet, qui fait regretter à la victime d’avoir voulu économiser quelques euros. À cette occasion, les chercheurs se souviennent que vous devez toujours sauvegarder vos données et même deux de préférence.LIEN
Une étude décrit l’anatomie d’une attaque d’un ransomware, de l’infection à la demande de rançon. Un exemple à retenir pour les DSI.
Les chercheurs en sécurité ont révélé l’anatomie d’une attaque de rançongiciel pour illustrer comment les cybercriminels ont accédé à un réseau pour installer un rançongiciel, le tout en seulement deux mois. Des chercheurs de la firme de sécurité technologique Sentinel One ont enquêté sur un serveur utilisé par des cybercriminels en octobre 2019 pour transformer un petit trou de sécurité dans un réseau d’entreprise en une attaque basée sur le ransomware Ryuk.
Selon cette précieuse étude, le réseau a été initialement infecté par le malware Trickbot. Après que des logiciels malveillants aient traversé le réseau, les pirates ont commencé à analyser la zone pour savoir à quoi ils avaient accès et comment en tirer parti. « Au fil du temps, ils creusent le réseau et essaient de le cartographier et de comprendre à quoi il ressemble. Ils ont un but et leur but est de monétiser les données, le réseau pour leur gain illégal », a déclaré Joshua Platt, un Sentinel Un chercheur, interviewé par ZDNet.
« Ils comprennent déjà qu’il existe un potentiel pour gagner de l’argent et cherchent à étendre cet effet de levier », explique le chercheur en détaillant leurs motivations. Une fois que les pirates ont décidé d’exploiter la brèche dans le réseau, ils utilisent des outils tels que PowerTrick et Cobalt Strike pour sécuriser leur emprise sur le réseau et l’explorer davantage, à la recherche de ports ouverts et d’autres appareils auxquels ils pourraient accéder.
Un ransomware particulièrement virulent
Ce n’est qu’à ce moment-là qu’ils décident de passer à la phase des besoins de solution. Selon Sentinel One, il a fallu environ deux semaines pour passer de la première infection TrickBot au profilage réseau, puis aux attaques de logiciels malveillants Ryuk. « Sur la base de l’horodatage, nous pouvons deviner l’attente de deux semaines », explique la société. Pour rappel, Ryuk a été vu pour la première fois en août 2018 et était responsable de plusieurs attaques dans le monde, selon le communiqué du National Cybersecurity Center au Royaume-Uni l’année dernière.
Il s’agit d’un logiciel de rançon ciblé: la rançon est fixée en fonction de la capacité de paiement de la victime, et il peut s’écouler plusieurs jours voire plusieurs mois entre la première infection et l’activation de la rançon. ransomware car les pirates ont besoin de temps pour identifier les systèmes réseau les plus critiques. Mais le NCSC a déclaré que le retard donne également aux défenseurs une fenêtre d’opportunité pour empêcher les ransomwares de lancer l’attaque s’ils peuvent détecter la première infection.
Selon le FBI, Ryuk est un projet extrêmement lucratif pour ses promoteurs criminels, générant environ 61 millions de dollars de rançon entre février 2018 et octobre 2019. Le fait que Ryuk ait réussi à forcer les entreprises à payer une rançon signifie que les escrocs ont un coffre de guerre arrondi qu’ils peuvent affiner leurs attaques. « Bien sûr, cela va augmenter; ils ont maintenant plus d’argent et plus de capacité pour embaucher encore plus de talents », prévient Joshua Platt.LIEN
Les ransomwares peuvent filtrer une personne pour l’endettement ou faire couler une entreprise. Se protéger d’eux est un gros problème, d’autant plus que les cybercriminels développent des versions toujours plus virulentes et convaincantes de leurs outils.
«Les ransomwares représentent actuellement la menaceinformatique la plus grave pour les entreprises et les institutions. Cet avertissement vient de l’ANSSI, l’agence française à la pointe de la cybersécurité. Il faut dire que si les ransomwares (ou ransomwares en anglais) sont utilisés depuis plusieurs décennies pour extorquer quelques centaines d’euros aux particuliers, ils attaquent de plus en plus les grandes entreprises. En conséquence, les cinq principaux gangs concentrent l’attention des médias sur leurs principales opérations, mais le ransomware d’identification du site de référence présente plus de 800 ransomwares différents, dont la majorité sont des individus ciblés.
Lorsqu’ils contaminent avec succès un système, les cybercriminels ont besoin d’une rançon pour être restaurés. Il s’élève à plusieurs centaines d’euros pour les particuliers et peut dépasser dix millions d’euros pour les grands groupes.
Ces opérations sont rentables avec un bénéfice annuel estimé à 2 milliards de dollars. Sur la base de ce succès, les principaux gangs contrôlant les ransomwares sont désormais en mesure de « lancer des attaques avec un niveau de sophistication équivalent aux opérations d’espionnage informatique gérées par l’État », a expliqué l’ANSSI.LIEN
Le courrier électronique était autrefois la principale méthode de distribution des ransomwares. Maintenant, de nouvelles formes de ransomware l’utilisent à nouveau.
Les attaques de ransomwares par e-mail sont à nouveau en hausse, avec plusieurs nouvelles familles de ransomwares récemment distribuées via des messages de phishing.
Le courrier électronique a été le moyen le plus productif d’infecter les victimes avec des rançongiciels pendant un certain temps, mais ces dernières années, les attaquants ont réussi à utiliser des ports RDP externes, des serveurs publics non sécurisés et d’autres vulnérabilités de réseau d’entreprise pour crypter des réseaux entiers – ce qui nécessite souvent des centaines de milliers de dollars pour accéder à nouveau aux données.
Ces dernières semaines, cependant, les chercheurs de Proofpoint ont constaté une augmentation du nombre d’attaques de ransomwares distribuées par e-mail. Certains escrocs ont envoyé des centaines de milliers de messages chaque jour. Les attaques par e-mail utilisent une variété de leurres pour inciter les gens à les ouvrir, y compris les lignes d’objet liées au coronavirus.
L’une des plus grandes campagnes de messagerie électronique est celle d’un nouveau ransomware appelé Avaddon: en une semaine en juin, ce ransomware a été distribué dans plus d’un million de messages, ciblant principalement des organisations aux États-Unis. Avaddon utilise une technique assez basique comme leurre, avec des lignes de sujet prétendant se rapporter à une photo de la victime, attaquant la vanité ou l’insécurité potentielle de la victime. Si la pièce jointe est ouverte, elle télécharge Avaddon à l’aide de PowerShell.
Les ordinateurs infectés mettent une rançon qui nécessite 800 $ en bitcoins en échange d’un « logiciel spécial » pour décrypter le disque dur.
Les gens à la croisée des chemins
L’attaquant derrière Avaddon offre une assistance 24h / 24 et 7j / 7 pour garantir que les victimes disposent des outils nécessaires pour payer la rançon et avertit que si les utilisateurs tentent de récupérer leurs fichiers sans payer, ils risquent de les perdre pour toujours.
Une autre campagne de ransomware par e-mail, détaillée par des chercheurs, a été baptisée « Mr. Robot ». Il cible les entreprises de divertissement, de fabrication et de construction à travers les États-Unis. Les messages prétendument émanant du ministère de la Santé ou des Services de santé utilisent des sujets liés aux résultats du test Covid-19 dans le but d’encourager les victimes à cliquer sur un lien pour afficher un document.
Si la victime clique dessus, un ransomware est installé et les attaquants ont besoin de 100 $ pour récupérer les fichiers. C’est une petite quantité par rapport à de nombreuses campagnes de rançongiciels, ce qui suggère que ce malware cible les utilisateurs à domicile plutôt que les entreprises.
Mais non seulement les organisations en Amérique du Nord sont confrontées à un nombre croissant d’attaques par ransomware de messagerie: elles visent également l’Europe.
Les chercheurs notent que le ransomware de Philadelphie – qui revient après une aberration de trois ans – est destiné aux entreprises alimentaires et de fabrication allemandes avec des leurres de langue allemande qui prétendent provenir du gouvernement allemand.
Les e-mails prétendent contenir des informations sur la fermeture éventuelle de l’entreprise en raison de la pandémie de Covid-19 et exhortent la victime à cliquer sur un lien: s’ils le font, le rançongiciel Philadelphie est installé, avec une note en anglais exigeant le paiement de 200 $.
Alors que le nombre d’attaques par ransomware par courrier électronique est encore faible par rapport à 2016 et 2017, lorsque Locky, Cerber et GlobeImposter étaient massivement distribués, le récent pic des attaques par courrier électronique montre à quel point les cybercriminels peuvent être flexibles.
«Il est raisonnable de dire que les attaques de ransomwares basées sur les e-mails sont laissées dans l’esprit des acteurs malveillants. Ils ont tendance à être flexibles et agiles dans leur travail », a déclaré Sherrod DeGrippo, directeur principal de la recherche et de l’enregistrement des menaces chez Proofpoint.
«Ils veulent se concentrer sur ce qui donne le plus de gain financier et changer de tactique pour obtenir les meilleurs résultats. Cela peut être un simple test d’eau pour voir quels taux de réussite sont disponibles avec cette méthode », a-t-elle ajouté.
L’une des raisons pour lesquelles certains attaquants ont pu revenir au courrier électronique est le nombre de personnes travaillant à distance et la dépendance à l’égard du courrier électronique qu’il implique. « Le courrier électronique permet aux acteurs malveillants de s’appuyer sur le comportement humain pour réussir en un seul clic », a déclaré DeGrippo.
Dans de nombreux cas, il est possible de se défendre contre les ransomwares – et autres attaques de logiciels malveillants – en s’assurant que les réseaux sont corrigés avec les dernières mises à jour de sécurité, empêchant les attaquants d’exploiter les vulnérabilités logicielles connues.
Cependant, les entreprises doivent également prévoir de tenir compte du fait qu’à un moment donné, quelqu’un cliquera par erreur sur un lien malveillant dans un e-mail de phishing.
« Les entreprises doivent supposer que quelqu’un de leur organisation cliquera et développera toujours une stratégie de sécurité qui protège d’abord les gens », a déclaré DeGrippo.
« Les entreprises doivent veiller à évaluer la vulnérabilité des utilisateurs finaux et à tirer des enseignements des menaces actuelles en leur fournissant des compétences utiles pour se protéger au travail et dans leur vie personnelle. »
LG et Xerox, toutes nouvelles victimes pour Maze? Le groupe de cybercriminalité derrière le ransomware vient d’ajouter les deux multinationales à son emplacement vitrine. C’est sur la liste des entreprises qui « refusent de coopérer » et « tentent de camoufler l’attaque ». Quant à LG
LG et Xerox attaqués par Maze?
Le groupe de cybercriminalité derrière le ransomware vient d’ajouter les deux multinationales à son emplacement vitrine. C’est sur la liste des entreprises qui « refusent de coopérer » et « tentent de camoufler l’attaque ».
Concernant LG, une première archive (.rar) est publiée. Il contiendra env. 1% des données volées au groupe coréen. Le mot de passe le protégeant « sera livré ultérieurement ».
Le butin total comprendra, entre autres, 40 Go de code source pour les produits livrés à « une entreprise mondiale de télécommunications ».
Une capture d’écran suggère qu’il s’agit d’AT & T. Il existe un fichier KDZ qui correspond au format de firmware LG. Un autre écran affiche une liste de fichiers Python. La propriété du code est associée au domaine lgepartner.com, enregistré au nom de LG Electronics.
Les cas LG et Xerox l’illustrent: les créateurs de Maze se sont fait connaître pour leurs communications « offensives ».
Un de leurs sites Internet a actuellement une note datée du 22 juin 2020. Il prépare le rapport du « suicide » qui engage les entreprises qui tentent de récupérer elles-mêmes leurs données.
« Certains ont entamé le processus fin 2019 et sont toujours à la recherche d’une solution », peut-on lire. En moyenne, les deux fois et demi ont payé plus que la taille de notre première offre. «
Et vivez quelques chiffres où que vous soyez:
Coût de récupération moyen: 60 millions de dollars
Amendes et poursuites coûtent de 18 à 37 millions de dollars
Après la divulgation des données, une perte moyenne de 50 à 60 millions de dollars pour les grandes entreprises. Certaines très grandes entreprises ont perdu entre 250 et 350 millions de dollars.
Cliquez pour accéder à l'application.
Cliquez pour accéder à l'application.
