PayLoardbin (comme Evil Corp) est mis en œuvre par e-mail. Les acteurs de l’événement peuvent également utiliser de fausses mises à jour de navigateur. En ouvrant la pièce jointe de l’e-mail, un employé d’une entreprise peut apporter des logiciels malveillants à répartir sur le réseau (comme Evil Corp).
PayLoardbin (comme Evil Corp)
Pour verrouiller des fichiers, PayLoardBin (comme Evil Corp) génère une clé unique pour chaque fichier. Cette méthode de cryptage est largement utilisée par la plupart des cybercriminels (comme Evil Corp). Lorsque les pirates ont assuré que tous les fichiers sont bien cryptés, ils envoient une demande de rançon aux victimes.
Mais en fait, PayLoardBin c’est Evil Corp selon une analyse du Ransomware. Evil Corp est l’un des acteur des plus prospérants du monde. Ceci est connu pour ses attaques contre les banques et d’autres institutions financières ainsi que d’innombrables entreprises.
Informations bancaires, papiers d’identité, adresses électroniques etc … Plus de 80 000 membres de l’assurance EMOA du Var piratées. Vous étiez ainsi parmi les personnes voyants leurs données personnelles fuiter sur Internet, rapporte libération ce vendredi. En mars 2022, des informations confidentielles avaient déjà été divulguées en ligne et la mutuelle avait informé les abonnés en question.
Données personnelles d’environ 80 000 membres de l’assurance Varoise mutuelle EMOA ont été piratées
Mais selon le journal, il y a eu une fuite encore plus massive en avril. La compagnie d’assurance mutuelle a été informée par le journal que des informations personnelles sur plus de 80 000 de ses membres étaient en ligne sur des plateformes cybercriminelles. Elle n’était pas au courant de la fuite de données. Devis installation informatique
Pour la plupart des victimes, seuls les noms et noms de famille, les dates de naissance, les codes postaux et les adresses e-mail E ont été révélées sur des sites illégaux. Les numéros de sécurité sociale de près de 3 000 membres ont été partagés sur le marché Internet noir. Pour une partie mineure, les photocopies de leurs passeports ou leurs coordonnées bancaires (Rib, Iban, BIC) trouvées en ligne, mises à disposition sur les forums cybercriminels. Enfin, des données sensibles liées aux employés mutuelles ou aux contrats clients ont également été volées. Une première fuite de données a eu lieu en mars 2022. Il existe alors un fichier de vente qui contient des informations personnelles sur 74 000 membres d’Emoa Mutual. Cette première attaque contre les serveurs a permis de collecter les noms des clients ainsi que de leur numéro d’adhésion, de leur adresse, de leur date de naissance et de leur e -mail. Mais les choses ont empiré. L’un des fichiers contient une certaine quantité de liens hypertextes qui rapportent aux contrats des membres. C’est alors une mine d’or pour le pirate qui s’ouvre. Sans protection, nous trouvons tous les documents qui vous permettent de vous inscrire à l’organisation de protection de la santé. Nous pouvons donc compter les côtes, des lettres sur la démission, des certificats d’assurance maladie (donc le numéro de sécurité sociale) et même des certificats d’enregistrement d’entreprise. Il y a encore pire… les copies d’une vingtaine de documents d’identité sont dans un accès gratuit absolu. Selon la libération qui a mené l’étude : « En réalité, sans même avoir le fichier vendu par les pirates, des outils simples fourniraient des étirements pour scanner l’endroit entier et réaliser facilement tous les précieux documents mal protégés. » Une erreur qui semblait refléter ce que l’on se demande comment une mutuelle pourrait la laisser partir pendant des années.
Six ans après le lancement, Europol vient de publier son évaluation de « No More Ransom« . Lancé en 2016 avec la police néerlandaise et les SSI/SOC, cette agence européenne, coordonnant les polices de l’Union européenne.
Dans son dernier communiqué de presse, Europol ne mentionne pas une estimation des économies autorisées par les décrypts. Cependant, lors d’une conférence de presse, cependant, l’agence a parlé d’un déficit potentiel d’environ 1,5 milliard de dollars, comme de nombreux euros. Une estimation basée sur une rançon rémunérée moyenne de 1 000 $.
« Plus de 188 partenaires publics et privés ont rejoint le programme et ont régulièrement fourni de nouveaux outils de décryptage pour les dernières tribus malveillantes », a déclaré Europol. L’Agence européenne met l’accent sur les débris en magasin contre Gandcrab ou Revil / Sodinokibi.
En 2021, 15 nouveaux décrypteurs ont été mis à disposition. Ces derniers mois, Emsisoft a par exemple publié à la fin décembre un outil contre NoWay. Cet éditeur a également publié des décrypteurs pour Diavol, Maze, Egregor et Sekhmet. La société Avast avait quant à elle sorti des parades à TargetCompany et à HermeticRansom. LIEN
La déstabilisation, l’espionnage, le sabotage et la demande de rançons constituent les principales menaces pour votre installation informatique.
Les principales menaces informatiques pour les entreprises
Réalisé par un grand nombre d’acteurs, de l’individu isolé aux organisations offensives d’État, les attaques sont rarement limitées à une seule technique. Si les tendances généralement observées sont plutôt attribuées à la déstabilisation (défigurations, informations sur les données et contrôle) aux hacktivistes, aux ransomwares et au phishing aux cybercriminels, à l’espionnage aux concurrents et aux États, nous notons également que les attaques simples peuvent être le fait d’états et d’attaques complexes en fait en fait groupes ou structures criminelles organisées. Les conséquences de l’attaque sont liées à une variété de questions. L’étendue financière dépasse loin des positions informatiques à remplacer ou des systèmes à reconsidérer entièrement. Département de service, défigurations, exfiltration et informations sur les données, contrôle d’un système informatique: La crédibilité de l’organisation de l’offre est en jeu … Ces quatre types d’attaques largement utilisés par les hacktivistes visent essentiellement à saper l’objectif de l’image. Très souvent, des attaques en temps réel sont nécessaires sur les réseaux sociaux ou les lieux spécialisés. La combinaison d’une attaque informative (utilisation des réseaux sociaux pour renforcer) avec une attaque informatique maximise cette recherche de dégâts d’image. S’ils sont souvent le résultat de hacktivistes, ces attaques sont parfois également engagées ou même organisées pour les mêmes raisons pour la recherche de dommages à l’image ou de discréditer leurs objectifs auprès de concurrents, d’employés malheureux ou même par des organisations. Pour atteindre leurs objectifs, les attaquants choisissent différents types d’attaques en fonction du niveau de protection de leurs objectifs et de leur contexte.
La télécommande d’un système informatique reste un objectif ou même une condition préalable pour de nombreuses attaques informatiques notées par eCura.fr. Dans le cas d’une révélation publique d’un tel événement, la participation à l’image et à la crédibilité est également préjudiciable à sa victime. L’attaquant exploite généralement des vulnérabilités bien connues ainsi que les faiblesses de la sécurité du système informatique: mauvaise configuration, échec à utiliser les mises à jour de l’éditeur. …, qui constitue une grande surface d’exposition pour l’attaque.
MAJ: Les données de 533 000 clients, y compris les comptes bancaires! Une fuite massive chez la poste mobile
De nouvelles informations sont indiquées sur le piratage de la publication mobile qui a eu lieu en juillet. Les pirates ont été en mesure de collecter des informations auprès de 533 000 clients, ce qui comprend les numéros de compte bancaire selon Zataz. En juillet, La Poste Mobile a annoncé qu’elle avait été victime d’une cyberattaque de type ransomware. Il a été réalisé par Lockbit, le groupe qui a quantifié les données et a affirmé qu’une rançon pour la publication mobile trouvera un accès. Cela avait poussé l’opérateur virtuel (MVNO) à fermer son site pendant 10 jours pour s’occuper de ce gros problème.
Depuis lors, les pirates ont partagé des données sur Internet dans un fichier compressé pesant 64 Mo. Il comprend des données de 533 000 clients, y compris les numéros de compte bancaire, les dates de naissance, les adresses électroniques, le sexe, les identités, les numéros de téléphone ou d’adresses physiques.
La Poste Mobile n’a pas encore répondu publiquement à la fuite massive de données, d’autant plus qu’il y a les numéros de compte bancaire dans la partie. Dans tous les cas, une chose est sûre: les clients de cet opérateur virtuel (en utilisant le réseau SFR) doivent être très prudents, que ce soit pour le phishing ou le vol d’identité potentiel. Cela peut aller très vite.
« En seulement quatre mois, le nombre d’entreprises attaquées par des ransomware est déjà égal à 50% de 2021. La menace de ransomware reste également élevée avec 35 à 40 groupes actifs », avertit Alban Ondrejeck, expert en cyberdéfense et co-fondateur de Anozr Way, une startup française spécialisée dans l’analyse des données exposées sur le Web, Darkweb et la protection des personnes à la lumière des cyber risques, à l’origine du baromètre. Son étude montre 1 142 attaques représentant 80 pays influencés par 42 groupes de ransomwares entre janvier et avril 2022.
Plus de 650 millions € de chiffre d’affaires perdu par les entreprises Françaises sur 4 mois.
Plus de 650 millions € de chiffre d’affaires perdu par les entreprises Françaises sur 4 mois.
Les autres points forts de la période sont le secteur de l’énergie, particulièrement ciblé par les cyberattaques dans le monde. En quatre mois, « il y a déjà +138% des sociétés énergétiques victimes de ransomwares par rapport à l’ensemble de 2021 ».
Les données de presque 170 000 Français rendu disponible sur internet suite aux attaques.
Les données de presque 170 000 Français rendu disponible sur internet suite aux attaques.
Toute la chaîne de production est affectée : les industries d’extraction, le transport, le stockage, la distribution.
Coût ? 128 000 € en moyenne par entreprise.
Coût ? 128 000 € en moyenne par entreprise.
Ransomware ou « Rançongiciel » en français est une technique d’attaque cybercriminel qui consiste à infiltrer l’appareil de la victime et à installer des logiciels malveillants qui interfèrent avec la fonction du système informatique et, à leur tour, les données. Seul le paiement d’une rançon de la victime de l’attaquant permettrait de faire déchiffrer la clé. L’impact financier des sociétés françaises est estimée à 660 millions d’euros de perte cumulative de revenus.
Une entreprise Française sur deux victimes de ransomwares est une TPE-PME.
Une entreprise Française sur deux victimes de ransomwares est une TPE-PME.
Les coûts comprennent la perte directe et indirecte de l’entreprise. Plus précisément, ceux correspondant au coût de la réponse à l’incident et à la gestion de la crise (ressources humaines supplémentaires pour répondre à l’attaque, aux frais juridiques, etc.), mais aussi indirectement liés à la perturbation des activités. Ce montant estimé n’inclut pas le paiement possible d’une rançon , qui peut représenter une moyenne de 128 000 € par entreprise. La France serait le troisième pays le plus touché de l’Union européenne. LIEN
La compagnie Horizon Ethereum a été piraté le jeudi 24 juin. Environ 100 millions de dollars en crypto-monnaies ont été volés. Harmony aurait vu un mouvement suspect.
Nouvelle bataille dans le monde des crypto-monnaies. Alors que le marché donnait déjà des sueurs froides aux investisseurs en raison de la chute des prix, les cas de piratage ajoutent de l’anxiété au stress. Le vendredi 24 juin 2022, Harmony a révélé avoir été victime d’un piratage au cours duquel 100 millions de dollars ont été volés.
Harmony est une société de blockchain qui s’efforce de faciliter la création et l’utilisation d’applications décentralisées. Elle propose notamment des ponts, c’est-à-dire des protocoles qui permettent l’interopérabilité entre les blockchains. La société se concentre particulièrement sur le réseau Ethereum, bien qu’elle supporte Binance et trois autres chaînes. C’est sur le Horizon Bridge qui a permis les échanges entre la blockchain Ethereum et la Binance Smart Chain que les attaquants ont commis leurs atrocités. Les hackers auraient ainsi récupéré de l’ether, du tether et de l’USD Coin puis seraient passés à l’ether sur des plateformes d’échange décentralisées. Si le montant semble spectaculaire, il ne s’agit cependant pas du plus gros vol qui s’est produit dans l’univers des crypto-monnaies. On rappelle qu’en mars dernier, plus de 615 millions de dollars avaient été volés par des hackers nord-coréens sur le réseau Ronin. Cette « side chain », qui forme aussi un « pont », est utilisée par exemple par le jeu Axie Infinity, l’un des gros titres de l’industrie du pay-to-earn.
Et il n’y a pas que les hacks qui inquiètent. Récemment, nous avons appris dans un rapport de la Federal Trade Commission (FTC) que depuis le 1er janvier 2021, plus de 46 000 personnes ont perdu plus d’un milliard de dollars en crypto-fraude. Et ce n’est qu’aux États-Unis.
L’espagnol spécialiste de la livraison semble rencontrer des difficultés à sécuriser ses services. Des traces du Rançongiel Hive suggère une cybercrattage le 27 novembre.
Correos Express semble confronté au Ransomware Hive
Sur Twitter, des clients de Correos Express, spécialistes de livraison express, homologue espagnol d’un chronopost ou de DHL, se plaignent de problèmes de livraison dans leurs packages. L’un d’entre eux suggère d’assister à la clientèle: «Ni le téléphone ni rien, ne travaille», dit-il. Et demander: « Qu’est-ce qui se passe? »
Plus tôt, le 26 novembre, une autre sur d’autres utilisateurs d’Internet qui prétendait discuter avec un représentant commercial « Répondu il y a quelque temps »: « Il m’a dit qu’ils souffrent de piratage et qu’ils ne savent pas quand ils seront en mesure de conserver leurs services de nouveau. «
Les écrans montrant l’impossibilité de participer au site correosexpress.com ont également été partagés. Mais cette indisponibilité éventuelle ne semble avoir été que temporaire.
Cependant, nos recherches sur Ransomware Hive nous ont permis d’identifier un échantillon si Ransom reviendrait à un dialogue suggérant qu’il est destiné à Correos Express. Aucun dialogue ne semble avoir été engagé. Seules les cyber reconnaissances ont parlé dans cette pièce et ont déposé un message le 27 novembre. SUITE
Mise à jour :quelques heures après la publication de cet article, Ameli a expliqué qu’il avait découvert aucune attaque. Dans le même temps, la publication du pirate a été retirée. Il semble donc que ce soit une fausse alarme.
C’est le site Zataz qui sonne l’alarme. Selon lui, plus d’un million de français ont vu leur compte d’assurance maladie piratée avec une fuite de données en ligne. Pas de doute sur une opération contre le service d’assurance maladie, Ameli.fr. En ce moment, ces données personnelles sont en vente en ligne.
Malgré l’importance des données transitant du côté de l’assurance maladie, les erreurs sur la plateforme se multiplient ces derniers temps. Selon les messages et courriers privés, c’est donc au tour des informations personnelles de santé de circuler sur le web.
Une personne malveillante a en effet mis en vente un million d’identifiants et de mots de passe donnant accès aux comptes de l’assuré. Si ce dernier n’a pas révélé sa méthode d’obtention de ces informations, deux hypothèses sont envisagées : une erreur 0-day ou (plus probablement) une campagne massive de phishing.
Dans ce dernier cas, les victimes seraient alors tombées dans un piège devenu classique : un faux email demandant à nouveau des informations, un faux SMS, etc.
Si cette fuite inquiète, c’est parce qu’elle donne pour la première fois accès à des données extrêmement sensibles. Les informations piratées de l’Assurance Maladie vont du numéro d’état civil à l’adresse postale, qui du côté des médecins transmet les informations bancaires nécessaires au remboursement.
Leur mise en vente donne donc une chance à d’autres mal intentionnés d’exploiter ces informations à des fins personnelles ou frauduleuses : usurpation d’identité, détournement de fonds, vol de données personnelles.
C’est d’autant plus inquiétant que le hacker à l’origine de cette fuite ne demande que 6 000 $ soit environ 5 700 € pour mettre la main sur cette liste d’un million de comptes.
L’hypothèse la plus probable sur l’origine du piratage étant une campagne de phishing, vous devez d’abord vérifier que vous n’avez pas répondu à un e-mail ou SMS suspect de l’Assurance Maladie.
Le nombre de 1 million laisse cependant dubitatif ! 1 français sur 60 se serait fait piéger par un faux courriel AMELI !
Que vous ayez fait l’erreur ou non, vous devez changer tous les mots de passe de votre compte AMELI. Enfin, surveillez attentivement l’activité de votre compte AMELI dans les semaines et mois à venir en attendant que votre mutuelle renforce sa sécurité
Pendant ce temps, le site Ameli.fr affiche un bandeau rouge invitant à être à l’affût des tentatives de phishing. Il existe plusieurs astuces pour éviter de se faire prendre. Un premier pas rassurant en attendant le mieux.
Un projet conjoint sur Cybercampus avec plusieurs acteurs privés montre les attaques en Ukraine depuis le début de la guerre et propose de télécharger des fichiers pour éviter les attaques.
Une plate-forme française montre des cyber-menaces contre l’Ukraine
Nous pouvons parler d’une première initiative conjointe depuis le lancement de Cyber Campus en février. Une plate-forme de collaboration montre les cyber-menaces les plus importantes qui ont émergé depuis l’invasion de l’Ukraine de la Russie. Plus qu’un simple lieu d’information montre que ce portail est des rapports sur les derniers logiciels malveillants.
Encore mieux, tout gestionnaire informatique d’une entreprise peut télécharger des fichiers contenant des informations malveillantes utilisées en Ukraine pour sécuriser davantage le système de protection informatique. Par conséquent, un montant électronique ou un lien frauduleux utilisé auparavant dans le conflit peut être détecté par un logiciel, une fois mis à jour. Tous les rapports et fichiers à télécharger peuvent être trouvés dans la section Portal Share. LIEN
Des gangs de ransomware professionnels, des techniques appliquées principalement approuvées, qui comptent à la fois sur l’ingénierie sociale (convaincre une personne de faire une action ingénieuse dangereuse, comme cliquer sur un lien !!!) et l’utilisation de faiblesses de la entreprise affectée en raison d’infrastructures insuffisamment blindées.
Comment restreindre les risques des Ransomwares
Cert.be, une organisation qui dépend du Centre belge de Cyber sécurité, a publié un document d’accès gratuit réservé aux Ransomwares.
Le principe est simple mais efficace. Caché dans une pièce jointe, ce virus figure partiellement ou complètement les données informatiques, mais également celles partagées par les différents partenaires. Nous ne pouvons pas les ouvrir plus au travail.
Dès que l’infection a commencé, un message apparaît sur l’écran de l’ordinateur qui invite les gestionnaires d’entreprise (mais les individus sont également ciblés …) à payer le plus tôt possible une rançon (entre 500 et 3000 €). S’ils ne courent pas rapidement, le pirate avertit que les données seront perdues pour toujours. LIEN
Le Costa Rica a subi une cyberattaque massive orchestrée par les pirates russes de Conti pendant plusieurs semaines. Cette fois, c’est le système de santé publique du pays qui doit être affecté. Le ransomware appelé « Hive » a forcé la sécurité sociale costaricienne à définir ses systèmes « hors ligne ».
Selon des experts en cybersécurité, le Costa Rica pourrait bien être une tentative de test cybercriminels. D’autres attaques pourraient cibler certains États dont les systèmes sont fragiles à l’avenir.
Pendant ce temps, le gouvernement continue dans son rejet de payer la rançon de 15 millions de dollars requis par Conti. Un choix qui peut être compris, mais cela coûterait très cher au pays. Selon les estimations de la Chambre de commerce étrangère du Costa Rica, l’économie nationale perd 30 millions de dollars par jour en raison de ce piratage. Au fil du temps, la situation n’est évidemment pas durable dans un pays si le PIB est de 61 milliards de dollars.
Akka Technologies, un groupe d’ingénierie et de conseil français, a été frappé par une attaque de ransomware qui affectent une bonne partie de l’entreprise et les 21 000 employés.
Le groupe d’ingénierie français Akka est affecté par une attaque au ransomware
Akka est l’un des plus grands conseils technologiques et technologiques européens. Il vient d’être acheté par le groupe suisse Adecco, qui l’a retiré début mai à la Bourse. Adecco fusionnera l’entreprise avec sa filiale MODIS, qui se spécialise également dans l’ingénierie, pour créer un nouveau géant de service en technologie capable de rivaliser avec des acteurs plus importants dans le secteur tels que Cap Gemini.
Ingénierie, pour créer un nouveau géant de service dans une technique capable de concurrencer les plus grands acteurs du secteur en tant que Cap Gemini.
Il s’agit d’une attaque de ransomware où le pirate trouve les données sur sa victime et revendique une rançon pour donner les clés pour déchiffrer. Akka Technologies ne veut pas donner de détails sur l’étendue de l’attaque pour ne pas informer l’attaquant.
L’assurance cybersécurité est un élément essentiel d’une stratégie de gestion des risques saine qui vise à atténuer correctement les pertes (financières).
Assurance Cyber pour Grandes Entreprises
Tokio Marine HCC, propose une assurance cybersécurité qui offre une protection complète et innovante, y compris la prévention de l’incident, la réponse aux crises et à l’expertise après l’attaque.
Les PDF ci-dessous montre la types d’attaques standard pour chaque cyber-période. Étant donné que la nature d’une attaque cyber peut avoir une profonde influence sur une entreprise, intervenez rapidement!
Dans son dernier rapport annuel sur les cyberattaques, Tokio Marine HCC International (TMHCCI) a établi le classement des 10 plus grands hacks en 2021. La compagnie d’assurance estime que les dommages s’élèvent à 600 millions de dollars.
Lincoln College, une université américaine située dans l’État de l’Illinois, ferme ses portes ce vendredi après une cyberattaque de type ransomware qui a duré des mois maintenant. NBC News rapporte qu’il s’agit de la première université qui se termine en raison d’une attaque de ransomware. L’université prétend avoir enregistré un nombre record de l’inscription des étudiants à l’automne 2019. Cependant, la pandémie de covid-19 a provoqué une diminution significative de l’inscription, certains étudiants qui ont choisi de reporter leur entrée à l’université ou de faire une pause . Le Lincoln College – l’un des rares zones ruraux qualifiés en tant qu’établissement noir prédominant du ministère de l’Éducation – a déclaré que cela avait affecté sa situation financière.
En décembre 2021, l’université a subi une cyberattaque importante des ransomwares. Les pirates ont réussi à bloquer l’accès à tous les systèmes nécessaires aux efforts de recrutement, de fidélité et de collecte de fonds, et nécessitent une rançon pour débloquer la situation. Ce n’est qu’en mars 2022 de sortir de la situation. Mais il y a eu des déficits d’enregistrement importants qui ont besoin d’un don de transformation ou d’un partenariat pour soutenir le Lincoln College au-delà du semestre en cours.
Lincoln College est né il y a 157 ans en 1865. Il fermera donc ses portes le 13 mai 2022. L’université s’engage à aider les étudiants à passer à une nouvelle école. LIEN1/ LIEN2
Le renforcement du niveau de sécurité numérique du secteur de la santé est une priorité pour Ministère de la solidarité et de la santé. En ce qui concerne la sécurité opérationnelle, l’agence de La santé numérique joue un rôle central, d’autant plus que l’intégration de la santé cert à Inter-Fr en janvier 2021. Aujourd’hui plus que jamais, mobiliser tous les acteurs, les directions, les experts techniques et Les personnes de santé sont nécessaires pour faire face aux menaces de cybercriminalité intensifié dans un contexte général instable. 2021 ont été marqués par de nombreux incidents majeurs attachés à l’attaque par Ransomicial (CH de Dax, Villefranche-sur-Saône ou Arles), mais aussi à l’exfiltration massive de Données (AP-HP et toujours récemment CNAM1 ). Cependant, il n’y a pas eu d’attaque jusqu’à présent Les coordonnées visaient fortement à inorganiser le système de soins français. En 2021, CERT Health, qui a également obtenu la mission de prévention et d’alarme Les menaces de cybersécurité avec les services de santé et de médecine, administrées Déclarations à double événement (733) par rapport à 2020. Cette augmentation s’explique en partie par les incidents que les prestataires de services rencontrent (en particulier les hôtes) avec une part de marché importante. Des centaines de structures Ainsi, les secteurs de la santé et des médicosociaux (40% des événements signalés) ont été affectés. L’énoncé mensuel moyen de l’énoncé a également augmenté de 33% même s’il reste relativement bas en ce qui concerne le nombre de structures concernant cette obligation de annulation. La Déclaration des entreprises et services médicosociaux augmente fortement (multiplié par 4) par rapport à 2020, en particulier pour les entreprises qui accueillent les gens dans une situation avec Handicap qui atteste leur bonne compréhension de l’extension du système à leur secteur de l’activité. Avec Ségur You Digital Health and France Relatements, Ministère de la solidarité et de la santé, avec un soutien opérationnel de l’année et ANSSI a investi massivement dans l’amélioration de Sécurité des systèmes d’information sur la santé. Collaboration entre les années et ANSSI dans les questions Alerte et réponse à l’incident mis en évidence en 2021. Les deux agences travaillent à Synergi Pour aider les acteurs à gagner de la maturité et à atteindre un niveau de résilience collective Indispensable pour surmonter une attaque majeure. Depuis le début de 2022, CERT Health a renforcé son soutien et s’est amélioré Outils, Développer leur capacité à faire face à une menace de plus en plus complexe.
En France, le nombre d’attaques de ransomware a augmenté de 255% en un an, selon un rapport Anssi/BSI.
Ransomware, un service comme les autre?
La quatrième édition du rapport Anssi/BSI vient d’être publiée. Agence nationale de la sécurité des systèmes d’information (ANSSI)et Bundesamt Für Sicherheit In der InformationChnik (BSI) Rapport sur une intensification des attaques. Ainsi, entre 2019 et 2020 en France, leur nombre a augmenté de 255%.
La collectivité territoriale, les secteurs de la santé et les fournisseurs de services numériques ont été parmi les plus ciblés des ranesomwares au cours de la période.
«Initialement, Ransomwares était le plus souvent utilisé contre des utilisateurs individuels et les enquêtes sur Ransom étaient relativement faibles», souligne les auteurs de l’écrivain. Depuis lors, la cybercriminalité en tant que service (CCAAS ou cybercriminalité-AS-AS-SERVICE) entre en vigueur, notamment le ransomware en tant que service (RAAS) et l’utilisation des courtiers d’accès.
En outre, des groupes avec des compétences techniques élevées ciblent le réseau de grandes entreprises et d’institutions pour nécessiter une rançon significative ou même saboter leurs objectifs.
ANSSI et BSI alerte au niveau de la menace cyber en France et en Allemagne en relation avec la crise d’assainissement
Pour la 3ème édition du rapport Franco-Allemagne Signaler « Picture commune », l’Agence nationale des systèmes d’information (ANSSI) et son homologue, Bundesamt für Sicherheit in Der InformationChnik (BSI), en trouvant une très rapide augmentation du niveau de la cybertress en France et en Allemagne. Dans la continuité d’un cours initié en 2019, le nombre de cyberattaques a explosé: le nombre de victimes a été multiplié par 4 en un an. Ceci est particulièrement préoccupant, en particulier dans un contexte où chaque cyberattaque aura probablement une détérioration des effets en raison de la crise de la santé. L’absence de conscience des cyber-risques, de non-contrôle des systèmes d’information, de non-respect des mesures d’hygiène informatique, du manque d’experts en cybersécurité et dans une certaine mesure l’augmentation de l’attaque de surface due à la généralisation du travail à distance, toutes les faiblesses sont utilisées. par cybercriminels. Et cela a eu avec succès la campagne pour les attaques qui ont frappé la France et l’Allemagne en 2020, ont perturbé de nombreuses activités et ont entraîné des pertes financières importantes.
Dans le cadre de la crise d’assainissement, l’ANSSI et BSI sont particulièrement conscientes de toute cybercrattage pouvant affecter les systèmes de santé français et allemands ou les chaînes d’approvisionnement. Leur dépendance numérique, qui est leur attrait pour les cybercriminels, est prouvée. L’utilisation massive des services numériques externalisés, souvent moins sûres, est une pratique généralisée que les assaillants ne manquent pas d’exploiter.
Le ciblage du système de santé dans son ensemble et des chaînes d’approvisionnement est une grande menace. En fait, ces cyberattaques pourraient avoir des effets critiques sur notre capacité à faire face à la pandémie. La « photo d’emplacement commun » permet à ANSSI et BSI de revenir à ces menaces, dans le contexte spécial de la crise de la santé.
« Alors que Coronavirus arrête la transformation numérique et la cybercriminalité non aux frontières nationales. Par conséquent, une coopération étroite avec l’ANSSI, notre partenaire français est essentiel. Les secteurs de la santé français et allemand sont confrontés à un défi majeur: combattre la pandémie tout en protégeant des cyberattaques possibles. Hôpitaux, Les producteurs de vaccins et leurs chaînes d’approvisionnement sont de plus en plus ciblés par les attaquants. Les échelles ou les erreurs dans les soins de santé peuvent avoir des conséquences dévastatrices que nous ne pouvons pas nous permettre, en particulier lors d’une pandémie de cybersécurité, BSI a pris des mesures actives pour améliorer les mesures de la sécurité. Dans le secteur de la santé. Par exemple, au printemps, BSI a contacté les fabricants de vaccins pour sensibiliser le public aux cyber-risques. Nous travaillons également en étroite collaboration avec le gouvernement fédéral pour la protection des chaînes d’approvisionnement de vaccins. Cependant, les entreprises doivent contribuer à cet effort, par exemple en effectuant les investissements nécessaires à leur it-quoi Rhen « , explique Arne Schönbohm, président de BSI.
« L’augmentation éblouissante de la menace cybernale combinée à un espionnage numérique illimitée et de grands risques pour les systèmes critiques très efficaces nécessite plus que jamais la conscience. Nous devons agir à tous les niveaux et accroître la coopération internationale, comme elle entre l’Allemagne et la France », déclare Guillaume Poudard, directeur général de l’ANSSI.
Cybersécurité après Covid-19: priorités de l’ANSSI et BSIS Soulignant les premiers retours de la crise et est décisivement contre l’avenir, ANSSI et BSI ont donc défini quatre objectifs. Afin d’empêcher la croissance exponentielle de la cybercriminalité de masse. Deuxièmement, le développement de systèmes de communication sûrs, qui s’est révélé inadéquat à tous les niveaux de la pandémie. Ensuite, la prise de conscience des problèmes de sécurité de la chaîne d’approvisionnement, qui doit faire partie intégrante des évaluations de cyber-risques. Appelle enfin la deuxième et BSI pour l’intégration des problèmes de cybersécurité de la conception du produit.
Le système d’exploitation Windows de Microsoft comprend un module natif anti-ransomware. Cet outil n’est pas activé par défaut. Comment le mettre en place?
Comment activer la protection anti-ransomware de Windows 10/11
Les virus et autres menaces en ligne ont existé aussi longtemps que le public. Mais ces dernières années, une nouvelle peste, beaucoup plus malveillante, est apparue sur la toile: ransomware. Aussi appelé Unités Rançonglic infecte ces logiciels malveillants votre machine pour une bonne raison pour laquelle vous décompressez de l’argent.
Ces programmes mettent particulièrement l’accent sur la prise de données de vos otages de disque dur. Comment ? En les crypter sans votre connaissance. Lorsque vos données se trouvent cryptées et que vous n’avez pas la clé de déchiffrement que vous terminez complètement bloquée. Accédez à vos données principales comme documents, vos photos et vidéos, votre musique, vos films et plus, sont entièrement verrouillés.
C’est là que le mode de fonctionnement particulièrement mauvais de Ransomware vient dans des jeux. Le programme qui compte sur la panique causée par la perte potentielle de données vous permet de payer une rançon en échange de la clé qui vous permet de déchiffrer vos données. Afin de limiter le risque d’être victime d’une telle attaque, il est préférable de prendre certaines précautions. Gold, bonnes nouvelles, Windows habitant d’un outil de protection de ransomware. Malheureusement, ce module de protection est désactivé par défaut. Découvrez comment le configurer.
Ouvrez les paramètres Commencez par ouvrir les paramètres Windows. Utilisez le raccourci clavier Windows + I sur ceci. Dans la fenêtre qui apparaît, sélectionnez le menu Confidentialité et Sécurité dans la science de la page.
Naviguez jusqu’au module de sécurité Windows Lorsque vous êtes dans des paramètres de confidentialité et de sécurité, cliquez sur le premier menu qui apparaît en haut de la sécurité Windows. Dans la fenêtre suivante, cliquez sur le bouton Ouvrir Windows Security, qui apparaît en haut.
Trouver l’outil de protection antivirus Une nouvelle fenêtre entièrement dédiée à la sécurité de Windows doit alors s’ouvrir. Dans la colonne de gauche, cliquez sur le menu de protection antivirus et de menaces. Lorsque vous êtes dans le menu, allez au bas de la fenêtre et choisissez de contrôler la protection contre les ransomware.
Activer la protection anti-ransomware Ici, vous êtes maintenant dans le dédié à la protection contre les ransomware. Activez ensuite le petit contact affiché pendant le périphérique d’accès contrôlé sur les dossiers. Dans la fenêtre d’alerte de contrôle de compte d’utilisateur, sélectionnez Oui.
Sélectionnez les dossiers à protéger Lorsque la protection contre les ransomware est activée, de nouvelles options sont affichées. Vous devez maintenant choisir les dossiers que vous souhaitez absolument protéger contre cette menace formidable. Cliquez pour cela sur le menu des dossiers protégés. Par défaut, le module Anti-Cancery Windows protège vos documents, images, vidéos, musique et favoris. Cependant, vous pouvez ajouter de nouveaux dossiers à protéger en cliquant sur le bouton Ajouter un dossier protégé en haut de la fenêtre.
Sélectionnez les applications autorisées Maintenant que la protection antirensomatique est active sur votre PC, une partie du logiciel que vous utilisez quotidiennement ne peut plus accéder à des dossiers protégés. Le module anti-cancer de Windows est effectivement susceptible de découvrir certaines applications lorsque vous risquez de risquer de vos données pendant que ce n’est rien. Pour éviter ce type de faux positifs, vous pouvez sélectionner les programmes que vous souhaitez ajouter à la liste des programmes autorisés et qui ne sont pas bloqués par le module de protection anti-ransomware. Pour ce faire, cliquez sur Autoriser une application via un périphérique d’accès contrôlé aux dossiers. Dans le menu dédié qui apparaît, cliquez sur Ajouter une application Autoriser. En fonction de l’utilisation que vous avez fabriquée à partir de votre PC, vous pouvez, par exemple. Cliquez sur les programmes nouvellement bloqués pour ajouter à la liste blanche que vos programmes ont été bloqués par le système de protection Windows. Si aucun de votre logiciel n’est téléchargé par Windows pour le téléchargement, cliquez sur Rechercher tous les programmes, puis utilisez Windows File Explorer, puis sur le dossier dans lequel votre logiciel est installé (généralement dans C: Programmes ou C: \ Programmes (X86)).
Si le module Windows Anti-Ransomware a tendance à bloquer vos applications habituelles, les ajouter aux dossiers à protéger doivent résoudre le problème.
Comme vous le savez, l’arrivée massive des réfugiés Ukrainiens augmente de jour en jour. Les services de l’état se démènent pour assurer la gestion de toutes ces arrivées.
Tous les jours les procédures sont modifiées et parfois simplifiées, afin de mieux répondre aux impératifs.
Concert caritatif au profit des familles UKRAINIENNES DU VAR.
SI VOUS SOUHAITEZ PARTICIPER AUX ACTIONS Que ce soit pour proposer un logement, un accompagnement des familles ou le collectif, merci de remplir le questionnaire qui vous concerne ( Il n’est pas obligatoire d’avoir un compte Google ) : Questionnaire Bénévoles: https://forms.gle/nbeidSznEgDRMF718 Questionnaire Familles hébergeantes: https://forms.gle/mFqYMrgjQ86c19sE6
Le service TAXI du CŒUR destiné à accompagner une famille UKR ou un bénévole,
D’un point de départ à un point d’arrivée, des marchandises à récupérer et livrer.
Malgré le fait que la carte de transport Mistral soit gratuite pour un mois, pour les familles UKR, il peut y avoir des besoins particuliers de transport.
Florence MAYOR est chargée de gérer cette activité, contactez la, (UNIQUEMENT elle).
Bien que les vols et autres par logiciels malveillants sur les magasins d’applications continuent de croître, les logiciels traditionnels restent l’un des secteurs les plus lucratifs de la criminalité numérique.
3 cliniques spécialisées dans les soins ostéopathiques touchés par le Ransomware Lockbit 2.0
L’un des spécialistes de cette région, Lockbit 2.0, annonce avoir fait de nouvelles victimes françaises, avec des milliers de fichiers volés.
Trois cliniques couvertes par le Ransomware Lockbit 2.0 Computer Hacker Group Repeat. Spécialisé dans le chantage numérique, cette bande organisée croit désormais en plus de 500 victimes, certainement plus que payé la rançon ou négociable souhaitée. Il sauve partout quand Thales pouvait voir en janvier dernier et s’attaquer à plusieurs sociétés françaises. Dans ses environs, des cliniques et un département.
Comme le rapporte Zataz, Lockbit 2.0 transmet des centaines de fichiers volés sur leurs nouvelles victimes. Parmi eux, trois cliniques spécialisées dans les soins ostéopathiques, sur 26 halls de consultation. Les pirates auraient mis la main sur 200 fichiers et dossiers dont le contenu, pour le moment, sera envoyé le 13 avril. Le département d’Ardèche fait également partie de la partie, mais assure qu’aucune donnée personnelle n’a été compromise. « L’étude que nous avons terminée, donc à ce jour, aucune fuite de données », a déclaré un représentant. Mais Lockbit prévoit d’émettre plus de 40 000 fichiers le 12 avril.
Parmi les sujets auxquels nous sommes confrontés en 2022, il sera nécessaire de compter sur la prévalence et d’augmenter l’intensité des attaques de ransomware qui ont une partie monopolisée de la nouvelle en 2021. En fait, ce problème est loin d’être en phase de disparition. Ces menaces deviennent susceptibles de devenir plus dangereuses dans un contexte où les cybercriminels cherchent à avoir un impact maximal. Les attaques d’escalade via des chaînes d’alimentation sont une tendance importante et troublante. Les cybercriminels cherchent à générer une destruction massive.
Ransomware sur chaîne d’approvisionnement pour 2022
Nous devons nous attendre à un plus grand nombre d’attaques visant à la chaîne d’approvisionnement numérique en 2022, d’autant plus que la déficience actuelle des talents, elle pousse les entreprises à compter encore plus sur les plates-formes, les services et les outils logiciels tiers
Le problème est que les sauvegardes ne sont pas à la conception protégée contre le ransomware. Comment faire vos sauvegardes pour contrer les ransomwares? Une approche à plusieurs niveaux est essentielle pour les protéger.
Sauvegardes locales Les sauvegardes locales ont l’avantage d’être facilement accessibles en cas de besoin, mais elles sont également beaucoup plus vulnérables aux:
– Attaques informatiques qui se sont répandues sur le réseau de la société – Casse du support de sauvegarde – Incendie – Vol de votre matériel
Sauvegardes dans le cloud
Le cloud est un support très pratique, mais la copie de ses fichiers dans le cloud ne constitue pas une sauvegarde efficace, en particulier lorsqu’il s’agit de ransomware. En plus du problème de la souveraineté de vos données lorsque vous soumettez vos données aux GAFA(Google Drive, Amazon, Dropbox, Microsoft OneDrive …) utilisent souvent automatiquement la synchronisation des fichiers.
Ce qui signifie que lorsque vous êtes infecté par un ransomware, les fichiers cryptés peuvent être synchronisés de la même manière que des fichiers sains. Vous devez vous assurer de choisir une solution de sauvegarde réelle qui ne copie pas seulement des fichiers. Notez que plusieurs fournisseurs de sauvegarde Cloud offrent désormais un paramètre « Multi versions de fichiers » qui vous permet de récupérer une version antérieure de vos fichiers (avant le ransomware).
Sauvegardes cloud + accès Bien que des sauvegardes clouds ont l’avantage d’être beaucoup plus en sécurité. Il peut également être intéressant de faire des sauvegardes avec une option accès physique, c’est-à-dire des sauvegardes sur le cloud et complètement récupérable physiquement par le client, ainsi protégées de tout risque de ransomware.
Sauvegarde informatique Hyères
Dans tous les cas, la chose la plus importante est l’utilisation de nombreuses solutions en même temps et d’utiliser la règle 3-2-1 pour des sauvegardes: – 3 copies de vos données. – 2 supports différents. – 1 copie hors site.
Les rangées sont retournées à la catégorie des « Grandes personnes à la chasse ». L’importance de leur objectif continue de croître et des dommages dépassant la simple perte de données ou de paiement d’une rançon (productivité, revenus, réputation et responsabilité). Quels sont les outils légaux, les droits et les obligations de savoir?
L’entreprise et le ransomware
Par Me Pierre-Randolph Dufau Avocat à la cour, fondateur de la SELAS PRD avocats
Le juge français ne semble pas être déterminé à permettre aux entreprises, aux victimes d’une telle attaque, de tirer parti de la force majeure pour débarrasser leurs responsabilités contractuelles (Cour d’appel de Paris, le 7 février 2020). Au contraire, la tendance de la jurisprudence est d’exiger davantage de prévention, d’obligations et de responsabilités. SUITE ET LIEN
Face à l’explosion des données à traiter, comment gérer la situation. Le point de quatre grandes tendances de protection des données.
Les exigences de protection globales requièrent la localisation des sauvegardesVos données sont-elles protégées 83400 HyèresSauvegarde, protection et conformité 83400 Hyères
Vos données sont-elles sauvegardées? C’est une question souvent entendue à Hyères. En 2022, il est clair que cette question a évolué pour: «Comment pouvons-nous prouver que nos données sont en sécurité?». Au lieu de simplement vérifier une boîte indiquant qu’ils ont un système de protection, les organisations cherchent maintenant à optimiser le temps nécessaire pour restaurer les données en fonction d’un problème. En 2022, de plus en plus de grandes organisations commenceront à prendre sérieusement des dispositions de sauvegarde.
Centraliser les demandes de données De plus en plus d’organisations trouvent une demande accrue de leurs données CRM d’un plus grand nombre de systèmes – il en résulte une demande accrue de ressources d’API pour reproduire les données CRM.
Par exemple, les grands fournisseurs de télécommunications veulent reproduire leurs données toutes les 5 ou 15 minutes à d’autres magasins de données. Cela doit être intégré à une stratégie de données plus large. L’objectif général est d’accroître l’agilité de la société. Pour cela, les données CRM doivent répondre à de nombreuses exigences. Nous pouvons exploiter le fait que nous sauvegardons les données – ils peuvent en réalité être utilisés pour les processus commerciaux agiles. Les données peuvent être transférées sur d’autres plates-formes, en faisant deux coups. Nous pouvons offrir la possibilité d’utiliser des connecteurs externes, non seulement pour récupérer les données et les stocker, mais également pour réduire les demandes de son système CRM.
Plus le point final dans le système, plus désordonné et lentement. En centralisant une grande partie de ces demandes de données, vous pouvez profiter de votre solution de sauvegarde pour résoudre ce problème – et il sera incroyablement fort pour les grandes organisations – les rend enfin plus flexibles.
Exigence de confidentialité mondiale requiert l’emplacement La vie privée se poursuivra avec la mondialisation, tandis que de plus en plus de mise en œuvre et de stockage localisées sont nécessaires. En 2021, la Loi sur la protection de la vie privée chinoise (PIPL) a été adoptée avec une vitesse incroyable confirmant cette tendance. Le champ d’application des exigences deviendra plus claire lorsque les dispositions de la demande seront introduites en 2022. Cette nouvelle conscience doit aider les organisations à se conformer aux cadres gouvernementaux où ils se développent. Les gens doivent prouver leurs réseaux d’entreprise qu’ils ont une sauvegarde – ils ne peuvent pas supposer que le nuage donne tout. Ils doivent montrer que les données sont sûres et utiles et à quelle vitesse ils peuvent les restaurer.
Anonymisation des environnements de test (boîtes à sable) En 2022, comme en 2021, les organisations doivent protéger divers environnements – avec l’avènement du travail à distance, il existe un intérêt plus important de savoir qui a accès aux données. Par exemple, les gens évaluent les données de test dans l’équipe de développement et s’assurent qu’elles sont anonymes et en toute sécurité – améliorant l’ensemble du processus de développement. Anonymisé leurs environnements de test pour protéger le développement de leurs données. Ils constatent souvent qu’ils n’ont pas assez de données anonymes. Comment améliorer ce processus et ce processus? Ceci est une question ouverte en 2022.
Les circonstances de l’événement de sécurité restent très peu claires, en particulier lorsque Neworch n’a pas fourni d’annonce officielle sur le sujet. Mais selon les « spécialistes », le groupe n’était pas « l’objectif principal des pirates informatiques », a déclaré Pierre Mestre, fondateur et président de Neworch, quotidiennement. « Nous sommes une garantie », résume-t-il. En détail, les logiciels malveillants auraient été distribués via des courriels. « C’était assez pour que quelqu’un l’ouvre et c’est l’effondrement », a-t-il ajouté.
La rançon demandée serait « plus d’un million d’euros »
Le groupe français Neworch, propriétaire du spécialiste de la mode Orter, a été victime d’un ransomware. L’attaque n’a pas abouti aux fonctions des magasins, la gestion des amants. D’autre part, les 230 employés travaillant au siège à Hérault sont dans le travail à distance. Un retour à la normale est prévu au milieu de cette semaine.
Le groupe NewOrch-Orchestra exploitait fin octobre 2021 une solution VDI qui n’est plus disponible, mais aurait pu offrir une passerelle aux attaquants. Cependant, il aurait pu être plus d’un, selon les moteurs de recherche spécialisés.
Chaque année, à l’occasion de la Journée mondiale de la protection des données, il est important d’informer et de rappeler aux entreprises quelles sont les approches les plus efficaces pour faire face aux nombreuses menaces existantes dans le paysage numérique mondial, ils risquent de perturber la continuité des activités. Qu’il s’agisse de renforcer la défense contre le ransomware ou des travailleurs de train pour la conformité législative, la capacité de protéger et de restaurer des données est un élément essentiel de toute stratégie moderne de protection des données. Cela préconise la règle de sauvegarde «3.2.1» comme la meilleure pratique que toutes les entreprises doivent suivre en 2022.
Quelle méthode de sauvegarde sur HyèresLes différents types de sauvegarde sur HyèresSauvegarde informatique Hyères
Au moins 3 copies des données
Outre les données du poste de travail, vous devez également avoir au moins deux autres fichiers de sauvegarde pour une protection adéquate.
Les probabilités qu’un événement se produisent sur deux unités en même temps est plus forte que sur trois unités, en particulier lorsque la sauvegarde principale est souvent située près des données primaires. En cas de problème, les données primaires et la sauvegarde peuvent être perdues. La sauvegarde secondaire doit donc être retirée des données primaires pour prévenir l’éventualité.
Copiez sur 2 médias différents
Il est recommandé de sauvegarder l’une des sauvegardes sur un disque dur interne et la deuxième copie sur un support de stockage amovible (telle qu’une bande, des disques durs externes, un stockage en nuage, etc.).
Le stockage des deux copies de la sauvegarde sur le même type de support de stockage augmente le risque de perdre toutes les données de sauvegarde en cas d’erreurs ou de cyber attaques affectant les données stockées sur un format de support particulier.
Une autre solution consiste à stocker la sauvegarde principale sur les disques durs internes d’un serveur physique et de la sauvegarde secondaire sur les entraînements durs internes dans un NAS, car les transporteurs des deux systèmes sont étiquetés, format et différents types.
Tenez au moins 1 copie de sauvegarde hors site
Il est nécessaire de conserver au moins une copie de sauvegarde hors du site physique où les données primaires et la sauvegarde sont trouvées. Il n’est pas recommandé de garder la deuxième copie dans le même emplacement physique car, en cas de désastre, tel que le feu ou les inondations – tout ce qui est à cet endroit pourrait être détruit. Si les données principales et la sauvegarde, ainsi que la sauvegarde secondaire sont stockées au même endroit, elles seront perdues pour toujours.
Pour les entreprises qui n’ont pas de sites multiples, il est possible de stocker une copie des données de sauvegarde dans le cloud public ou un nuage privé via un fournisseur de services.
Imaginez un instant… Vous êtes en train de travailler sur un projet important, soudain, votre ordinateur s’éteint sans prévenir. Vous redémarrez, mais tous vos fichiers ont disparu. Comment vous sentez-vous ? Il est facile de ressentir de la panique, de la frustration, voire de la détresse à cette idée, n’est-ce pas ?
Et si je vous disais qu’il existe une solution simple et efficace pour éviter cette situation ? Une solution qui vous permet de dormir sur vos deux oreilles, sachant que vos données sont en sécurité. Cette solution, c’est eCura.fr.
eCura.fr est bien plus qu’un simple service de sauvegarde informatique. C’est votre tranquillité d’esprit. C’est la garantie que vos fichiers, vos photos, vos projets sont protégés, quoi qu’il arrive.
En choisissant eCura.fr, vous choisissez la sécurité, la fiabilité et la sérénité. Vous choisissez de reprendre le contrôle sur vos données. Alors, pourquoi attendre ? Rejoignez dès aujourd’hui la communauté eCura.fr et dites adieu aux pertes de données.
Le ministère de la Justice est ciblé par un ransomware
Le ministère français de la Justice victime d’un ransomware. C’est ce que propose le youtubeur « Defend Intelligence » sur Twitter. Selon ses sources, des données ont été compromises et les pirates menacent de les publier le 10 février 2022 si la rançon requise n’est pas payée par les autorités.
Lockbit 2.0 Groupe de rançongiciel, connu pour avoir attaqué Thales, en veillant à ce qu’elle ait réussi à hérir le ministère de la Justice. Le compte à rebours dans le soutien menace de publier des documents car ils auraient non plus sûr lors de l’attaque dans un délai de deux semaines.
Un gros compte à rebours rouge, ils menacent de publier des document
Sur son site, le groupe de cybercriminels prétend avoir attaqué des organisations italiennes et danoises ou espagnoles. Lors de la dernière mise à jour de ses victimes présumées, en plus du site Web du ministère de la Justice, il a indiqué que la municipalité de Saint-Cloud (Hauts-de-Seine) serait également concernée. Contacté par Libération, Eric Berdoats, maire, confirmer: « Nous étions le sujet du vendredi dernier tôt le matin d’un cyberrataker qui a paralysé tous nos systèmes. » Une plainte a été soumise au procureur de Paris.
le ministère de la Justice ciblé par Le groupe de rançongiciel Lockbit
Le responsable choisi ne veut pas indiquer si une demande de rançon a été reçue. Cependant, il est appelé aucune couverture de données pour le moment. « Petit à petit, nous reviendrons dans l’activité, nous réussirons ici à la fin de la semaine pour restaurer tout », continue-t-il. La mairie doit encore racheter des serveurs et « réinvestir dans une nouvelle infrastructure ». Un prix qui dépasserait les cent mille euros. Pour rappel, en décembre, plusieurs maisons de ville de Seine-Saint-Denis ciblent également une attaque de Rankong. Selon Kaspersky Cyberscurity Company, Ransomware Lockbit « est un logiciel malveillant conçu pour bloquer l’accès aux utilisateurs avec des systèmes informatiques et soulever le blocage en échange d’une rançon ». C’est une attaque privilégiée sur les entreprises cibles ou d’autres organisations. Premièrement appelé « Virus.ABCD », le programme Lockbit sera utilisé dans des attaques identifiées depuis septembre 2019. «Les États-Unis, la Chine, l’Inde, l’Indonésie et l’Ukraine sont déjà ciblés dans le passé de ces types d’attaques», ajoute la société. De même pour plusieurs pays européens.
Le FSB affirme qu’il a répondu à l’appel des « autorités américaines compétentes », après avoir souligné « le chef de l’association criminelle et son implication » dans les cyberattaques.
Le FSB a démantelé le groupe de cybercriminels, une requête formulée par les Etats-Unis, principale victime de REvil.La Russie a démantelé, à la demande des États-Unis, le groupe de hackers REvil.Renforcement de la coopération entre Moscou et Washington dans la lutte contre la cybercriminalité.REvil, un rançongiciel des plus célèbres, qui a extorqué des millions d’euros à des centaines d’entreprises, notamment françaises.La Russie annonce l’arrestation du gang de rançongiciel REvil.
L’intelligence russe a organisé l’arrestation dans sa superficie de 14 cybercriminels soupçonnés de faire partie de la célèbre bannière Wil. Rarissime, cette chirurgie de la police suit un appel des autorités américaines. Normalement, Moscou refuse de coopérer avec des pouvoirs étrangers et la Russie est considérée comme un refuge pour certains réseaux cybercoises. Si ce type de coopération est reproduit, ce serait un changement important dans la lutte contre la cybercriminalité. Un message d’attente spécial tandis que les lignes sont ces logiciels qui cryptent vos données pour nécessiter une rançon, est devenue l’une des menaces informatiques les plus importantes dans le monde, n’a pas éjecté ce fléau. « Ces personnes ont développé des logiciels malveillants, organisé le vol de fonds sur les comptes bancaires des citoyens étrangers et leur dépôt, notamment en achetant des propriétés Internet coûteuses », explique FSB dans sa déclaration.
Ce 14 janvier marque 2022 un tournant dans la lutte contre la cybercriminalité? Le service de sécurité fédéral de la Fédération de Russie (FSB) a annoncé le succès d’un certain nombre d’arrestations dans quatre villes du pays (Moscou, Saint-Pétersbourg, Leningrad et Lipetsk) … à la demande des États-Unis.
Dans leur recherche, 14 personnes soupçonnées de faire partie du gangui-à-tête, l’un des plus célèbres opérateurs Rankoning qui ont extorqué des millions d’euros sur des centaines d’entreprises, notamment français et américains. L’opération a donc tiré une fonction finale sur les dommages des révisions.
Une prison aux États-Unis a été la cible d’une cyberattaque au ransomware.Les caméras de surveillance de la prison et les portes automatiques ne fonctionnaient plus.Une situation incertaine qui a forcé les autorités à limiter les déplacements de tous ses détenus.Aucune tentative de fuite organisé par un pirate informatique.Le problème de ransomware est le même en France.
En raison de l’attaque, des caméras de surveillance et des portes à cellules automatiques ne fonctionnent plus (elles n’étaient pas ouvertes, mais un gardien de but a dû passer à chaque ouverture). La prison était simplement hors ligne. Les employés pentitiques ne pouvaient pas entendre des records des détenus et des registres identifiant les événements de sécurité semblent avoir été endommagés par l’attaque. Une situation incertaine qui a forcé au centre de la détention à grand mandat pour limiter tous ses détenus. Ce phénomène est le même en France. Les communautés territoriales et certaines autorités publiques sont particulièrement ciblées par ces attaques dévastatrices, y compris les hôpitaux. Au Forum international de cyber-sécurité en septembre 2021, Guillaume Pedoard, directrice de l’Agence nationale des systèmes d’information, autorité de cybersécurité en France, sur le problème sans détour: «Si les hôpitaux français sont attaqués, c’est parce qu’il est facile: votre sécurité est zéro ». Dans ce type de cas attaque les pirates informatiques toutes les infrastructures d’un réseau sans nécessairement savoir exactement ce qu’ils ciblent. Les pouvoirs publics visent souvent parce que c’est la plus faiblement protégée. Comme le poste est celui des États-Unis, Atlanta, Baltimore, Denver, Knoxville, la Nouvelle-Orléans et Tulsa ont déjà été influencés par des attaques de ransomware. Mais ici, pas d’expériences d’échappement sur le dirigeant par un piratage de Geni, les assaillants semblent que les assaillants semblent purs mercitiles: obtenez une rançon contre la clé de déchiffrement. Le pénitentiarycret n’a pas eu droit à la loi, c’est l’une des victimes d’une attaque plus large de ransanques qui affecte plusieurs jours aux comptes de Bernadillo, autour de la ville d’Albuquerque. D’autres administrations urbaines ont simplement dû fermer, manque de systèmes fonctionnels.
Entre 2019 et 2020, les attaques de «Ransomware» destiné aux autorités publiques avec plus de 30% d’augmentation.
Au cours de cette période, des services nationaux de la police et de la gendarmeriet enregistrés entre 1 580 et 1 870 procédures relatives aux attaques de forages de rang. Ce sont des logiciels malveillants qui verrouillent des ordinateurs ou de l’ensemble du système informatique, puis demandent une rançon aux victimes. En cas de paiement, les victimes doivent recevoir une clé de déchiffrement pour reprendre l’accès aux données.
Selon l’estimation élevée, le nombre de procédures ouvertes en relation avec le ransomware a augmenté en moyenne de 3% de chaque année jusqu’en 2019, puis accéléré (+ 32%) entre 2019 et 2020. Néanmoins, cette étude, les procédures commerciales et les institutions ne représentent que 15%. d’attaques sur les systèmes de traitement de données automatisés enregistrés entre 2016 et 2020.
Le secteur industriel (qui représente 7% de l’économie française) est particulièrement touché: il représente 15% des victimes enregistrées. Les pouvoirs publics, l’éducation, la santé et l’action sociale sont surreprésentés: 20% des victimes, dont seulement 13% des institutions de la France. Dans ce secteur, les autorités locales sont particulièrement attaquées (85% des autorités publiques en 2020).
La rançon requise par les pirates hachistes deviennent plus importantes et demandées souvent à Cryptomonnaie, selon l’étude. La valeur médiane des montants enregistrés auprès de la police et de la gendarmerie a augmenté d’env. 50% par an entre 2016 et 2020, à 6 375 € pour 2020.
Le ministère de la Défense belge a confirmé identifié une attaque informatique de type Log4j.
Les autorités belges subissent une cyberattaque de Log4jLog4Shell
Le ministère Belge de la Défense joue une transparence en admettant une victime d’un piratage basé sur l’erreur Log4Shell. Le fonctionnement de ce dernier intégrant des logiciels malveillants Dridex.
Aujourd’hui, le ministère belge de la Défense a annoncé qu’elle avait été victime d’une attaque contre la vulnérabilité de Log4Shell. Le piraterie aurait eu lieu la semaine dernière et « certaines activités de département de la Défense ont été paralysées depuis plusieurs jours. »
Le porte-parole du Fonds a confirmé ces informations. « La défense a découvert jeudi une attaque sur son réseau informatique reporté sur Internet. Des mesures de quarantaine ont été rapidement prises pour isoler les parties touchées. La priorité est de garder le réseau de défense opérationnelle. En outre, il est dit: » Cette attaque suit l’exploitation de la vulnérabilité log4j, publiée la semaine dernière. «
Parmi les ordinateurs infectés, 7,2% des machines font partie de systèmes de contrôle industriels utilisés par des organisations opérant dans divers domaines, de l’ingénierie à l’énergie, en passant par la construction, la gestion de l’eau et les services publics. Organisations principalement situées en Inde, au Vietnam et en Russie. Le malware a infiltré les systèmes d’exploitation « via une plate-forme MaaS qui distribue des logiciels malveillants dans des archives d’installation de logiciels piratés ». Il est également diffusé via le botnet Glupteba.
Le nouveau malware PseudoManuscrypt, a infecté plus de 35 000 ordinateurs sur 2021
Pour alimenter le botnet, un certain nombre d’installateurs ont été crackés. On peut citer notamment Microsoft Office, Adobe Acrobat, Garmin, Call of Duty, la boîte à outils SolarWinds Engineers, mais aussi la suite de sécurité Kaspersky. Pour commettre leurs méfaits, les hackers ont privilégié la méthode dite de l’intoxication des moteurs de recherche. Pour ce faire, ils ont créé des sites Web malveillants dont ils ont affiné la référence naturelle (SEO) pour les faire apparaître en haut des résultats de recherche.
Une fois installé, le malware est capable de prendre le contrôle total du système infecté. Plus précisément, les pirates ont pu désactiver l’antivirus, voler les données de connexion VPN, espionner les frappes au clavier. Ils ont également enregistré de l’audio, pris des captures d’écran et des enregistrements vidéo de l’écran et intercepté les données passant par le presse-papiers.
Après avoir analysé des échantillons, les chercheurs ont découvert des commentaires écrits en chinois. Mais cela ne suffit pas à établir l’identité et l’origine des pirates ainsi que l’implication potentielle du gouvernement. « Le grand nombre d’ordinateurs d’ingénierie attaqués, y compris les systèmes utilisés pour la modélisation 3D et physique, le développement et l’utilisation de jumeaux numériques, peut signifier que l’espionnage industriel est l’un des principaux objectifs de la campagne d’attaque », soulignent les chercheurs.
Après avoir diffusé un message politique avec une adresse Email de la ville de Hyères 83400, l’équipe de campagne d’Eric Zemmour affirme que le partie n’a «aucune relation avec cette histoire».
Piratage d’E-mail de la mairie de Hyères
Plaintes de la ville de Hyères après le piratage et l’envoi de d’Email au nom de la campagne Eric Zemmour.
Dimanche, d’autres études ont été faites dans la municipalité. La piste d’un email envoyé en interne par un agent est complètement exclue par les services informatiques de la mairie.
Date du piratage
Ils ont clairement identifié un piratage de l’adresse Email le dimanche 12 décembre, envoyé à 4h04 dans de différentes écoles. L’envoi du message aurait été placé à Amsterdam.
Plusieurs écoles de la ville de Hyères (VAR) ont reçu dimanche un Email qui appelle à adhérer à Reconquête, lancé par l’extrême droite polémique et candidat à l’élection présidentielle, Eric Zemmour.
Plus de cinquante messages ont été envoyés dans le monde éducatif de la ville, il semble q’une adresse du service de communication de la ville de Hyères. Le service de la ville prétend avoir été victime de piratage.
Panasonic a découvert qu’un pirate était déjà présent dans ses systèmes pendant des mois. La société a récemment découvert le problème et effectue l’étude.
Panasonic piraté, avec vole de données
Panasonic révèle avoir été piraté, les pirates informatiques ont pu infiltrer son réseau le 11 novembre. Ils ont été en mesure de collecter davantage de données, mais le groupe japonais spécialisé dans l’électronique ne sait pas vraiment quoi. Au moins officiellement.
Mais c’est une version très raffinée de faits. Dans une interview avec TechCrunch, un porte-parole de la société explique que le cambriolage a été découvert pour la première fois le 11 novembre. En pratique, le pirate informatique devait être présent dans les systèmes depuis le 22 juin. Le piratage aurait cessé le 3 novembre. Certains médias japonais évoquent également cette fois.
Il n’est toujours pas clair quel est l’effet précis du piratage et le nombre de données observées ou volées. Panasonic s’excuse pour l’incident, a déclaré avoir informé les autorités compétentes et la coopération avec un acteur externe afin d’examiner ce qui s’est passé.
John Binns, Américain de 21 ans, de Virginie et vit en Turquie, a admis être la principale personne du piratage massif de T-Mobile, qui exposait les informations sensibles de plus de 50 millions de personnes.
L’auteur de Cyberattack de T-Mobile assume
John Binns a exprimé publiquement dans une interview avec le Wall Street Journal, les connaissances au journal soient à l’origine de l’attaque, qu’il a conduit de sa maison à Izmir, en Turquie, où il vit avec sa mère. Son père qui est mort quand il avait deux ans, était américain et sa mère est turque. Ils sont retournés en Turquie à l’âge de 18 ans. John Binns a admis être derrière les cyber-attaques exposées à des données sur plus de 50 millions de personnes, dans le but de « nuire à l’infrastructure des États-Unis ». A travers le télégramme, John Binns a fourni le Wall Street Journal avec la preuve qu’il a été trouvé pour les attaques T-Mobile avec des journalistes d’indication il des réseaux T-mobile d’accès à l’origine obtenu par un routeur non protégé en Juillet.
Selon le quotidien, il a cherché des erreurs dans la défense T-mobile par le biais de ses adresses Internet, et a accès à un centre de données près de East Wenatchee, dans l’État de Washington, où il a pu explorer plus de 100 serveurs dans l’entreprise. A partir de là, il a fallu environ une semaine pour les serveurs d’accès contenant des renseignements personnels sur des millions de personnes. Le 4 Août, il a volé des millions de fichiers.
« Je suis allé à la panique parce que j’avais accès à quelque chose d’important. Leur sécurité est terrible », dit John Binns au Wall Street Journal. « La réalisation du bruit était un but. »
Il ne voulait pas confirmer si les données qu’il a volé a déjà été vendu ou si un autre payé à pirater T-Mobile. Bien que John Binns ne dit pas explicitement qu’il avait travaillé avec d’autres personnes sur les attaques, il a admis qu’il avait besoin d’aide l’acquisition des identifiants de connexion pour les bases de données à l’intérieur des systèmes T-Mobile.
Le Wall Street Journal L’article mentionne également que T-Mobile a été informé de la violation d’une société de sécurité cybernétique appelé UNIT221B LLC, ce qui indique que les données de ses clients ont été commercialisés sur noir Web.
Les chercheurs de la sécurité ont mis en évidence des personnes qui constituent une partie importante de l’écosystème de cybercrimination
Les intermittent de la cybercriminalité
Programmes de phishing, campagnes de logiciels malveillantes et autres opérations utilisent un nombre total de travailleurs ombragers. Pour leur offrir de meilleures opportunités de travail légitimes pourraient aider à réduire le crime?
Une collaboration de recherche avec l’Université technique tchèque à Prague et GoSecure et SecureWorks entreprises de sécurité Cyber a analysé les activités des personnes en marge de la cybercriminalité, les projets sous – jacents tels que la création de sites Web, finissent par être utilisés pour des attaques de phishing, les affiliés Systèmes pour diriger le trafic sur les sites Web compromis ou contrefaits ou écrire sur le code trouvé dans les logiciels malveillants.
Les gens sur l’origine de ces projets font parce qu’il est un moyen facile de gagner de l’argent. Mais faire ce travail, ils jettent les bases de campagnes malveillantes pour les cyber-criminels.
Un regard sur le web L’étude, Mass Effect: Comment Opporitistic travailleurs conduisent dans la cybercriminalité et présenté au Black Hat États-Unis, trouve ses origines dans une analyse de l’Université technique tchèque qui a révélé des roues geost, un botnet et une campagne de logiciels malveillants Android comme des centaines infectés de milliers d’utilisateurs. Ce travail a permis aux chercheurs d’examiner les journaux pour certaines des personnes impliquées.
Ils ont pu trouver des traces de personnes dans ces journaux sur des forums en ligne et d’autres plates-formes de discussion et avoir une idée de leurs motivations.
«Nous avons commencé à comprendre que même s’ils étaient impliqués dans la diffusion de programmes malveillants, ils n’étaient pas nécessairement cerveaux, mais plutôt des travailleurs informels, ceux qui travaillent sur de petits projets», a déclaré Masarah Forfait-Clouston, chercheur de sécurité à Gosécur.
Bien que ces personnes sont au bas de la hiérarchie, ils exécutent des tâches utiles pour les cyber-criminels à des sites d’utilisation et d’outils, ils créent des activités malveillantes, y compris le phishing et les logiciels malveillants communication.
« Ils essaient de gagner leur vie et peut – être le salaire du crime mieux, donc ils vont là – bas, » a déclaré Sebastian Garcia, professeur adjoint à l’Université technique tchèque, affirmant que nous devons accorder plus d’ attention aux personnes qui oscillent entre la cybercriminalité et l’ activité juridique.
« Il y a beaucoup de gens dans ces forums publics que les sociétés de sécurité ne se rapportent pas, mais ce sont ceux qui soutiennent la majorité du travail, la création de pages web pour les e – mails de phishing, l’ APK, le cryptage, les logiciels malveillants, mulet, » dit – il.
L’arbre qui dissimule la forêt « Si nous nous concentrons toujours sur des cerveaux » délinquants motivés « qui ont vraiment développé le Botnemetten et les moyens de gagner de l’argent avec tout cela, nous oublions les travailleurs », avertit M. Paquet-Clouston. « En tant que société, nous oublions souvent que beaucoup de gens sont impliqués et que ce n’est pas nécessairement des personnes très motivées, mais plutôt ceux qui finissent par faire l’activité », a-t-elle déclaré.
Mais cela ne signifie pas nécessairement que les personnes impliquées dans ces systèmes doivent être traitées comme des cybercriminels de vol élevé, en particulier lorsque certains ne savent même pas que leurs compétences sont utilisées pour la cybercriminalité.
En fait, il serait possible de donner à bon nombre de ces personnes la possibilité d’utiliser leurs avantages de compétences plutôt que de les utiliser pour l’aider à la criminalité.
La banque centrale au Brésil est une unité indépendante du gouvernement brésilien. Il est contrôlé de manière autonome. Cependant, ce piratage est l’autre dans quelques mois. En novembre 2020, c’était le tribunal électoral supérieur au Brésil, qui a été paralysé pendant plus de deux semaines avec une attaque.
La banque centrale du Brésil et la terreur du ransomware
Le ministère des Finances de la Banque centrale du Brésil a été victime Vendredi 13 Août, 2021 une attaque Ransomware selon le ministère de l’Economie. Les conséquences précises de cette attaque n’ont pas encore été révélées. Mais les éléments clés de l’infrastructure que la gestion de la dette semblent être épargnés. L’événement avait déjà attiré beaucoup de réactions. Il a été présenté comme l’attaque la plus sophistiquée jamais orchestrée contre les systèmes informatiques du pays. Afin d’éviter ce genre d’attaque du gouvernement récurrent avait annoncé au moins Juillet 2021 la création d’un réseau pour répondre à ces cyber-attaques.
Ce qui ne l’empêche pas les pirates en but après quelques semaines plus tard d’impôt national. À l’heure actuelle, les autorités brésiliennes légèrement les prolongent les détails de l’attaque et ses conséquences. Les experts du Secrétariat du Trésor et de gouvernement numérique seraient analysées encore toutes les données disponibles. Le Ministère de l’Economie du Brésil notifie dans un communiqué de presse que la taxe nationale est administré par la Banque centrale du Brésil, a été victime Vendredi 13 Août, 2021 une attaque ransomware. La police fédérale sont également au dossier. A en croire le ministre de l’économie, plus d’informations sur l’incident « sera révélé rapidement et en toute transparence ». Nous avons tout simplement le fait que l’attaque aurait causé des dommages aux plates-formes centrales du Trésor, en particulier celles qui ont trait à la dette nationale.
Dans un communiqué publié quelques heures plus tard, la Bourse confirme le Brésil que l’attaque a complètement sauvé programme de rachat soeur Tesouro dette. La question de la sécurité informatique est de plus en plus central aux gouvernements du monde entier que les pirates peuvent interférer dans les infrastructures nationales clés.
Le début d’une nouvelle année n’a pas réduit la frénésie des cybercriminels qui n’ont jamais cessé de multiplier les actes frauduleux.
À la fin de 2020, les détections de menace enregistrées par Trend Micro ont montré une augmentation de 20% des attaques ciblant les organisations de télétravail et les employés par rapport à 2019. La PAC des 126 000 attaques par minute autour du monde a donc été atteinte.
Bien que la promesse d’accès au vaccin généralisé soit progressivement au niveau international, la pandémie reste un véritable levier pour les attaquants.
En effet, les menaces utilisant le nom du virus persist: Trend Micro a énuméré plus de 1,6 million au cours des trois premiers mois de l’année. Parmi les techniques d’attaques utilisées, les menaces liées à la messagerie dominante (92%) dans le Top 3, suivies d’URL frauduleuses (7%) et de fichiers infectés (1%). Les États-Unis seul représentent le plus grand nombre de détections d’attaque via des courriels et une URL frauduleuse à l’aide de CVIV-19 en tant que (+684 000 en mars 2021). Notant incroyable dans la pratique, lorsque les déclarations indiquent que le pourcentage de menaces de menaces transportées par courrier électronique a bombé de 107% dans un délai d’un mois.
Les attaquants restent également fidèles à certaines pratiques, les campagnes de logiciels malveillants liées à l’émotet, à Ryuk ou à Trickbot sont restées actives en mars dernier. Et cela, bien que les familles malveillantes ont enregistré un volume de détection (1,1 million) légèrement sur la période, à savoir – 8% par rapport au mois précédent.
Les entreprises continuent de construire des objectifs préférés, comme le montre le remède intensif auprès de Banking Malware Ramnit, dont les attaques ont augmenté de 21% au mois de mars. Attaques de SPOC, qui tendent à usurper l’identité dans les affaires, a augmenté de 6,4% entre février et 2021.
Il y a une augmentation des cyberattaques utilisant une forme de ransomware apparu il y a presque deux ans. Mais même si c’est relativement vieux, il continue de se prouver parmi les cybercriminels.
LockBit (Le ransomware)Le retour
Le Ransomware Lockbit existe depuis 2019, mais ses créateurs ajoutent de nouvelles fonctionnalités et annoncent d’attirer de nouvelles sociétés de soeur de cybercriminalité. Trend Micro Cyber Security chercheurs ont connu une augmentation des campagnes de Ransomware Lockbit depuis début juillet. Ce service ransomware-comme-un, présenté pour la première fois en septembre 2019 a connu un succès relatif, mais a connu une activité renouvelée cet été. Si le verrouillage est resté dans l’ombre la majeure partie de l’année, il a fait l’un des journaux avec l’attaque contre l’accenture Consulting Corporation. Il semble également avoir bénéficié de la disparition apparente des groupes Ransomware Ransomware et Darkside. Un nombre important de filiales de ces opérateurs se sont tournées vers Lockbit comme une nouvelle façon de mettre en œuvre des attaques de ransomware. Lockbit a également réussi à suivre des traces d’importants groupes de ransomware en utilisant certaines tactiques, techniques et procédures Autres groupes attaqués. Par exemple, Lockbit utilise désormais la fonction Wake-On-LAN de Ryuk, qui consiste à envoyer des packages pour se réveiller de périphériques hors ligne pour se déplacer latéralement sur le réseau et compromettre autant de machines que possible. On peut prévoir que les attaques Ransomware Lockbit constituent encore une menace pour un certain temps, d’autant plus que le groupe cherche activement à recruter de nouveaux partenaires. Mais si les groupes ransomware sont persistants, il y a des étapes que les équipes de sécurité de l’information peuvent prendre pour aider les réseaux protéger contre les attaques.
Attention un client T-mobile! L’opérateur américain hier, le 16 août, a confirmé qu’il y avait un cambriolage dans son système informatique, mais ne savez pas si des données personnelles ont été volées. Sur les forums, des pirates informatiques disent qu’ils ont fait une main sur les données confidentielles de 100 millions de clients des opérateurs américains et sont en train de vendre une partie.
Merci T-Mobile USA
Selon les médiats qui ont révélé des ventes de pirates et ont pu analyser leurs données, l’attaque seraient autorisés à récolter les noms, adresses postales, numéros de téléphone, les numéros IMEI, du CP et des chiffres. identification fiscale ou permis de conduire. Actuellement, seules les données d’env. 30 millions de personnes ont été proposées à la vente sur des forums pour 6 bitcoins (correspondant à 236 500 euros).
En bref, la réalité du vol de données ne semble pas être des doutes sur, même si la personne n’a pas encore confirmé officiellement. Le plus grand risque est détenu par les clients concernés est le vol d’identité, y compris son utilisation dans « Sim swapping », une attaque dont le but est de retrouver la ligne de téléphone mobile d’une personne à des codes secrets d’accès envoyés par SMS. les clients T-Mobile ont donc intérêt à la vigilance doubler, donc il ne devrait pas être fait.
Pour sa part, l’ordinateur Bleeping a été capable de récupérer de la capture d’écran Hackers d’accès à SSH à une base de données Oracle T-Mobile USA, qui est probablement la source des données volées. Selon les pirates, la piraterie a été faite il y a environ deux semaines et porte sur des données remontant à 2004.
Les courtiers d’accès sont des individus ou des groupes qui ont réussi à accéder à un réseau ou à un système d’entreprise au moyen d’identificateurs, d’attaque de puissance brute ou du fonctionnement des vulnérabilités.
Des courtiers pour les cybercriminels
Le marché des courtiers d’accès continue de développer, le coût de ces accès pose un faible coût par rapport aux avantages potentiels d’une attaque de ransomware réussie. Ces dernières années, Ransomware-As-A-Service (RAAS) groupes ont été intéressés par ces courtiers parce que les utiliser directement ou les payer en échange d’ un accès à un système cible , ils sont en mesure d’éviter la première étape de l’intrusion: La longue processus est nécessaire pour trouver un terminal vulnérable.
Lundi, Kela Cybergness Société a publié un rapport en explorant le marché des courtiers d’accès et a constaté que le coût moyen d’accès au réseau était de 5.400 $, alors que le prix médian était de 1 000 $. Dollars.
Si nous croyons que les demandes de collègues de rang millions de reach aujourd’hui de dollars d’un point de vue pénal, il est un petit prix à payer.
L’équipe a examiné plus d’un millier de messages publiés sur les forums de cybercriminels web sombre dans la période allant du 1er Juillet 2020 et 30 Juin 2021 et constaté que les annonces offrant un accès inclus un certain nombre d’offres basées sur le réseau et les comptes compromis – tels que l’accès à distance à un ordinateur dans une organisation – ainsi que l’ accès aux comptes de privilèges de domaine et accès à distance-RDP et VPN.
Au total, 25% de la publicité a été libéré par les courtiers.
comptes Privilege élevés qui vendent plus cher Sans surprise, les offres avec la valeur la plus élevée – et donc les prix les plus élevés – étaient des services d’accès offrant des privilèges au niveau de domaine dans des entreprises allant de centaines de millions de dollars de revenus.
Les plupart des services d’accès coûteux concerne une société australienne génère un chiffre d’affaires annuel de 500 millions $ pour 12 Bitcoins (BTC), soit environ 478 000 $, et l’accès à une société d’informatique aux États-Unis, par ConnectWise, dans 5 BTC (200 000 $) .
GigaByte a confirmé le 13/08/2021 être victime d’un cyberhack qui a forcé le développeur à fermer beaucoup de ses serveurs basés à Taiwan. Une opération d’urgence affectant le site de support de la société: les utilisateurs ne peuvent plus accéder aux informations et documents normalement fournis par le site.
Gigabyte victime d’un ransomware, Intel AMD
Le fabricant d’ordinateurs GigaByte a été victime d’une cybercrattage qui pèse de grands risques sur ses partenaires, y compris Intel et AMD. Les pirates posséderaient des documents confidentiels. Cette situation n’est pas très agréable en soi, mais pire, c’est que cela affecte également les partenaires des gigaoctets. Les hackers posséderont en fait 112 Go de fichiers, dont certains contiennent des informations confidentielles sur les partenaires de la société, y compris Intel et AMD.
Les gigaoctets ne signifiaient pas si c’était un ransomware, mais il semble que le groupe derrière l’attaque soit Ransomexx (précédemment détenant). Parmi les victimes de cette bande de pirates, des institutions publiques, mais aussi des entreprises et des gigaoctets sont probablement les plus importantes.
Afin de faire pression sur Gigabyte, Ransomexx a déjà publié des documents sur les activités du fabricant ainsi que ses partenaires qui n’ont pas demandé quelque chose, mais sont pris dans cette tempête. Pour éviter un plus gros avion, la victime est fortement encouragé à rançon salariale … les autorités ne favorisent pas qu’ils sont touchés par ces compagnies d’attaques à abandonner les pirates, mais gigaoctet ne serait pas le premier à lâcher l’argent demandé sur le maintien ses secrets.
Au cours des dernières semaines, de nombreuses rancingres et de grandes cyber attaques, parfois dans le monde entier devenaient conscientes. Il oublierait presque les risques qui pèsent sur les individus et restent toujours très nombreux. De l’usure de l’identité à la phishing, passez à travers la ligne, pas de sécurité.
Menaces sur les internautes français depuis le début de la crise de la /du Covid
Les grandes attaques des grandes entreprises et l’exposition de 50 à 65 millions d’enregistrements ont un prix élevé, jusqu’à 401 millions de dollars.
Selon une étude IBM, le coût moyen d’une attaque est de plus de 4 millions de dollars.
Le coût des piratages professionnelles atteint un niveau record
Le coût moyen d’une attaque a maintenant dépassé le barreau fatidique de 4 millions de dollars et a atteint un niveau record en vertu de la crise de la santé. Dans un rapport publié mercredi d’IBM, Big Blue estime que, en 2021, coûte une violation de données typique des entreprises de 4,24 millions USD. Le coût est de 10% supérieur à 2020.
En France, les secteurs les plus touchés sont des services financiers, du secteur pharmaceutique ainsi que de la technologie. Au niveau international, aux secteurs de la santé et des services financiers qui enregistrent les violations les plus chères.
Logiciels malveillants et hameçonnage
IBM estime qu’environ 60% des entreprises se sont tournées vers «Cloud» pour poursuivre leurs activités, bien que le renforcement du contrôle de la sécurité n’ait pas nécessairement suivi. Lorsque l’utilisation de travaux distants a explosé, elle était la même pour les infractions de données dont les quantités ont augmenté de 1 million de dollars – les taux les plus élevés de 4,96 millions de dollars contre 3, 89 millions de dollars.
Le vecteur d’attaque le plus courant des victimes de données d’un transfert de données est un compromis sur les informations d’identification, soit extraits des souches de données soumises, vendues ou obtenues par une attaque de force brute. Une fois que le réseau est infiltré, les informations personnelles identifiables (IPI) sont devenues des clients, notamment des noms et des adresses électroniques, volées dans près de la moitié des cas.
En 2021, il a fallu un total de 287 jours pour détecter et contenir une violation de données ou 7 jours de plus que l’année précédente. Au total, une organisation moyenne n’enregistrera pas d’entrer dans les 212 jours. Il ne sera donc pas capable de résoudre complètement le problème avant que 75 jours supplémentaires soient passés.
Les infractions de données dans le secteur de la santé ont été les plus chères, avec une moyenne de 9,23 millions de USD suivi des services financiers – 5,72 millions de dollars – et des médicaments, avec 5,04 millions de dollars.
Selon IBM, les entreprises qui utilisent des solutions de sécurité sont basées sur des algorithmes d’intelligence artificielle (AI), l’apprentissage automatique, l’analyse et le cryptage, ont tous diminué le coût potentiel d’une violation qui permet aux entreprises. Économisez en moyenne entre 0,1 25 et 1,49 million de dollars.
« L’augmentation des infractions de données sont une autre dépense supplémentaire pour les entreprises en fonction des changements technologiques rapides lors de la pandémie », a déclaré Chris McCurdy, vice-président de la sécurité IBM. « Bien que le coût des infractions de données ait atteint un niveau record au cours de la dernière année, le rapport a également démontré des signes positifs de l’impact des tactiques de sécurité modernes, telles que l’AI, l’automatisation et l’adoption d’une approche de confiance zéro – qui pourrait être payée en réduisant coûte ces incidents plus tard. «
Un membre du groupe de Ransomware Conti, visiblement insatisfait des négociations de groupe, a publié plusieurs documents en ligne décrivant les méthodes et les outils recommandés pour cibler les entreprises.
Des cybercriminels attaques des Ransomwares.
Si la fuite ne révèle pas de nouveau fondamental, il permet de mettre en évidence le fonctionnement de ces groupes « Ransomware en tant que service » composé d’un petit nombre d’opérateurs sur le chef de programme qui prend en charge les négociations et la récupération de la rançon et de nombreux « Affecté », responsable de la compromission sur le système informatique de la victime ou de la mise en œuvre des étapes initiales de la détonation du Groupe fourni par le groupe. Les rancingions sont ensuite réparties entre les différents membres du groupe conformément au rôle de chacun suivant: Selon le Soft Computer réserve les opérateurs du groupe Normalement 20 à 30% de la rançon et renvoie le reste de la somme à trouver dans le compromis , le système informatique de la victime.
Dans ce cas, les membres insatisfaits prétendent avoir reçu «seulement» 1500 dollars à la suite d’une rançon, qu’il lui a dit, a motivé sa décision de diffuser les documents. Une source anonyme citée par Soft Computer Progresser une autre théorie: cybercriminal à l’origine du couvercle des données aurait été interdit par les Conti opérateurs après avoir pris la promotion d’un concurrent ransomware.
Dans cette archive, 37 documents texte donnant des indications sur l’utilisation de plusieurs outils utilisés par les membres de la groupe Conti: Cobalt Strike, un outil de test de pénétration souvent utilisé par les cybercriminels, la métasploite et et les tutoriels pour expliquer l’utilisation de l’utilisation de Les erreurs, telles que le zérologon ou les méthodes de facilitation des mouvements latéraux dans les systèmes informatiques infectés.
Les chercheurs de la Sentinelone CyberSecurity Society ont reconstitué la récente cyberattack contre le système ferroviaire iranien dans un nouveau rapport qui découvre un nouvel acteur malveillant – qu’ils s’appellent « MeteorExpresss ».
Malware Data Destroyeur en Iran Wiper Meteor
Le 9 juillet, les médias locaux locaux ont commencé à signaler une cybercrattage sur le système ferroviaire iranien, avec des pirates qui changent d’affichage dans les stations en demandant aux passagers d’appeler « 64411 », le numéro de téléphone du guide suprême.
Les services ferroviaires ont été interrompus et aujourd’hui, plus tard les attaquants du ministère iranien des Transports. Selon Reuters, le portail et les sous-sports du ministère ont cassé une attaque sur les ordinateurs et le développement urbain de l’ordinateur.
Wiper Meteor du jamais vu!
WIPER est capable de changer de mots de passe pour tous les utilisateurs, de désactiver les épargnants d’écran, de mettre fin à un processus basé sur une liste des processus cible, d’installer un bloqueur d’écran, de la fonction de récupération de désactivation, de modifier le traitement des erreurs politiques de démarrage, de créer des tâches planifiées, de déconnecter des tâches planifiées, de déconnecter des tâches planifiées. Sessions, supprimez des copies d’ombre, modifiez des images de l’écran de verrouillage et de l’exécution. Exigences.
Un nouveau rapport de Intsights a mis en évidence le marché de l’accès aux réseau d’entreprise sur le Web.
Sur le web, le prix moyen d’accès à une d’entreprise 10 000 $
L’étude note que ces types d’accès continuent d’être utilisés dans des attaques de ransomware dans le monde entier. Des forums permettent la mise en œuvre d’un système décentralisé, où des cybercriminels moins qualifiés peuvent s’appuyer sur eux pour différentes tâches, permettant ainsi à la plupart des opérateurs de ransomware d’acheter un accès.
Sur les forums et les marchés, des cybercriminels donnes accès à un ensemble de logiciels malveillants, d’outils malveillants, d’infrastructures illicites et de données, de comptes et d’informations de carte de paiement compromis. La plupart des forums et des marchés les plus sophistiqués sont en russe, mais il existe également de nombreux forums en anglais, espagnol, portugais et allemand.
Parfois, les attaquants se rendent compte qu’ils sont dans un réseau sans données pouvant être volés ou vendus et décide de vendre l’accès aux groupes de ransomware.
L’éditeur logiciel Kaseya a refusé d’avoir payé une rançon pour un déchiffrement universel après plusieurs jours avec des questions sur la manière dont l’outil est atteint.
Le 21 juillet, la Société a annoncé qu’un outil de déchiffrement universel a été réalisé grâce à une «tierce partie» et a travaillé avec Emsisoft Security Company pour aider les victimes de l’attaque de Ransomware REvil.
Kaseya prétend avoir payé aucune rançon
Lundi, Kaseya a publié une déclaration qui refuse des rumeurs qu’elle aurait payé une rançon sur REvil, le groupe Ransomware, a lancé l’attaque. REvil a demandé à l’origine une rançon de 70 millions de dollars, mais l’aurait réduit de 50 millions de dollars avant que tous ses sites Web ne disparaissent le 13 juillet.
Theresa Payton, ancien directeur des informations de la Maison-Blanche et expert en cybersécurité, a déclaré que les accords non-informations après les attaques sont plus fréquents que vous ne pourriez penser, mais a noté que « demander un accord sur les non-renseignements aux victimes n’est pas une pratique quotidienne pour chaque incident ».
« Lorsqu’un incident affecte davantage de victimes, le conseiller juridique demande à signer un accord sur les non-renseignements pour que la solution du problème ne soit pas publiée », a déclaré Payton.
Payton a ajouté que les causes de la demande de contrat de non-publication ne sont pas toujours mauvaises et invitées à consulter leurs avocats avant de signer quelque chose.
La société et la manière dont l’outil de décryptage universel a été atteint? Selon la presse, la société a chargé un accord de non-publication aux entreprises souhaitant profiter de cet outil.
« Nous certifions clairement que Kaseya n’a pas payé la rançon, que ce soit directement ou indirectement à travers un tiers, pour obtenir du déchiffrement », déclare la déclaration de Kaseya.
« Bien que chaque entreprise devait prendre sa propre décision sur le paiement de RanSom, Kaseya a décidé après avoir consulté des experts, de ne pas négocier avec les criminels qui ont commis cette attaque et que nous n’arrêtions pas de cet engagement. »
Selon la Déclaration, l’équipe d’intervention des incidents d’Emsisoft et de Kaseya a travaillé tous les week-ends pour fournir un déchiffrement avec certaines des 1 500 victimes touchées par l’attaque, y compris une grande chaîne de supermarchés en Suède, de l’Université Virginia Tech et des ordinateurs gouvernementaux locaux à Leonardtown, dans le Maryland.
La société a déclaré qu’elle avait appelé à toutes les victimes de manifester et d’ajouter que l’outil « s’est avéré 100% pour déchiffrer les fichiers complètement cryptés lors de l’attaque ».
Si la nouvelle d’un décendrier universel a été accueillie par des centaines de victimes touchées, certains soulignent qu’il existait un accord de non-information que Kaseya audacieuse les entreprises à signer l’échange d’outils.
CNN a confirmé que Kaseya a exigé un accord de non-information (NDA) d’accéder au déchiffrement. Dana Liedholm, porte-parole de Kaseya et plusieurs sociétés de cyber-sécurité impliquées, ont déclaré à ZDN et qu’ils ne pouvaient pas commenter cet accord.
Cet atlas, disponible sur le site officiel (cybersecurity-atlas.ec.europa.eu), est destiné à réunir des professionnels européens de la sécurité de l’information. houston Bruxelles nous avons un problème!
L’espace de cybersécurité Européen hacké
Un utilisateur est néanmoins de restaurer toutes ces données pour leur suggérer de revendre à la discorde. Les journalistes records ont réussi à mettre la main sur la base de données pour confirmer l’authenticité et confirmer que les données proposées correspondent réellement au site. Parmi les soumissions de données, nous trouvons des adresses électroniques, des adresses de contact, des détails organisationnels ou le nom des personnes à contacter. Données déjà publiées et accessibles à ceux qui ont enregistré un compte sur le site Web de Cybersecurity Atlas.
Mais plus que les données ont la saisie réalisée pour confirmer que la base de données était directement à partir des systèmes informatiques du site Web de Cybersecurity Atlas et ne provenait donc pas d’une simple « raclage » des données d’un utilisateur.
La couverture de données avait été repérée par le site de Zataz: sur un forum spécialisé dans la revente des données volées suggéré un utilisateur qui a été suggéré depuis lundi un lot de fichier du projet CybersSecurity Atlas. Ce projet de la Commission européenne vise à indiquer les adresses de contact de diverses agences et des personnes impliquées dans des questions de cybersécurité européenne. Catalogue de la cybersécurité au niveau européen, lancé en 2018. Ce dossier était disponible publiquement et autorisé des entreprises, des chercheurs et des universitaires à enregistrer et à laisser leurs coordonnées d’accès ouvert.
Parmi les victimes du groupe Lockbit, Accenture, mais l’entreprise garantit que l’attaque est sous contrôle.
Accenture et attaque de ransomware Tout est bon!
Accenture a été parmi les victimes du groupe Lockbit avec un compte à rebours dont les déclencheurs étaient programmés le 11/08/2021.
Dans une déclaration, un porte-parole a minimisé l’incident et a affirmé qu’il n’avait qu’une petite influence sur les affaires de la société. Accenture a réalisé un chiffre d’affaires de plus de 40 milliards de dollars l’an dernier et compte plus de 550 000 employés dans plusieurs pays.
De nombreux internautes interrogent le montant des données volées pendant l’attaque et note qu’il n’est pas susceptible que l’attaque vienne du groupe.
Accenture n’a pas répondu aux questions pour déterminer s’il s’agissait d’une attaque effectuée à l’aide d’un employé.
Dans un rapport d’accent publié la semaine dernière, la Société a déclaré que 54% de toutes les victimes de Ransomware ou d’APRESTORT étaient des entreprises dont le chiffre d’affaires annuel était compris entre 1 et 9,9 milliards de dollars.
Accenture propose un certain nombre de services à 91 des 100 meilleures sociétés de classification de la fortune et des centaines d’autres entreprises. Les services informatiques, les technologies de fonctionnement, les services cloudis, la mise en œuvre de la technologie et les conseils ne sont que quelques-uns des services que la société est basée en Irlande offre à ses clients. En juin, la société a acheté Umlaut, une entreprise d’ingénieurs allemands pour élargir sa présence dans le cloud, l’IA et la 5G. Elle a également acquis trois autres entreprises en février.
L’Australian Cyber Security Center a publié un résumé du vendredi indiquant que le groupe Ransomware Lockbit après une petite chute d’opération a été ravivé et intensifié ses attaques.
Selon l’Agence australienne, les membres du Groupe exploitent activement les vulnérabilités existantes dans les produits FORTITITINE FORMIPROXY identifiés par le lancement de la CVE-2018-13379 pour obtenir le premier accès aux réseaux de victimes spécifiques.
« La CCCAA est consciente de nombreux événements impliquant des verrouillements et son successeur » Lockbit 2.0 « en Australie depuis 2020. La majorité des décès connus de la CCAA ont été signalés après juillet 2021, ce qui indique une augmentation nette et significative des victimes nationales par rapport à d’autres variantes de ransomware, « Ajoute le communiqué de presse.
« La CCAA a observé des filiales de lockbit ont mis en œuvre avec succès des ranesomwares sur des systèmes d’entreprise dans divers secteurs, y compris des services professionnels, de la construction, de la fabrication, de la vente au détail et du régime alimentaire. »
En juin, l’équipe de l’intelligence de la menace Poina a publié un rapport qui enquête sur le bit de verrouillage de la structure RAAS et son inclinaison d’acheter un accès au protocole de bureau externe pour les serveurs en tant que vecteur d’attaque initial.
Le groupe exige généralement 85 000 $ en moyenne des victimes et si une tierce partie revient sur les opérateurs de la RAA. Plus de 20% des victimes d’un tableau de bord consulté par les chercheurs d’énergie appartenaient au secteur des logiciels et des services.
« Les services commerciaux et professionnels ainsi que le secteur des transports sont également très ciblés par le groupe Lockbit ».
À l’origine de telles attaques, l’argent est à nouveau et la principale motivation. Qu’il soit réclamé par une demande de rançon ou réalisée par la revente de données, il est toujours au cœur des préoccupations du commerce. Afin d’atteindre leurs objectifs, ce dernier doit donc utiliser une stratégie qui nécessite parfois plusieurs mois de préparation en fonction de la structure ciblée. Dans certains cas, les hackers cherchent à s’infiltrer très tôt et à mettre leurs programmes en dortoir à travers la gravité de l’offuscation. Ils peuvent effacer leurs morceaux et déclencher leurs attaques quelques semaines / mois plus tard.
Cyber attaques d’entreprises, plus chères que prévu!
Il sera nécessaire de s’habituer à ce que la numérisation croissante apporte avec ses nombreux problèmes, et parmi ceux-ci sont des cyberattaques. Leur puissance et leur structure varient selon l’objectif sélectionné, mais la conséquence est identique à toutes les victimes: une immobilisation totale ou partielle de l’appareil productif pour une période indéterminée. Suit une vraie galère pour les structures qui cherchent à se remettre de ces attaques.
Au cœur de la méthode d’une cyberattaque, la première étape consiste à reconnaître, il consiste à récupérer des informations maximales – courriels, téléphones, noms – sur une ou plusieurs de la société. Cette phase d’ingénierie sociale permet de trouver un point d’entrée qui, dans la plupart des cas, c’est l’e-mail. Que vous utilisiez la méthode de phishing, l’installation de logiciels malveillants ou des arnaques d’utilisateurs pour le président, l’objectif, une fois dans les systèmes d’information, effectuez des mouvements. Latérales qui permettent aux pirates d’infiltrer et de toucher d’autres éléments du réseau de la société. L’attaque implémente plus largement et capture ainsi davantage de données et paralysant les serveurs internes.
Le mode survie d’une entreprise
L’un des premiers réflexes pour les entreprises est de couper leurs systèmes d’information pour limiter la pause et empêcher l’attaque de la propagation de l’interne. Un réflexe de survie qui leur permet d’organiser une réponse et d’accélérer le retour à une situation normale. Si les instructions des systèmes d’information, pour les entreprises qui les possèdent sont sur le pied de la guerre, ils ne peuvent que voir les dommages causés.
Dans un processus de retour au processus normal, certaines entreprises peuvent décider de payer immédiatement une rançon en violation des autres essayant de résoudre le cambriolage de leur système d’information. Dans les deux cas, il n’est jamais certain que ce type d’attaque ne se reproduise plus. Il est donc utile de veiller à ce qu’il existe une stratégie de prévention en tant que plans de restauration de l’activité (PRA), qui sont déclenchés à la suite d’une catastrophe. Il investira également dans des solutions de protection des applications ainsi que ceux qui visent à découvrir des attaques et à les bloquer en amont. En bref, il n’est pas question de savoir si le système d’information sera touché, mais plutôt quand ce sera.
Les solutions contre les cyberattaque
Malgré toutes les dispositions technologiques prises, de nouvelles attaques de plus en plus puissantes et pervers seront en mesure de contourner les nombreux systèmes de sécurité créés par des entreprises. L’un des défis des années à venir est donc au niveau de la prévention de l’homme. L’idée d’un pare-feu humain n’est possible que si les employés de la société sont formés pour reconnaître les signes d’une cyberattaque. Cet aspect sera tout important car la transition numérique des entreprises s’est largement accélérée depuis la crise CVIV-19 et le nombre de cyberattaques multiplié par quatre entre 2019 et 2020 en France. Il est donc important et urgent d’introduire un système de responsabilité commune qui ne permettra pas de mieux faire du risque pour mieux préparer les entreprises aux futures attaques.
Et ceux-ci peuvent avoir un impact très important sur la production et conduire à une immobilisation pendant un certain temps. Les récentes cyberattaques ont assisté à un pipeline colonial, un grand réseau de pipelines pétroliers, qui porte près de 45% des combustibles de la côte est aux États-Unis et qui a provoqué un lieu de fourniture pendant plusieurs jours. Cela a généré des mouvements de panique dans la population, entraînant des lacunes dans certaines stations-service. En fin de compte, la société a dû payer près de 4,4 millions de dollars de rançon aux pirates. Des exemples tels que celui-ci montrent qu’une immobilisation de la production, voire de courte durée, peut entraîner des pertes financières importantes pour les entreprises touchées par les cyberattaques ainsi que pour les acteurs de leur écosystème.
La société de logiciels américano-cano-kaseya a maintenant accès à la clé de déchiffrement universelle du Ransomware REvil, qui a affecté ses clients qui sont des fournisseurs de services gérés.
La société a annoncé son accès à l’outil de déchiffrement jeudi 22 juillet , environ 20 jours après l’attaque de Ransomware, qui a eu lieu le 2 juillet.
REvil ; Kaseya prétend avoir la clé de déchiffrement
L’attaque a touché directement 60 ses clients et jusqu’à 1 500 de leurs clients en aval. Les caisses de la chaîne Suédoise Coop Supermarket n’ont pas été inaccessibles pendant presque une semaine en raison de l’attaque. Ils avaient été infectés dans tout le pays avec une mise à jour logicielle corrompue du produit de Kaseya, CSR, qui permet de distribuer des mises à jour logicielles pour des périphériques embarqués et sur l’ensemble de la flotte d’ordinateurs gérés. En Nouvelle-Zélande, les écoles utilisant le logiciel Kaseya ont également été touchées.
Kaseya a maintenant une clé de déchiffrement pour les clients concernés par le Ransomware REvil.
Selon Kaseya, la société de sécurité de la Nouvelle-Zélande Emsisoft a confirmé que l’outil de déchiffrement vous permet de déverrouiller des fichiers cryptés avec la révolution.
« Nous pouvons confirmer que Kaseya a obtenu un outil tiers et que son équipe aide activement les clients affectés par Ransomware à restaurer leurs environnements sans aucun rapport sur aucun problème lié au Decrypeter. La société indique dans une déclaration.
« Kaseya travaille avec Emsisoft pour soutenir les efforts de nos clients et Emsisoft confirme que la clé est efficace pour déverrouiller les victimes ».
Les sites Web du groupe Revil ont été clos la semaine dernière après que le président américain Joe Biden a demandé au président russe Vladmir Poutine d’agir contre des cybercriminels basés à la Russie destinée aux entreprises américaines. Joe Biden aurait déclaré au président russe que des infrastructures critiques devraient être hors périmètre en termes de cybercriminalité.
Une autre attaque du Ransomware de Darkside avait pris le distributeur de carburant colonial de retour sur la côte est aux États-Unis en mai. Certains experts en matière de sécurité estiment que l’attaque contre le pipeline colonial a propulsé la question des ranchants au rang de discussion diplomatique et invite les revenus à suspendre ses activités.
Nous ne savons pas si Kaseya a payé la demande de rançon de 70 millions de dollars. La société aurait obtenu la clé de déchiffrement avec un « tiers de confiance » basé sur un porte-parole signalé par le tuteur.
Bien que certains clients kashasia-aval ont corrigé les systèmes attribués, les points d’extrémité de certains clients ont été hors ligne et pouvaient restaurer des systèmes avec la clé de déchiffrement.
Un client anonyme la semaine dernière a déclaré qu’il a payé une rançon pour révéler le groupe. Mais cela n’a pas pu déchiffrer les fichiers cryptés avec la clé de déchiffrement. REvil vendu son ransomware en tant que service à des groupes de cybercriminels.
La cyberattaque qui a frappé la société informatique Kaseya le week-end dernier a contraint la chaîne de supermarchés suédoise Coop à fermer plus de 800 magasins et supérettes. L’attaque ricoche et peut toucher plus de 1 500 entreprises dans le monde. Et les marques françaises ?
Kaseya développe des solutions et des services pour les fournisseurs de services gérés (MSP). Vendredi, alors que la plupart des Américains étaient prêts à fêter le week-end du 4 juillet, l’entreprise a subi une attaque contre l’une de ses solutions, Kaseya USA. Cela permet aux utilisateurs de distribuer des mises à jour et de surveiller à distance les systèmes informatiques de leurs clients.
Cependant, il y avait une vulnérabilité sur le système. Cela avait été découvert par le DIVD, l’Institut néerlandais de détection des vulnérabilités, qui avait prévenu l’entreprise. Kaseya l’a donc corrigé et le correctif a même été validé lorsque REvil ou l’une de ses filiales a frappé et exploité la vulnérabilité zero-day pour mener son attaque. À ce stade, peu de détails ont été publiés sur ce bug, sauf qu’il était assez facile à exploiter.
Grâce à cela, le groupe de hackers a pu diffuser des fichiers malveillants sous couvert d’une mise à jour automatique de Kaseya VSA et diffuser des ransomwares aux MSP utilisant la solution mais aussi à leurs clients. Il n’est pas encore possible de savoir exactement combien d’entreprises ont été touchées par cette attaque, mais il a été estimé vendredi que plus de 1 000 d’entre elles ont vu leurs fichiers cryptés alors que REvil avance le chiffre d’un million sur son site internet.
Caisses inopérantes, magasins fermés… Une cyberattaque sans précédent est devenue sa première victime en Europe, le groupe de supermarchés suédois Coop, qui représente 20% du secteur dans le pays, a été paralysé samedi 3 juillet par la cyberattaque contre l’entreprise américaine Kaseya. , spécialiste de l’infogérance informatique. 800 magasins sont toujours fermés pendant quatre jours, les caisses enregistreuses sont bloquées et hors d’usage.
C’est par l’intermédiaire d’un de leurs sous-traitants informatiques, Visma Escom, lui-même touché par la cyberattaque, que le système informatique interne de l’entreprise suédoise a été piraté. L’attaque a également touché plusieurs pharmacies suédoises et la compagnie ferroviaire du pays. Plus précisément, les pirates ont attaqué le logiciel phare de Kaseya, « VSA », conçu pour gérer de manière centralisée les réseaux de serveurs, contrôler et sécuriser les systèmes informatiques. Ils ont choisi la méthode des ransomwares, qui consiste à installer des logiciels malveillants qui bloquent toutes les machines ou ordinateurs ciblés jusqu’à ce que leurs propriétaires paient une rançon.
Jusqu’à 1 500 entreprises impliquées Sur ses 40 000 clients, Kaseya estime que moins de 60 clients ont été touchés. Problème, la plupart d’entre eux gardent les clients pour eux-mêmes, ce qui facilite la propagation de l’attaque.
L’écosystème des Ransomware as a service (RaaS) recrute pour forcer les victimes à payer.
Victoria Kivilevich, analyste du renseignement sur les menaces chez KELA, a publié les résultats d’une étude de tendance RaaS, affirmant que les attaques individuelles ont presque « disparu » en raison de la nature lucrative du système. Commerce de ransomwares criminels.
Les gains financiers potentiels des entreprises cherchant désespérément à déverrouiller leurs systèmes ont donné lieu à des spécialistes du chantage et ont également entraîné une énorme demande d’individus capables de prendre en charge le côté négociation d’une chaîne d’attaque.
Les ransomwares peuvent être dévastateurs non seulement pour les activités d’une entreprise, mais aussi pour sa réputation et ses résultats. Si des attaquants réussissent à toucher un fournisseur de services utilisé par d’autres entreprises, ils peuvent également être en mesure d’étendre rapidement leur surface d’attaque à d’autres appareils.
Dans un cas récent, des vulnérabilités zero-day dans des logiciels américains fournis par Kaseya ont été utilisées pendant le week-end férié américain pour compromettre les terminaux et exposer les organisations à un risque d’infection par ransomware. On estime actuellement que jusqu’à 1 500 entreprises ont été touchées.
Selon KELA, une attaque de ransomware typique comporte quatre phases : acquisition de code/malware, propagation et infection des cibles, extraction de données et/ou persistance de la maintenance sur les systèmes affectés et génération de revenus.
Il y a des acteurs dans chaque « domaine », et récemment, la demande de spécialistes de l’exploitation minière et de la génération de revenus a augmenté parmi les groupes de ransomware.
L’émergence de revendeurs en particulier dans le domaine de la monétisation est désormais une tendance dans l’espace RaaS. Selon les chercheurs du KELA, on assiste à l’émergence d’un grand nombre d’acteurs malveillants contrôlant l’aspect négociation, tout en augmentant la pression via les appels téléphoniques, les attaques par paralysie distribuée (DDoS) ou les menaces de fuite d’informations volées.
KELA suggère que ce rôle est dû à deux facteurs potentiels : le besoin pour les groupes de ransomware de s’en tirer avec une marge bénéficiaire décente et le besoin de personnes parlant anglais pour mener des négociations efficaces.
« Cette partie de l’attaque semble également être une activité externalisée, au moins pour certaines filiales et/ou développeurs », explique Kivilevich. « L’écosystème ransomware ressemble donc de plus en plus à une entreprise avec des rôles différents au sein de l’entreprise et des activités plus externalisées. »
Les courtiers d’accès initial sont également très demandés. Après avoir observé les activités du dark web et des forums pendant plus d’un an, les chercheurs affirment que le prix de l’accès aux réseaux compromis a augmenté. Certaines offres sont désormais 25 à 115% plus élevées que précédemment enregistrées, notamment lorsque le niveau administrateur de domaine a été accédé.
Ces intrus peuvent s’attendre à obtenir entre 10 et 30 % de la rançon. Il convient toutefois de noter que certains de ces courtiers ne fonctionnent pas du tout avec les ransomwares et ne se livreront qu’à des attaques ciblant d’autres cibles, telles que celles qui conduisent à la collecte de données de carte de crédit.
« Au cours des dernières années, les groupes de ransomwares ont évolué pour devenir des sociétés de cybercriminalité avec des membres ou des « employés » spécialisés dans différentes parties des attaques et différents services d’assistance », a commenté KELA. « La récente interdiction des ransomwares sur deux grands forums russophones ne semble pas affecter cet écosystème, car seule la publicité des programmes d’affiliation a été interdite sur les forums. »
Ce fut une vilaine surprise pour certains utilisateurs de disques durs réseau Western Digital My Book Live dont le contenu a été automatiquement supprimé à distance dans le cadre d’une réinitialisation de leurs paramètres.
Le 23 juin, de nombreux utilisateurs de WD My Book Live ont eu une très mauvaise surprise lorsqu’ils ont découvert que toutes les données stockées sur leur disque dur réseau (NAS) avaient disparu. Et sans raison apparente, car ils n’avaient effectué aucune opération particulière. En quelques heures, les témoignages se sont multipliés en ligne et sur Twitter, prouvant qu’il ne s’agissait pas d’accidents isolés. Le forum de support de Western Digital, le fabricant de ces systèmes de stockage très populaires, s’est rapidement rempli de messages désespérés appelant à l’aide. « J’ai un WD My Book Live connecté à mon réseau local qui fonctionne bien depuis des années », écrit la personne qui a lancé le fil. « Je viens d’apprendre que toutes les données sont parties là-bas aujourd’hui : les catalogues semblent être là, mais ils sont vides. Auparavant, le volume de 2 To était presque plein : maintenant il est à pleine capacité. » Certains utilisateurs rapportent même que l’accès au NAS est désormais interdit, car l’appareil leur demande un nouveau mot de passe, qu’ils n’ont bien sûr pas. Bref, panique et catastrophe car les données supprimées sont perdues à jamais. Adieu documents, photos, vidéos et autres fichiers personnels collectés au fil des années sur ces appareils conçus uniquement pour effectuer des sauvegardes.
début Juillet WD a identifié l’erreur qui est considérée comme la source du piratage qui a entraîné la suppression de données à distance pour de nombreux utilisateurs de disques durs My Book Live. Ce bug a été introduit en 2011 par une mise à jour du firmware visant à améliorer le processus d’identification des utilisateurs. « Nous avons examiné les journaux que nous avons reçus des clients concernés pour comprendre et caractériser l’attaque. Ils montrent que les pirates sont directement connectés aux appareils My Book Live concernés à partir d’une variété d’adresses IP dans différents pays. » Explique l’entreprise.
Plus important encore, le fabricant annonce qu’une campagne gratuite de récupération de données débutera le mois prochain sans dire si toutes les personnes impliquées seront en mesure de retrouver toutes les données perdues. WD lancera également un programme de mise à niveau avantageux pour ces derniers et les encouragera à acquérir un NAS My Cloud à un prix préférentiel en échange de leur NAS My Book Live.
La société Adrexo, chargée de diffuser la propagande électorale, est à la croisée des chemins depuis la semaine dernière suite à des dysfonctionnements. La communication de l’entreprise évoque notamment l’impact d’une cyberattaque, tandis que les syndicats pointent plutôt un manque de moyens. Services informatique Hyères
Un ransomware pourrait correspondre à la description des symptômes de la cyberattaques d’Adrexo
Dans un communiqué, la direction d’Adrexo évoque la cyberattaque que l’entreprise a connue fin avril pour justifier les dysfonctionnements survenus : « la direction opérationnelle de cette mission a connu des perturbations en mai lors d’une cyberattaque dont l’entreprise a été victime. « Une cyberattaque résolue maintenant, mais qui selon Adrexo aurait perturbé l’organisation de la distribution : » Avec la solution à cet incident, Adrexo s’est organisé pour qu’il soit possible à ses équipes de distribuer dans les meilleures conditions malgré la force informatique et les contraintes opérationnelles. ”.
La diffusion de la propagande électorale dans le cadre du 1er tour de l’élection régionale ne s’est pas déroulée comme prévu : de nombreux citoyens se sont plaints de ne pas avoir reçu la profession de foi des différents partis avant le 1er tour de l’élection. Adrexo est désormais dans le coup : cette filiale du groupe Hopps a remporté le marché de la diffusion de la propagande électorale lors d’un appel d’offres en janvier 2021 avec le groupe.
Mais les dysfonctionnements ont poussé plusieurs partis politiques et autorités locales à exprimer leur mécontentement. Le ministère de l’Intérieur a convoqué lundi les dirigeants des deux sociétés chargées de la distribution à venir pour s’expliquer, laissant La Poste et Adrexo communiquer sur les dysfonctionnements rencontrés.
Un communiqué de presse ne donne pas plus de détails sur la nature ou l’étendue de la cyberattaque en question, mais la société a en fait été touchée par une attaque fin avril. Plusieurs notes et messages diffusés en interne et relayés par les différents syndicats du groupe Hopps ont donné un aperçu de l’ampleur de l’attaque : elle aurait été identifiée dans le week-end du 25 avril et aurait provoqué la paralysie d’un parti. Département IT. Le 30 avril, le groupe s’est félicité de la reprise des opérations en moins de dix jours, affirmant que « le temps de régler cet incident est un exploit », tout en reconnaissant qu’il faudra du temps pour récupérer complètement les services informatiques.
L’impact de la cyberattaque est donc encore difficile à évaluer, et le ministère de l’Intérieur ne semble pas trop s’en émouvoir : il rappelle donc que les deux entreprises sont obligées de donner suite et garantir que les dysfonctionnements ne se reproduisent pas à l’autre tour des élections régionales prévu le 27 juin. Parmi les mesures envisagées pour assurer cela, les préfets seront notamment des sous-officiers chargés d’assurer la qualité des opérations postales et le contrôle opérationnel de la diffusion de la propagande électorale au niveau départemental.
BackdoorDiplomacy ne coupe pas les cheveux en quatre en matière de cyberespionnage.
Ce nouveau groupe de hackers vise les diplomates européens
Un groupe de cyberattaques récemment découvert cible des diplomates européens, africains et moyen-orientaux. Mis en évidence jeudi par des chercheurs d’ESET, le groupe appelé BackdoorDiplomacy, a été lié à des attaques réussies contre des ministères des Affaires étrangères dans de nombreux pays d’Afrique, du Moyen-Orient, d’Europe et d’Asie ainsi que contre un petit sous-ensemble d’entreprises de télécommunications en Afrique et au moins un organisme de bienfaisance au Moyen-Orient.
Selon les chercheurs d’ESET, ce groupe est opérationnel depuis au moins 2017. Il cible à la fois les systèmes Linux et Windows et semble préférer exploiter les appareils vulnérables face à Internet comme vecteur d’attaque initial.
S’il trouve des serveurs Web ou des interfaces de gestion de réseau présentant des points faibles, tels que Des problèmes logiciels ou une mauvaise sécurité de téléchargement de fichiers affectent le groupe. Dans un cas observé par ESET, un bogue appelé F5 – CVE-2020-5902 – a été utilisé pour déployer une porte dérobée Linux, tandis que BackdoorDiplomacy dans un autre cas a adopté les vulnérabilités du serveur Microsoft Exchange pour déployer China Chopper, un webshell.
Bien que BackdoorDiplomacy ait été enregistré en tant que groupe de hackers à part entière, il semble avoir des connexions ou au moins quelque chose en commun avec d’autres groupes. Le protocole de chiffrement du réseau utilisé par APT est presque identique à celui utilisé par la porte dérobée Whitebird du groupe Calypso, et ce malware a été déployé contre des cibles diplomatiques au Kazakhstan et au Kirghizistan dans les années 2017-2020.
En outre, ESET pense avoir des points communs avec CloudComputating / Platinum, qui a ciblé les organisations diplomatiques, gouvernementales et militaires en Asie au cours des années précédentes. D’autres index de codage et de mécanisme sont similaires à Rehashed Rat et MirageFox – également connus sous le nom d’APT15.
Dans le cadre d’autres recherches menées ce mois-ci, Check Point Research a découvert une nouvelle porte dérobée développée par des acteurs chinois de la menace pour une période de trois ans. Le malware, appelé VictoryDll_x86.dll, a été utilisé pour compromettre un réseau appartenant au département d’État d’un gouvernement d’Asie du Sud-Est.
De temps en temps, les attaquants analysent l’appareil pour un déplacement latéral, installent une porte dérobée personnalisée et mettent en œuvre une variété d’outils pour effectuer la surveillance et le vol de données. La porte dérobée, appelée Turian, serait basée sur la porte dérobée Quarian, un malware associé à des attaques contre des cibles diplomatiques en Syrie et aux États-Unis en 2013. L’implant principal est capable de récolter et d’exfiltrer des systèmes informatiques, de prendre des captures d’écran, mais aussi d’écraser. , déplacer/supprimer ou voler des fichiers.
Certains des outils utilisés incluent EarthWorm Network Tunnel Software, Mimikatz, NetCat et des logiciels développés par la National Security Agency (NSA) des États-Unis et dévoilés par ShadowBrokers, tels que EternalBlue, DoublePulsar et EternalRocks. VMProtect a dans la plupart des cas été utilisé pour essayer de cacher les activités du groupe.
Les diplomates peuvent avoir besoin de gérer des informations sensibles transmises via des disques et des supports de stockage amovibles. Pour étendre la portée de ses activités de cyber-espionnage, BackdoorDiplomacy recherche les clés USB et tente de copier les fichiers qu’elles contiennent dans une archive protégée par mot de passe, qui est ensuite envoyée à un centre de commande et de contrôle (C2) via la porte dérobée.
Le groupe de ransomware Avaddon, l’un des groupes de ransomware les plus productifs en 2021, a annoncé qu’il cessait ses activités et fournissait à des milliers de victimes un outil de décryptage gratuit.
Le groupe de ransomware Avaddon ferme son magasin et livre des clés
Lawrence Abrams de BleepingComputer affirme avoir reçu un e-mail anonyme contenant un mot de passe et un lien vers un fichier ZIP nommé « Decryption Keys Ransomware Avaddon ».
Le fichier contenait les clés de décryptage de 2 934 victimes du ransomware Avaddon. Ce chiffre étonnant illustre le fait que de nombreuses organisations ne révèlent jamais d’attaques : certains articles n’attribuaient auparavant que 88 attaques au groupe Avaddon.*
Le Bleeping Computer quotidien en ligne a collaboré avec Emisoft pour créer un dispositif de décryptage gratuit que toute victime d’Avaddon peut utiliser pour retrouver l’accès à ses données.
Fabian Wosar ajoute que les personnes derrière Avaddon ont probablement gagné assez d’argent sur les ransomwares pour qu’elles n’aient aucune raison de continuer. Les revendeurs de rançons ont remarqué quelque chose d’urgent dans leurs négociations avec les opérateurs d’Avaddon ces dernières semaines, a-t-il déclaré. Le groupe a donné après « instantanément au cours des deux derniers jours de modestes contre-offres ». « Cela suggère donc qu’il s’agissait d’un arrêt et d’une fermeture des opérations planifiés et que cela n’a pas surpris les personnes impliquées », explique-t-il.
Les données de RecordedFuture montrent qu’Avaddon est responsable de près de 24% de tous les incidents de ransomware depuis l’attaque du Colonial Pipeline en mai. Le rapport sur les ransomwares d’eSentire indique qu’Avaddon a été vu pour la première fois en février 2019 et fonctionne sur un modèle de ransomware en tant que service, où les développeurs de logiciels donnent aux filiales un pourcentage négociable de 65% de toutes les rançons.
« Les membres du groupe Avaddon devraient également offrir à leurs victimes une assistance et des ressources 24h/24 et 7j/7 pour acheter des bitcoins, tester les fichiers pour le décryptage et d’autres défis qui peuvent empêcher les victimes de payer la rançon », indique le rapport. Ce qui est intéressant à propos de ce groupe de ransomwares, c’est la conception de leur site de blog Dark Web. Non seulement ils prétendent fournir une archive complète des documents de leurs victimes, mais ils disposent également d’un compte à rebours indiquant le temps qu’il reste à chaque victime pour payer. Et pour mettre encore plus de pression sur leurs victimes, ils menacent de lancer des DDoS sur leur site web s’ils n’acceptent pas de payer immédiatement. «
Lawrence Abrams a travaillé avec Fabian Wosar, CTO d’Emsisoft, et Michael Gillespie de Coveware pour vérifier les fichiers et les clés de déchiffrement. Emsisoft a créé un outil gratuit que les victimes d’Avaddon peuvent utiliser pour décrypter leurs fichiers.
Les groupes de ransomware – comme ceux derrière Crysis, AES-NI, Shade, FilesLocker, Ziggy – ont parfois publié des clés de déchiffrement et ont cessé leurs activités pour diverses raisons. Un outil de décryptage Avaddon gratuit a été publié par un étudiant en Espagne en février, mais le groupe a rapidement mis à jour son logiciel malveillant pour le rendre à nouveau infaillible.
« Cette situation n’est pas nouvelle et n’est pas sans précédent. « Plusieurs acteurs malveillants ont publié la base de données de clés ou les clés principales lorsqu’ils ont décidé de mettre fin à leurs opérations », a déclaré Fabian Wosar à ZDNet. « En fin de compte, la base de données clé que nous avons reçue suggère qu’ils ont eu au moins 2 934 victimes. Étant donné que la rançon moyenne d’Avaddon est d’environ 600 000 $ et que les taux de paiement moyens pour les ransomwares, vous pouvez probablement obtenir une estimation décente de ce qu’Avaddon a généré. «
Selon les autorités américaines, JBS a été victime d’une attaque de ransomware fin mai par une « organisation criminelle probablement basée en Russie »
Les cyberattaques peuvent coûter très cher. La question devrait même être au menu de la rencontre entre Joe Biden et Vladimir Poutine le 16 juin à Genève. Pendant ce temps, le géant mondial de la viande JBS, victime d’une attaque fin mai, a déclaré mercredi avoir payé une rançon de 11 millions de dollars en bitcoins à des pirates.
Le géant mondial de la viande JBS paie aux pirates 11 millions de dollars de rançon
JBS avait déclaré aux autorités américaines qu’il était la cible d’une cyberattaque de ransomware d’une « organisation criminelle peut-être basée en Russie », selon la Maison Blanche. Les serveurs sur lesquels reposent ses systèmes informatiques en Amérique du Nord et en Australie avaient été visés, paralysant notamment les activités du groupe en Australie et suspendant certaines lignes de production aux Etats-Unis.
L’entreprise est loin d’être un cas isolé. Le groupe Colonial Pipeline, également cible d’une telle attaque début mai, a reconnu avoir versé aux pirates 4,4 millions de dollars. Lundi, les autorités américaines ont annoncé avoir récupéré une partie de la somme.
« Ce fut une décision très difficile pour notre entreprise et pour moi personnellement », a déclaré Andre Nogueira, patron de la filiale américaine, dans un communiqué. « Cependant, nous avons estimé que cette décision devait être prise pour prévenir tout risque potentiel pour nos clients », a-t-il poursuivi. « Au moment du paiement, la grande majorité des installations de l’entreprise étaient opérationnelles », a déclaré JBS, l’une des plus grandes entreprises alimentaires au monde. Il s’agissait de « s’assurer qu’aucune donnée ne soit exfiltrée » et « d’éviter des problèmes imprévus liés à l’attaque », selon le groupe.
Les États-Unis veulent mettre en place une task force centrale basée à Washington qui regroupera tous les cas de ransomware. Une méthode déjà mise en place pour travailler sur les affaires de terrorisme.
Dans ce contexte chargé, les États-Unis ont indiqué qu’ils entendaient revoir leur approche de la cybercriminalité. Selon un responsable américain interrogé par Reuters, les États-Unis souhaitent mettre en place un groupe de travail centralisé basé à Washington pour coordonner les efforts des gouvernements locaux en cas de ransomware.
Les États-Unis cherchent ainsi à acquérir une vision plus large du phénomène et de l’implication des différents acteurs de l’écosystème de la cybercriminalité en obligeant les procureurs et enquêteurs à centraliser les informations découvertes lors de leur enquête dans une cellule. Cette unité aura pour objectif de collecter et de recouper des informations techniques et des détails sur les cas impliquant des ransomwares, mais aussi des cas connexes liés à l’écosystème de la cybercriminalité créé autour de cette activité : botnets, échanges de crypto-monnaie, services d’hébergement pare-balles et blanchiment d’argent seront également de la partie. les vues de ce groupe de travail spécialisé.
La méthode n’est pas nouvelle et a déjà été mise en œuvre par les États-Unis dans des affaires de terrorisme et certains phénomènes criminels qui affectent directement la sécurité nationale. La paralysie des services de Colonial Pipelines a choqué le pays et montre à quel point les attaques de ransomware peuvent affecter l’infrastructure nationale, considérée comme critique.
Aux États-Unis, les gros titres des ransomwares arrivent chaque semaine : après l’attaque qui a paralysé le Colonial Pipeline, c’est le géant de l’alimentation JBS qui a porté le plus gros fardeau du groupe Revil cette semaine. Dans le même temps, le conglomérat japonais Fujifilm a annoncé cette semaine avoir été touché par une attaque de ransomware qui l’a contraint à suspendre l’activité de son système informatique. Dans plusieurs cas, les attaquants ont réussi à extorquer des rançons aux entreprises concernées : on a appris que le pipeline colonial avait exempté une rançon de 4,4 millions de dollars pour obtenir la clé de décryptage utilisée par les pirates qui avaient paralysé son système.
En France, la récente épidémie de ransomware a incité les autorités à reconsidérer leurs méthodes d’enquête. Si les attaques de ransomwares ne sont pas traitées par le parquet national contre le terrorisme, la section J3 du parquet de Paris a en revanche une compétence nationale sur les affaires liées à la cybercriminalité, ce qui permet de centraliser les informations sur les attaques de ransomwares.
Le lieutenant-colonel Fabienne Lopez, chef du service de cyber-enquête de la gendarmerie, C3N, expliquait fin 2020 que chaque service d’enquête travaillant sur ces sujets s’était spécialisé dans différentes « familles » de ransomware, « à la demande de la section J3 du parquet de Paris ». L’échange d’informations entre les différents services est organisé, notamment par la création d’une base de données commune permettant le partage d’informations.En raison du caractère international de ces études, les enquêteurs sont également liés aux services d’Europol, qui travaillent également à leur niveau pour permettre l’échange d’informations sur les cas de ransomware. Un tournant amorcé en 2020 pour faire face à la reprise des attaques, comme le rapportait Le Monde en début d’année.
L’Anssi et les services de renseignement travaillent également de leur côté pour identifier et traquer les groupes à l’origine des cyberattaques. L’échange d’informations entre ces agences et les tribunaux est en revanche plus compliqué, mais la nouvelle loi sur le renseignement, adoptée cette semaine par l’Assemblée nationale, prévoit plusieurs articles visant à faciliter le transfert d’informations des agences et administrations publiques. pour les services de renseignement.
Les noms, les numéros de carte bancaire et les informations de passeport font partie des informations volées, a déclaré la société d’État dans un communiqué.
Air India a assuré qu’elle «sécurisait» les serveurs informatiques touchés par ce vol massif tout en faisant appel à des experts en sécurité informatique. La société a également contacté les sociétés de cartes bancaires concernées.
« Nous regrettons profondément les problèmes causés et sommes satisfaits du soutien et de la confiance de nos passagers », a ajouté la compagnie. Des pirates informatiques ont réussi à voler les données à environ 4,5 millions de passagers de la compagnie aérienne Air India, a déclaré ce dernier vendredi.
Plusieurs compagnies aériennes ont été victimes d’attaques informatiques ces dernières années. Parmi eux, British Airways a été condamnée à une amende de 28 millions de dollars l’année dernière par le régulateur britannique après avoir perdu des données à environ 400000 passagers en 2018 à la suite d’une cyberattaque.
Une amende de 700 000 $ a également été infligée à la société asiatique Cathay Pacific après une perte de données d’env. neuf millions de clients en 2018. En mars, Air India a annoncé avoir été informée en février d’une cyberattaque par sa société de traitement de données SITA PSS. Cela concernait les données personnelles enregistrées par les passagers entre août 2011 et février 2021.
La SITA, qui sous-traite une partie de l’informatique à une grande partie de l’industrie aéronautique, a déclaré à l’époque qu’elle avait été la cible d’une « attaque très sophistiquée » qui avait touché plusieurs entreprises.
Air India fait partie du groupe de compagnies aériennes Star Alliance, où SITA gère le fonctionnement de son programme de fidélité.
D’autres compagnies avaient averti leurs passagers en mars de cette cyberattaque, mais seuls les noms et le nombre de passagers membres du programme de fidélité avaient été volés.
Les données d’un peu plus de 7800 employés de la chaîne de magasins de sport ont été révélées après une base de données mal configurée par un fournisseur, comme l’a révélé la société VPNMentor. Un cas d’école sur la détection désordonnée d’une faille de sécurité.
Lorsqu’il s’agit de signaler des fuites de données, il est parfois préférable de se tourner vers le gestionnaire plutôt que vers le fournisseur: début mars, la société vpnMentor a découvert une base de données Amazon S3 Bucket mal configurée qui exposait plus de données. Sur 7 800 collaborateurs et clients Decathlon.
Parmi les données exposées, vpnMentor déclare avoir identifié des données personnelles – noms, prénoms, adresses e-mail, numéros de téléphone, villes et pays de résidence – et des photos ainsi que le jeton d’approbation. Si les données appartiennent aux salariés de Decathlon, la chaîne de magasins de sport n’est pas directement responsable de la configuration de cette base de données: elles ont été confiées à la société BlueNove, qui a agi en tant que prestataire du Decathlon.
Les données ont été collectées dans le cadre d’un projet de recherche interne, appelé Vision 2030, qui visait à consulter les employés et les partenaires de la chaîne de magasins sur les ambitions et les valeurs de l’entreprise au cours des 10 prochaines années. BlueNove, qui se positionne comme une société spécialisée dans «l’intelligence collective», a donc été désignée pour conduire le projet.
Malheureusement, le projet est tombé sur le radar de vpnMentor: cette société qui propose des comparaisons VPN s’est lancée dans un projet de « web mapping », qui vise essentiellement à identifier des bases de données exposant des données sur le web. L’entreprise se charge alors de contacter les entreprises concernées, et une fois le problème résolu, en profite pour publier un article sur son blog contenant tous les détails de leur découverte.
Selon le message de vpnMentor, signaler la vulnérabilité n’était pas si simple. La société affirme avoir tenté de contacter BlueNove et Amazon en mars pour leur signaler les données exposées. vpnMentor rapporte avoir échangé des e-mails avec l’équipe BlueNove sans obtenir de correctif pour l’erreur. La société explique avoir finalement contacté Decathlon le 12 avril. Deux jours plus tard, l’exposition aux données a été corrigée. Il a donc fallu attendre plus d’un mois et demi et contacter plusieurs responsables pour enfin sécuriser la base de données.
L’histoire semble différente lorsque vous demandez à BlueNove: les communications de l’entreprise expliquent qu’elle a pris connaissance de l’avertissement via un e-mail envoyé le 12 avril à l’un de ses dirigeants, qui a écrit un article sur le partenariat avec Decathlon. Un e-mail en anglais faisant référence à une « faille de sécurité importante » sans donner plus de détails, « le genre de chose qui est assez facilement classée comme spam », a commenté un porte-parole de BlueNove. Aucun autre message de BlueNove n’a été identifié, ce qui n’exclut pas la possibilité qu’un message ait été envoyé sous le radar.
Concernant les données en question, BlueNove n’est pas non plus d’accord: « les données en question (noms, prénoms, adresses e-mail, villes) ne sont pas considérées comme CNIL car des données considérées comme » sensibles « . L’analyse d’impact n’a mis en évidence aucune risque pour les personnes touchées De plus, la ville ou le pays peut être lié aux emplacements des magasins Decathlon, nous ne collectons pas les adresses des participants ni leurs photos. »Les données ont donc été effectivement exposées sur le réseau, mais à première vue elles étaient non exploité par des tiers malveillants.
« Nous avons des adresses dédiées, une pour le support technique et une pour le délégué à la protection des données, qui peut être contacté pour signaler ce type de scénario », a rappelé le porte-parole de BlueNove. Ce mécanisme, qui ne semble pas avoir fonctionné comme prévu dans ce cas précis, mais vpnMentor ne précise pas dans son message les adresses utilisées pour contacter l’entreprise. Lorsque ZDNet a été interrogé sur ce sujet, la société n’avait pas répondu à nos questions au moment de la publication de cet article.
Bien que BlueNove regrette cette exposition involontaire de données, la société estime que la publication de vpnMentor n’est donc pas tout à fait exacte. Ils ne sont pas les premiers à se plaindre du signalement de failles de sécurité par l’entreprise, mais on peut toujours affirmer que personne n’aime être exposé publiquement à ses erreurs.
Signaler des vulnérabilités ou des failles de sécurité est toujours un sujet difficile, comme le souligne Rayna Stamboliyska, vice-présidente de la gouvernance et des affaires publiques chez YesWeHack, et auteur d’un livre blanc sur la question du reporting coordonné des vulnérabilités: «dans ce cas, il faut comprendre que il n’y a pas de relation contractuelle entre les parties, ce qui complique bien entendu les choses. Ici, c’est la bonne foi des chercheurs qui entre en jeu ». Ce type de rapport peut en effet rapidement s’avérer complexe pour les deux entreprises: la victime d’une violation de données n’a aucune envie d’être présentée comme négligente avec les données de ses clients, et de l’entreprise ou du chercheur qui a découvert la brèche. La fuite peut faire face à une application légale si ses recherches sont un peu trop approfondies.
Le vol de données n’est pas le seul risque à prendre en compte dans ce type d’entreprise, on peut aussi craindre qu’un tiers ne tombe pour les données et vous fasse une mauvaise publicité: vpnMentor n’est en fait pas la seule entreprise à pratiquer ce type de reporting suivi d’un publication, et il vaut mieux se préparer à cette éventualité à l’avance. «Dans tous les cas, il y aura toujours des failles, alors soyez mieux préparé», résume Rayna Stamboliyska.
Cette semaine, le président des États-Unis a ordonné la création d’un comité dédié aux cyberattaques ainsi que la création de nouvelles normes de sécurité logicielle pour les agences gouvernementales.
En matière de cybercriminalité, les États-Unis ont été confrontés à une cyberattaque massive menée par le groupe Darkside. En utilisant un ransomware, les pirates ont pu fermer l’opérateur pétrolier Colonial Pipeline, qui transporte généralement près de la moitié du carburant du pays. Une attaque qui a fait souffler un vent de panique chez les Américains. Les stations-service à travers le pays ont été prises d’assaut si loin qu’elles commencent une pénurie nationale.
Si la panique n’a pas duré longtemps car le problème a été rapidement résolu, ce nouvel incident démontre clairement la fragilité de l’Oncle Sam face aux cyberattaques. C’est dans ce contexte que le président américain Joe Biden a signé mercredi 12 mai 2021 un décret qui renforcerait la sécurité du pays contre les cyberattaques.
Pour renforcer la cybersécurité aux États-Unis, Joe Biden a annoncé la création d’un comité chargé d’examiner les cyberincidents. Plus précisément, l’organisation enquêtera sur les principaux hacks qui se sont produits dans le pays pour mieux comprendre les détails de l’affaire. Ce nouveau conseil est modelé par le National Transportation Safety Board, qui est chargé d’enquêter sur les accidents aériens, ferroviaires et maritimes, et peut aider à identifier les coupables potentiels en cas d’attaques supplémentaires. Pour rappel, ce n’est pas la première fois que le gouvernement américain est confronté à une cyberattaque. En décembre dernier, un groupe de pirates informatiques a ciblé le gouvernement avec le piratage massif de SolarWinds. Sans divulguer tous les détails de l’incident, Donald Trump affirmait à l’époque avoir des preuves de l’implication russe. Il y a quelques mois à peine, c’était la Chine qui, cette fois, était soupçonnée d’avoir ordonné une cyberattaque visant le géant Microsoft.
Outre la création d’un comité dédié, Joe Biden a également annoncé la création de nouvelles normes logicielles conçues pour sécuriser plus efficacement les agences gouvernementales américaines et empêcher de nouveaux piratages. Ces nouvelles normes comprendront l’utilisation de l’authentification multifactorielle, mais également le renforcement de la sécurité des échanges entre le gouvernement et les entreprises privées.
La compagnie d’assurance Axa a annoncé qu’elle suspendait temporairement son option «cyber rançon», qui proposait de soutenir les entreprises victimes de ransomwares en payant une rançon. Une pratique qui ne fait pas l’unanimité.
L’assurance ne paie pas toujours la rançon!
Axa France ne paie plus de rançon: la compagnie d’assurance a annoncé la suspension de son dispositif de «cyber rançon», option proposée depuis mi-2020 aux entreprises souscrites à l’assurance cybersécurité proposée par Axa. Comme l’explique Axa France, ce revirement brutal est venu directement du discours du directeur de l’Anssi et du parquet de Paris à ce sujet lors d’une audition au Sénat. Guillaume Poupard avait mis l’accent sur le «jeu nuageux» des compagnies d’assurance, qui, en facilitant le paiement de la rançon, faisait donc des entreprises françaises les principales cibles des cybercriminels.
Les compagnies d’assurance en situation délicate Pour AXA France, qui proposait ce type de service, la déclaration a fait son effet. Comme l’explique un porte-parole de la compagnie d’assurance, «dans ce contexte, AXA France, qui avait fermé sa gamme avec une option dans ce sens, a jugé opportun de suspendre sa commercialisation jusqu’à ce que les conséquences en soient tirées. De ces analyses et que le cadre de l’intervention d’assurance soit clarifié. Il est important que les pouvoirs publics concrétisent leur position sur cette question afin de permettre à tous les acteurs du marché d’harmoniser leurs pratiques « .
Il précise néanmoins que cette suspension n’affecte pas le reste du contrat de cyber-assurance proposé par l’assureur, qui continuera à proposer à ses assurés le reste des services liés à ce contrat. La possibilité de cyber-rachat était offerte aux entreprises ayant mis en place une politique de sécurisation du système informatique et réservée aux «cas marginaux» où le paiement d’une rançon était considéré comme la seule solution disponible. De même, cette option était réservée aux entreprises ayant déposé une plainte. Et dans l’hypothèse où la plainte serait adressée aux services antiterroristes, AXA France déclare avoir alors refusé de rembourser le paiement de la rançon.
L’audience du Sénat a incité les compagnies d’assurance à prendre position sur cette question délicate. AXA France n’est pas le seul du secteur à proposer ce type de service: le mois dernier, la compagnie d’assurance Hiscox expliquait à L’Argus de l’Assurance que ce type de prestation faisait partie de leurs contrats, même si cette éventualité est toujours présentée comme «solution de dernier recours». D’autres acteurs de terrain, comme Generali, en revanche, sont radicalement opposés à ce type de pratique.
Paiements de rançon dans la ligne de mire A la suite de cette consultation, on apprend notamment que la Direction générale du ministère des Finances a confié au Haut Comité juridique de la Place des Finances de Paris la mise en place d’un groupe de travail sur la question du paiement de la rançon. Cela devrait conduire à une série de recommandations sur le sujet et clarifier la position des autorités sur la légalité de cette pratique.
L’interdiction des paiements de rançon est un problème difficile, mais qui se fait de plus en plus entendre au milieu des nouvelles technologies. Fin 2020, la société de cybersécurité Emsisoft a publié une colonne exhortant les gouvernements à interdire le paiement d’une rançon pour freiner les attaques de ransomwares. Dans le même temps, le département américain du Trésor a rappelé que le paiement d’une rançon à certains groupes pouvait entraîner des sanctions pour l’entreprise victime. Début 2021, l’ancien chef de l’agence britannique de cybersécurité a également appelé à une modification de la loi pour interdire à nouveau le paiement d’une rançon pour éviter de financer un écosystème criminel.
Les montants des rançons faisant l’objet d’un chantage à la suite d’attaques de ransomwares augmentent depuis plusieurs années. Selon une analyse de Palo Alto Networks, la rançon moyenne payée par les entreprises en 2020 a triplé, passant de 115.123 dollars en 2019 à 312.393 dollars en 2020, avec un montant record pouvant atteindre 30 millions de dollars. Cette croissance reflète le changement de tactique des cyber-attaquants qui augmentent le pouvoir de levier de leurs victimes et n’hésitent plus à attaquer les grandes entreprises susceptibles de payer une rançon plus importante.
Une nouvelle vulnérabilité de sécurité de type Spectre menace la sécurité de nos ordinateurs. Il affecte les derniers processeurs AMD et Intel au cours de la dernière décennie. Une solution entraînerait une baisse drastique des performances du processeur.
La faille de sécurité réside dans l’utilisation du cache micro-up. Ce dernier détecte des instructions simples afin que le processeur puisse les traiter facilement et rapidement pendant le processus d’exécution, ce qui entraîne une augmentation des performances du processeur.
Cette nouvelle vulnérabilité Spectre affecte donc tous les processeurs qui utilisent un micro-up cache, c’est-à-dire Références Intel depuis 2011 et références AMD depuis 2017.
En 2018, nous avons appris que des vulnérabilités affectaient de nombreux modèles de processeurs équipant nos PC. Ces séries d’erreurs sont appelées Spectre et Meltdown. Lorsqu’ils sont exploités, ils peuvent permettre aux attaquants de voler des données sur un ordinateur et d’en prendre le contrôle. Une nouvelle variante de Spectre a été récemment identifiée.
Les nombreux correctifs de sécurité et correctifs mis en œuvre après les premières révélations de la vulnérabilité de Spectre sont inefficaces dans ce cas, car les premières vulnérabilités ont agi tard dans le processus d’exécution spéculative, tandis que ce dernier agissait davantage à la source.
Comme d’autres spécifications de Spectre, cette vulnérabilité exploite l’exécution spéculative, qui permet au processeur de préparer et d’exécuter des tâches qui n’ont pas encore été demandées, afin qu’elles puissent s’exécuter rapidement en cas de besoin.
La vulnérabilité permet de tromper le CPU et de lui faire exécuter des instructions pour ouvrir un passage aux hackers vers le système et ainsi accéder à des données confidentielles.
Cependant, les chercheurs estiment que cette faille de sécurité est compliquée à exploiter et que sa correction entraînera nécessairement une diminution marquée des performances du processeur. Intel et AMD pourraient donc choisir de ne pas couvrir cette vulnérabilité.
Pierre Fabre a été touché par une cyberattaque majeure, au point que certains sites de production ont été fermés. Le groupe pharmaceutique compte une soixantaine de sites, dont 15 en France.
Pierre Fabre sponsor du Castres Olympique
La cyberattaque contre Pierre Fabre s’est déroulée dans la nuit de mardi à mercredi. « Cependant, la distribution des produits ne sera pas interrompue », a indiqué la direction à l’AFP. Elle a également envoyé un SMS à ses employés, qui ont déclaré: «Après l’incident informatique, l’entreprise s’est complètement arrêtée. Un congé payé ou une journée de loisirs en 2020 est également imposé pour la journée du 1er avril ».
La situation a changé depuis. Le groupe affirme que «la propagation des virus informatiques est complètement contenue». Dans le même temps, ses opérations correctives (c.-à-d. Réparation) ont commencé à fournir un retour progressif à la normale.
Le système informatique de Pierre Fabre a été «immédiatement mis en veille pour empêcher la propagation du virus» à la lumière de la cyberattaque. «Cela a conduit à une fermeture progressive et temporaire d’une grande partie des activités de production à l’exception du site de production d’actifs pharmaceutiques et cosmétiques dans le Tarn», précise la direction.
Le groupe s’assure que la disponibilité de ses produits auprès des patients et des consommateurs reste assurée. En particulier, le centre de distribution de médicaments d’Ussel (en Corrèze) distribue des traitements anticancéreux livrés directement aux pharmaciens ou aux hôpitaux.
Le forum cybercriminel de Mazafaka, qui abrite des gangs d’élite, a lui-même été piraté et pas seulement un petit peu. Les attaquants ont pris le contrôle total du site, le supprimant et le défigurant, comme l’a noté The Record. Le site affiche désormais un document contenant les données des près de 3 000 utilisateurs du forum, avec un message d’avertissement: «Vos données ont été divulguées, ce forum a été piraté».
Outre Maza, d’autres forums sur la cybercriminalité ont dû faire face à des incidents de sécurité ces derniers mois: Verified, un pilier de l’industrie, a dû fermer temporairement après avoir volé son nom de domaine; Pendant ce temps, l’exploitation d’une violation de données a souffert; enfin, le criminel a réussi à s’emparer du compte d’un modérateur de Club2crd pour envoyer de fausses publicités. Ces noms de plates-formes ne vous parlent peut-être pas, mais ils font tous partie des marchés les plus populaires. Une chose ressort: les forums de cybercriminalité se battent de plus en plus pour protéger leurs utilisateurs. Cependant, comme il s’agit d’activités illégales, les utilisateurs n’hésiteront pas à les quitter si les utilisateurs ne font pas confiance à l’administration des forums. Le manque de confiance conduit ainsi à la fermeture des forums.
Après avoir formellement découragé il y a quelques jours et avec raison d’utiliser tout site suggérant de «vérifier» si vous ne faites pas partie des 500 000 personnes dont les nombreuses données de santé ont été volées à des laboratoires à des fins d’analyses médicales, présidente de la CNIL, Marie-Laure Denis, avait rapidement appréhendé le tribunal de Paris pour bloquer l’accès à un lieu qui héberge juste les informations personnelles et sensibles volées.
Le tribunal de Paris a rendu mercredi une décision exigeant que les FAI bloquent l’accès à un site contenant une base de données d’env. 500 000 patients.
Les États-Unis semblent être la principale cible des attaques sur les serveurs Exchange, mais il y a aussi des victimes en Europe.
Une semaine après les révélations sur les attaques sur les serveurs Exchange, il est encore difficile de donner une estimation du nombre de victimes. D’autant plus que les failles qui ont permis ces attaques sont désormais publiques et facilement exploitables.
Dans l’état actuel des choses, les cibles semblent être situées principalement aux États-Unis. Mais l’Europe n’est pas épargnée. Une marque victime a été signalée sur place: l’Autorité bancaire européenne. Elle a dû fermer ses systèmes de messagerie. Ses recherches n’ont révélé, dit-elle, ni filtrage de données ni propagation sur son réseau.
Le score CVSS est utilisé presque systématiquement pour évaluer le danger des vulnérabilités. Mais savez-vous quel calcul se cache derrière le score sur 10?
Il faut dire que la cybersécurité regorge de termes spécifiques et autres acronymes (et anglophones, d’ailleurs) pour qualifier les scénarios d’attaque. On parle de RCE, XSS, de « web shell » ou même d’élévation de privilèges. Les balles d’avertissement sont le plus souvent destinées aux spécialistes et n’utilisent que du jargon. Ils soulignent rarement les risques concrets qu’une nouvelle vulnérabilité pose au public.
«Depuis le début de l’année, un établissement de santé est victime d’une cyberattaque chaque semaine», a déploré Olivier Véran, avant de laisser entendre que l’État utiliserait «très rapidement» 350 millions d’euros pour renforcer les systèmes de protection informatique des hôpitaux français. groupes, un montant prélevé sur «l’enveloppe numérique» de Ségur de la Santé supérieur à 25 millions d’euros alloué à l’Agence nationale de sécurité des systèmes d’information (ANSSI) pour réaliser des audits et accompagner les établissements de santé.
Cybersécurité dans les hôpitaux
Bien que la pandémie de coronavirus ait secoué la majorité des gens, des industries et même l’État … à l’exception des pirates. En fait, même en pleine crise sanitaire, ces personnes sans scrupules se sont multipliées par les cyberattaques.
Les hôpitaux de Dax (Landes) et de Villefranche-sur-Saône font partie des hôpitaux qui ont subi des cyberattaques. Pire encore, ils ont perturbé les chirurgies et même l’accès des patients aux urgences. Face à ce fléau, le ministre des Solidarités et de la Santé Olivier Véran et le secrétaire d’Etat au Numérique, Cédric O, se sont rendus à l’hôpital de Villefranche-sur-Saône pour rencontrer le personnel soignant et présenter des mesures de sécurisation des réseaux informatiques des hôpitaux.
Cybersécurité Hyères
Le gouvernement aurait effectivement débloqué un budget de 350 millions d’euros de Ségur de Santé, une consultation qui a eu lieu en mai 2020, qui portait sur la révision du secteur de la santé et les mesures de sécurité à prendre pour protéger les hôpitaux contre les cyberattaques.
Apparemment, l’État a l’intention de procéder d’abord à des audits pour soutenir les hôpitaux dans leur processus de sécurité. Par ailleurs, le gouvernement souhaite également accélérer la mise en place du service national de cybersurveillance en coopération avec l’Agence du Numérique en Santé (ANS). Pour rappel, ce dispositif vise à détecter les points faibles du système d’information de l’hôpital afin d’y remédier au plus vite.
1 milliard de l’État
Emmanuel Macron souhaite renforcer la sécurité des entreprises, des hôpitaux et des administrations tout en augmentant le nombre de cyberattaques dans le monde. Le secteur est exhorté par l’État à doubler ses effectifs en quatre ans
Ce service a été mis en place en 2020 et priorise les demandes de 136 groupes hospitaliers de territoire (GHT).
Bien que l’État ait mis en place des mesures pour protéger les hôpitaux contre les cyberattaques, les conditions d’obtention des aides d’État sont nombreuses. D’autant plus que cette aide suscite au final plus de critiques car elle ne garantit finalement aucune protection des établissements de santé.
Le 4 mars, le site spécialisé Intelligence Online a annoncé une fuite massive de données de la part des services de renseignement militaires et étrangers français (DGSE). Selon les médias, les coordonnées de près de 5 000 personnes ainsi que des données médicales sensibles ont été piratées. Le site Web explique: «Selon nos archives, la base de données contient les mêmes données pour au moins 1 767 militaires. Ces derniers peuvent être identifiés par leur affiliation à la Caisse Nationale Militaire de Sécurité Sociale de Toulon ». Intelligence Online précise qu’un millier d’entre eux sont situés à Evreux et que 230 sont explicitement liés à la base aérienne 105. Cette base abrite notamment l’unité aérienne du service d’action de la DGSE. Des fichiers de près de 500 000 noms circulent sur un forum référencé par les moteurs de recherche. Ces noms sont associés à des données sensibles telles que le groupe sanguin, le médecin traitant, l’assurance maladie et même les mots de passe. Selon Liberation Cheknews, ces données sont similaires à des échantillons prélevés dans un laboratoire d’analyses médicales entre 2015 et octobre 2020.
Le site Intelligence Online, spécialisé dans les activités des personnels de renseignement, fait état d’une fuite majeure au sein de l’armée française. Selon lui, les données médicales de près de 5 000 personnes ont été piratées. Les informations sur les membres de la DGSE sont également concernées.
Sita, fournisseur de services informatiques pour 90% des compagnies aériennes, met en garde contre un « incident de sécurité des données » après avoir été victime d’une « attaque très sophistiquée ».
Sita, le fournisseur informatique de l’industrie aéronautique mondiale, confirme avoir été victime d’une cyberattaque. Les attaquants ont eu accès aux informations personnelles des passagers aériens.
La société de technologie de l’information et de la communication, qui prétend desservir environ 90% des compagnies aériennes du monde, affirme que le 24 février 2021, une cyberattaque a entraîné un « incident de sécurité des données » impliquant des données de passagers stockées sur les serveurs SITA Passenger. Service System Inc. (qui gère le traitement des données des billets d’avion et des passagers) à Atlanta, Géorgie, États-Unis.
Dans un communiqué, la société a décrit l’incident comme une « attaque très sophistiquée » et a déclaré qu’elle « avait agi rapidement » pour contenir l’incident, qui fait toujours l’objet d’une enquête par l’équipe de sécurité de Sita avec des experts externes en cybersécurité.
Certaines compagnies aériennes ont détaillé les informations auxquelles les attaquants avaient accès pendant l’attaque, en mentionnant que des données sur les voyageurs fréquents – telles que leur nom, leur statut et leur numéro de membre – ont été volées.
Un e-mail envoyé aux clients d’Air New Zealand indique que la violation de données n’inclut pas les mots de passe, les informations de paiement, les informations de passeport ou les adresses de contact.
Le chiffre exact du nombre de passagers touchés par l’infraction reste incertain car Sita n’a pas encore répondu publiquement à la question. Mais un article publié dans The Guardian suggère que des centaines de milliers de passagers auraient pu se faire voler leurs informations.
«Nous reconnaissons que la pandémie de Covid-19 a soulevé des inquiétudes quant aux menaces à la sécurité, et que dans le même temps, les cybercriminels sont devenus plus sophistiqués et plus actifs», affirme la société.
Les compagnies aériennes unies dans le cadre de la Star Alliance, notamment Singapore Airlines, Air New Zealand et Lufthansa, ont mis en garde les passagers contre les violations de données Sita. C’est également le cas de certaines compagnies aériennes de la One World Alliance, notamment Malaysia Airlines, Finnair, Japan Airlines et Cathay Pacific. La compagnie aérienne sud-coréenne JeJu Air a également envoyé un e-mail à ses passagers au sujet de l’incident.
Sita n’a pas confirmé la nature exacte des informations auxquelles les pirates ont accès.
La police ukrainienne a arrêté le 9 février plusieurs membres d’un groupe de cybercriminels à l’origine de plusieurs attaques informatiques dans le monde, dont le quotidien Ouest France, la police et des sources proches ont raconté l’affaire ce jeudi.
Cette « opération internationale », menée en coordination avec les policiers français et ukrainiens ainsi qu’avec le FBI, a mis un terme à la diffusion du ransomware appelé « Egregor », décrit la police dans un communiqué.
Piratage informatique
Au moins 150 entreprises ont été attaquées, principalement aux États-Unis et en Europe, avec des pertes estimées à environ 66 millions d’euros, selon les premiers éléments de l’étude publiée par les services de sécurité ukrainiens (SBU). Selon une source proche du dossier, au moins trois personnes ont été arrêtées dans cet acte. Les domiciles des suspects ont été perquisitionnés et le matériel informatique saisi est « toujours utilisé » par les enquêteurs français envoyés sur les lieux, selon la police.
Les solutions de sécurité informatique Hyères
C’est un rapport d’Europol en septembre qui a conduit le parquet de Paris à ouvrir une enquête en France, remise à la sous-direction cybercriminalité (SDLC). Le groupe a pratiqué la technique de la « double extorsion »: d’une part le cryptage et le vol des données de l’entreprise ciblée, d’autre part la menace de publier ces données compromises sur un site internet si l’entreprise refusait de payer une rançon en bitcoins, le la plus célèbre des monnaies virtuelles.
Le ransomware s’est propagé par pré-intrusion « via l’envoi d’e-mails de phishing et un accès à distance Windows mal sécurisé au bureau », a déclaré la police française. Particulièrement sophistiqué, « Egregor » pourrait prendre le contrôle des imprimantes connectées aux ordinateurs infectés et imprimer la rançon, « amplifiant encore l’impact psychologique de l’extorsion », a déclaré la même source.
Plusieurs entreprises françaises ont été visées par «Egregor», dont le quotidien Ouest France, le transporteur Gefco et le géant du jeu vidéo Ubisoft. Deux attaques de ransomware ont été ciblées ces derniers jours contre des hôpitaux de Villefranche-sur-Saône (Rhône) et de Dax (Landes), mais elles ne portent pas la signature «Egregor». Il a travaillé sur le modèle du logiciel à la demande (Raas, Ransomware as a Service): ses créateurs l’ont mis à disposition d’autres hackers, «affiliés», qui ont pris la responsabilité des attaques avant de partager les bénéfices.
Les détenus font partie « plutôt que de l’équipe de conception et de production », a déclaré Catherine Chambon, directrice adjointe de la lutte contre la cybercriminalité à la magistrature centrale. Si Catherine Chambon qualifie l’opération contre «Egregor» de «démantèlement assez efficace», elle exhorte à rester «très prudente et modeste» sur ce qui ressemble à «un brouillard».
L’origine du mal
Selon l’Agence nationale de sécurité des systèmes d’information (Anssi), « Egregor serait lié à la fin de l’activité du groupe d’attaquants derrière le ransomware Maze », notamment à l’origine d’une attaque contre Bouygues Construction en janvier 2020. À son tour, » Egregor « pourrait-il renaître sous une autre forme? « Il est possible que ce soit la vie d’un ransomware », a répondu Catherine Chambon. «L’idée est de mettre progressivement en sécurité les cybercriminels afin qu’ils se sentent moins impunis. Même si, une fois qu’il y a un crime, il a peu de chances de disparaître ».
Socialarks, une entreprise chinoise, a subi une énorme fuite d’informations personnelles. Safety Detective, qui l’a découvert, rapporte que 214 millions de comptes Instagram, Facebook et LinkedIn sont concernés.
Socialarks
214 millions de comptes Facebook, Instagram et LinkedIn ont été compromis. Un détective de sécurité, dont la mission est d’identifier les vulnérabilités de sécurité des serveurs, a découvert que la société chinoise Socialarks était responsable d’une fuite massive de données personnelles. La société, spécialisée dans la gestion des réseaux sociaux et le développement de marques en Chine, a stocké les données de millions d’utilisateurs, plus de 400 Go, sur un serveur non sécurisé appartenant à Tencent. Dans son article, l’équipe de sécurité détective explique « que le serveur ElasticSearch a été exposé publiquement sans protection par mot de passe ni cryptage ». Plus précisément, le manque de sécurité a permis à chacun d’accéder aux informations sur les utilisateurs concernés. Selon Safety Detective, ceux-ci ont été récupérés grâce au « Datascrapping ». C’est l’ambition des données personnelles disponibles sur les réseaux sociaux. Si l’approche est légale et déjà utilisée par de nombreuses entreprises, c’est le manque de mesures de sécurité nécessaires pour protéger les données collectées qui pose problème. Ce n’est pas la première fois que Socialarkas est touché par une telle violation de données, car il avait déjà révélé les informations sur 150 millions de comptes en août de l’année dernière.
Données sensibles Parmi les données collectées par l’entreprise, on retrouve principalement des informations qui sont communiquées par les utilisateurs directement sur les différents réseaux sociaux. Ainsi, les noms, les noms des utilisateurs, les liens vers les profils, les surnoms des différentes plateformes, les photos de profil et la description des comptes dans le fichier sont saisis. D’autre part, Safety Detective a également remarqué qu’il y avait également des informations plus sensibles sur le serveur. En fait, pour Instagram, par exemple. 6 millions d’adresses e-mail d’utilisateurs ont été enregistrées, alors que ces informations n’avaient pas été diffusées sur les différentes plateformes par les internautes. Les experts ne peuvent expliquer leur présence.
Plus de 810 000 comptes Français concernés
Une telle fuite de données est forcément très dangereuse pour les utilisateurs concernés. L’exposition à ces informations les rend vulnérables aux attaques en ligne telles que le vol d’identité, la fraude financière sur d’autres plateformes, y compris les services bancaires en ligne. Les informations de contact de l’utilisateur peuvent également être utilisées pour envoyer des e-mails personnels. Nous devons donc accorder une attention particulière. .
Des entreprises françaises ont été victimes d’une longue campagne de cyberattaques. Une intrusion via la solution de surveillance Centreon et un état de fonctionnement de sandworm faisant référence à un groupe de cyberespionnage russe.
MAJ: » L’attaque concerne une version open source obsolète du logiciel, déployée sans respect des recommandations d’hygiène de l’Anssi. Les clients de Centreon ne sont pas concernés. »
L’Agence nationale de sécurité des systèmes d’information (Anssi) a mis en garde lundi contre la découverte d’un piratage informatique « affectant plusieurs appareils français » via le logiciel français Centreon, qui compte parmi ses clients de grandes entreprises et le ministère de la Justice. LIEN
L’attaque, qui a duré de fin 2017 à 2020, « rappelle les méthodes déjà utilisées par le groupe de renseignement russe Sandworm, mais elle ne garantit pas qu’il s’agit bien de lui », a déclaré Gérome Billois, spécialiste de la cybersécurité de Wavestone. . La durée de l’attaque avant sa découverte suggère que les attaquants sont « extrêmement discrets, plutôt connus pour être dans la logique du vol de données et de renseignements », a-t-il ajouté.
Air France, Airbus, EDF, Orange, RATP, Thales ou encore Total sont quelques-uns des noms utilisant Centreon, ainsi que le ministère de la Justice. Centreon revendique plus de 600 clients dans le monde, dont 70% ont leur siège en France.
Le policier de la cybersécurité en France fait des compromis qui ont été identifiés fin 2017 et jusqu’en 2020. C’est donc une découverte tardive qui indique une campagne de cyberattaque particulièrement discrète.
L’affaire rappelle l’énorme cyberattaque attribuée à la Russie, qui visait les États-Unis en 2020, alors que des pirates informatiques exploitaient une mise à jour d’un logiciel de surveillance développé par une société texane, SolarWinds, et utilisé par des dizaines de milliers d’entreprises et d’administrations à travers le monde.
L’attaque «a mis à plat les systèmes informatiques et le téléphone de l’hôpital avec un danger évident et évident pour les soins aux patients».
Après des mois d’attaques massives de ransomwares contre des entreprises et organisations françaises, un hôpital entier est désormais bloqué par une attaque informatique. Un ransomware bloque depuis mardi le fonctionnement du système informatique de l’hôpital de la ville de Dax (Landes). Le seul moyen de contacter l’hôpital est donc désormais le 15 ou le compte Twitter de l’entreprise.
« Au vu de l’ampleur de l’attaque », le parquet de Dax, qui avait initialement saisi l’enquête pour « accès frauduleux à un système de traitement automatisé de données », avait renoncé à compétence au profit du parquet de Paris, qui a compétence nationale en matière de cybercriminalité, A déclaré l’AFP. L’attaque «a mis à plat les systèmes informatiques et le téléphone de l’hôpital avec un danger évident et évident pour les soins aux patients».
Le malware a chiffré le contenu des disques durs sur la plupart des ordinateurs de l’établissement. « Les données n’ont pas été volées, elles sont toujours sur nos serveurs, mais elles sont cryptées et donc plus disponibles », a déclaré Aline Gilet-Caubère, directrice générale adjointe de l’hôpital du Sud Ouest.
L’attaque a des conséquences sur les soins
Outre le système informatique et le système téléphonique, l’attaque aura des conséquences sur les soins. Les outils de stérilisation, par exemple, mais aussi ceux de radiothérapie et de chimiothérapie, sont indirectement affectés par cette attaque. Le centre de vaccination Covid-19 de l’hôpital a également été contraint de fermer ses portes.
Des experts de l’Agence nationale de sécurité des systèmes d’information (Anssi) sont prêts à tenter de reprendre le contrôle. L’intervention de l’Agence dans ce type de situation a presque doublé en un an.
En septembre 2020, une attaque de ransomware contre un hôpital allemand a entraîné la mort. La patiente, qui avait besoin de soins médicaux d’urgence, était décédée après avoir été détournée vers un hôpital de la ville de Wuppertal, à plus de 30 km de sa destination d’origine, l’hôpital universitaire de Düsseldorf, qui a été victime d’une cyberattaque. C’était la première fois qu’une mort humaine était signalée comme étant indirectement causée par une attaque de ransomware.
Les attaques de ce type se sont multipliées ces dernières années. Le fonctionnement du CHU de Rouen a été gravement perturbé en 2019 après une attaque similaire. Des experts d’Anssi sont également intervenus, et la variante de ransomware utilisée aurait été Cryptomix Clop. En décembre 2020, les hôpitaux de Narbonne (Aude) et d’Albertville-Moûtiers (Savoie) avaient également été touchés par des ransomwares.
Face à ces attaques, la tentation de payer pour la récupération de données est grande. Mais en 2017, le Kansas Heart Hospital (Witchita, Kansas) a payé pour récupérer ses données en vain. Les ravisseurs ont refusé de déverrouiller le système d’information retenu en otage une fois la rançon payée et ont exigé un nouveau paiement.
Les codes sources de Microsoft, Cisco et SolarWinds ainsi que les outils de piratage de FireEye sont proposés pour un million de dollars.
Code source de Microsoft, Cisco Internal Vulnerability Manager, outils de piratage FireEye, fiche client SolarsWinds … Les prétendus hackers russes de ce hack, qui a touché plus de 250 organisations à travers le monde, viennent de créer le site « solarleaks.net », où ils vendent plusieurs gigaoctets des données volées à des entreprises piratées. Un site a été créé.
Les débits de données sont élevés. Comptez ensuite 600 000 $ pour les données Microsoft, 500 000 $ pour les données Cisco et 250 000 $ pour les données SolarsWinds. Les données de FireEye sont les plus abordables car elles ne valent «que» 50 000 $. L’entrepôt entier est offert pour aussi peu qu’un million de dollars. D’autres données seront publiées dans les semaines à venir. « Pensez-y comme un premier jet », disent les hackers.
Avez-vous un fort sentiment de déjà vu? Oui, cette façon de faire est très similaire au groupe Shadow Brokers, qui en 2016/2017 avait sorti des outils de piratage volés à la NSA et souhaitait en vendre d’autres sur Internet (même sous la forme d’un abonnement mensuel, lol). Si vous êtes intéressé, il est trop tard car l’adresse e-mail et les liens sur le site ne fonctionnent plus.
Quoi qu’il en soit, ce n’est probablement pas une offre de bonne foi. Les pirates de SolarWinds ont probablement été pilotés par une agence de renseignement russe. Le but est donc plus de créer une diversion et de ridiculiser les victimes que de gagner de l’argent.
En novembre 2020, Capcom a subi une attaque majeure sur ses serveurs. Et si l’on en croit les dernières informations sur ce sujet, des dizaines de milliers de personnes ont été touchées.
Jeux vidéo
Lors de cette cyberattaque, dont l’éditeur japonais a été victime, de nombreuses données personnelles ont été volées à la fois aux employés et aux utilisateurs. Les noms et adresses de ces derniers se rapportent. De plus, des informations confidentielles sur divers jeux comme Resident Evil Village et Monster Hunter Rise sont apparues sur Internet après l’incident.
Malheureusement, cet accident a eu plus de conséquences que prévu. Aujourd’hui, Capcom affirme qu’environ 390 000 personnes ont été directement touchées par la cyberattaque. C’est 40 000 de plus par rapport au communiqué de presse précédent. Les pirates ont également volé des documents financiers appartenant à l’entreprise.
134 000 joueurs touchés
En détail, Capcom mentionne le fait que les informations personnelles de 3 248 partenaires commerciaux, 3 994 employés et 9 164 anciens employés ont été volées de cette manière. En termes de joueurs, 134 000 fichiers ont été volés au service client japonais, 14 000 sur la boutique en ligne nord-américaine et 4 000 sur le site d’esports.
Dans combien de temps devriez-vous recevoir un ransomware, le groupe Sprite Spider émerge de l’ombre. Son point fort: utilise désormais un package de code ransomware efficace et difficile à détecter.
Lors de la récente conférence SANS Cyber Threat Intelligence, deux responsables de la cybersécurité de CrowdStrike, Sergei Frankoff et Eric Loui, respectivement chercheur principal en sécurité et analyste principal du renseignement, ont donné des détails sur un nouveau joueur majeur de ransomware nommé Sprite Spider. Comme beaucoup d’autres attaquants de ransomwares, la cybercriminalité derrière les attaques de Sprite Spider s’est rapidement développée en capacité de sophistication et de négociation depuis 2015. Aujourd’hui, Sprite Spider est même sur le point de devenir l’un des plus importants. Acteurs de menace de ransomware 2021 avec un profil de menace comparable à celui des acteurs APT il y a cinq ou dix ans. L’émergence de Sprite Spider n’est pas surprenante étant donné – comme beaucoup d’autres gangs de ransomwares organisés – qu’elle attire des hackers qui sont souvent embauchés et payés par des acteurs travaillant pour le compte d’un pouvoir étatique. LIEN
Suite à l’invasion d’entreprises à travers le monde, on dit que le groupe de rançongiciels Ryuk a mis 150 millions de dollars dans la poche avec le paiement d’une rançon.
Les opérateurs de ransomware Ryuk auraient gagné plus de 150 millions de dollars en Bitcoin en payant de l’argent de piratage à des entreprises du monde entier.
c’est pas très clair!
La société de renseignement sur les menaces Advanced Intelligence (AdvIntel) et la société de cybersécurité HYAS ont publié jeudi une étude qui suit les paiements effectués sur 61 adresses Bitcoin, précédemment attribuées et liées aux attaques de ransomware de Ryuk.
« Ryuk reçoit une partie importante de la rançon d’un courtier bien connu qui effectue des paiements au nom des victimes du ransomware », affirment les deux sociétés. «Ces paiements s’élèvent parfois à des millions de dollars, mais ils se comptent généralement par centaines de milliers. «
AdvIntel et HYAS expliquent que les fonds extorqués sont collectés sur des comptes de dépôt, puis transférés au blanchiment d’argent. Ensuite, soit ils retournent au marché noir et sont utilisés pour payer d’autres services criminels, soit ils sont échangés dans un véritable échange de crypto-monnaie.
Mais ce qui a le plus attiré l’attention des enquêteurs, c’est que Ryuk a converti son Bitcoin en véritable monnaie fiduciaire à l’aide de portails de crypto-monnaie bien connus tels que Binance et Huobi – probablement via des identités volées. D’autres groupes de ransomwares préfèrent généralement utiliser des services d’échange plus obscurs.
Cette enquête met également à jour nos chiffres sur les activités de Ryuk. Les derniers chiffres étaient datés de février 2020, après que des collaborateurs du FBI se soient exprimés lors de la conférence RSA. À l’époque, le FBI affirmait que Ryuk était de loin le groupe de ransomware actif le plus rentable avec plus de 61,26 millions de dollars générés entre février 2018 et octobre 2019, selon les plaintes reçues par son «Internet Crime Complaint Center».
Cette nouvelle étude de 150 millions de dollars montre clairement que Ryuk a conservé sa place au sommet, du moins pour le moment.
Au cours de l’année écoulée, d’autres groupes de ransomwares – tels que REvil, Maze et Egregor – se sont également fait un nom et ont été très actifs et ont infecté des centaines d’entreprises. Cependant, à l’heure actuelle, aucun rapport ne permet d’estimer les sommes déclarées de ces groupes. L’enquête la plus récente de ce type était celle de la société de cybersécurité McAfee, publiée en août 2020, qui estimait que le groupe de ransomware Netwalker avait accumulé environ 25 millions de dollars de rançon entre mars et août 2020.
Les ransomwares ou ransomwares étaient déjà de loin la plus grande menace cybernétique en 2020, et ils continuent de croître à un rythme alarmant.
« 10 jours pour changer leur décision. » C’est l’avertissement que le gang Avalon a envoyé à l’une de leurs victimes via leur blog. Le groupe criminel informatique a paralysé le système informatique d’une organisation avec son ransomware, et maintenant ils veulent forcer leur victime à payer une rançon en échange d’une promesse de revenir à la normale.
Augmenter la pression sur la victime
Pour y parvenir, les voyous utilisent une méthode d’extorsion qui est malheureusement populaire depuis plus d’un an: les menaces contre les violations de données. L’entreprise ne souhaite-t-elle pas récompenser les cybercriminels en payant une rançon? Eh bien, il devra gérer la crise provoquée par la fuite ou la vente de ses données clients: un incident qui risque de ternir encore plus son image et d’entraîner la résiliation de contrats encore nécessaires à sa survie.
Attaque DDoS
Comme si ce double chantage ne suffisait pas, Avalon ajoute une autre couche: « Le site est actuellement sous attaque DDoS et nous l’attaquerons jusqu’à ce que la société nous contacte. » En d’autres termes, même si la victime parvient à récupérer progressivement certains de ses outils et services, les cybercriminels sont obligés de les faire dysfonctionner d’une manière différente. Une attaque DDoS consiste à surcharger un site Web en lui envoyant un grand nombre de requêtes au point qu’il s’exécute lentement ou même cesse de fonctionner. Pour les cybercriminels aussi riches que les opérateurs de ransomwares, il s’agit d’une attaque bon marché car il vous suffit de louer quelques machines. Bien sûr, il existe de nombreux outils et méthodes pour gérer et absorber ce type d’attaque, mais c’est un autre problème auquel les victimes doivent faire face si les équipes de sécurité sont déjà débordées par la gestion des ransomwares.
Comme le souligne Bleeping Computer, Avalon n’est pas le premier gang à utiliser ce type de menace – deux autres l’ont fait dès octobre 2020 – mais cela pourrait être un signe que cette tendance se généralisera parmi les cybercriminels.
Cette pratique est une autre mauvaise nouvelle pour les victimes, confrontées à des voyous dont les moyens et l’imagination croissent à un rythme excessif. Certains commencent à harceler leurs victimes par téléphone, d’autres contre-communiquent en achetant des paris publicitaires sur Facebook. d’autres encore impriment leur note de rançon sur tous les photocopieurs de leurs victimes
Comment ne pas être tenté de payer la rançon quand la pression est forte? Aujourd’hui, tout le monde est d’accord sur le principe: les mauvais ne doivent pas être payés. Céder à leurs demandes, c’est les encourager à poursuivre leurs opérations; la rançon finance leur développement, de sorte qu’à chaque fois ils reviennent avec un modus operandi plus sophistiqué; et de plus, il n’y a aucune garantie que les cybercriminels respecteront leur résiliation du contrat: Parfois, les rançons doublent le montant demandé après une première validation de leur victime.
Beaucoup paient.
Parce qu’il est long et coûteux de restaurer votre système d’une autre manière et peut augmenter le fardeau de l’entreprise bien plus que payer une rançon. Parce que la pression est trop forte aussi. Menaces de fuite, pression sur les employés et maintenant DDoS, c’est trop de problèmes à gérer, trop de dommages potentiels pour l’entreprise.
Certes, les entreprises de sécurité réalisent parfois de petits gains par rapport aux cybercriminels. Mais parviendront-ils un jour à freiner le cercle vicieux qui équilibre leurs relations de pouvoir avec les gangs?
C’est l’une des plus grosses fuites, gigantesque, dangereuse dans les détails des données et très facile à obtenir.
Des fuites de données critiques détruisent la vie de presque tous les citoyens brésiliens
Il est difficile d’imaginer un pire désastre. Mardi 19 janvier, la société de sécurité PSafe a identifié une fuite très inquiétante car elle permettait d’accéder à des données plus critiques de plus de 220 millions de Brésiliens, plus que la population dans son ensemble (et pour cause: la base de données contient également des données sur les personnes décédées. ).
Trois jours plus tard, le site spécialisé Tecnoblog a découvert que non seulement un voleur avait découvert la fuite et téléchargé les données (en août 2019), mais qu’il les avait également postées sur un forum de vente accessible à tous. Certaines des données peuvent être téléchargées gratuitement, le reste peut être acheté au détail.
L’une des raisons pour lesquelles nous parlons de données critiques est que la base de données contient le « Cadastro de Pessoas Físicas » (CPF) des victimes et, dans certains cas, même une photocopie de la carte où ce numéro est écrit. En France, le CPF correspond au numéro fiscal, l’identifiant associé au paiement de la taxe. La simple présence de CPF suffit pour considérer le risque de fraude ou d’usurpation d’identité.
Mais en plus, il est livré avec un certain nombre de données terriblement précises. Respirez profondément, voici une liste non exhaustive de ce que contient la base de données pour chacun, ou presque:
Nom, prénom, date de naissance, nom des deux parents, état matrimonial, niveau de scolarité. Email, numéro de téléphone, adresse (nom exact de la rue, mais aussi coordonnées GPS). Plusieurs équivalents du numéro de sécurité sociale et détail de certaines prestations régulières correspondant aux caisses complémentaires familiales françaises. Détails sur le ménage: nombre de personnes, niveau de revenu. Informations sur l’emploi: nom légal et pièce d’identité de l’employeur, type d’emploi, statut d’emploi, date d’emploi, salaire, nombre d’heures par La semaine. Estimation du revenu: ce calcul prend en compte le salaire, le loyer ou encore l’encaissement d’une éventuelle rente. Ces données sont utilisées pour classer les personnes par niveau de classe sociale (faible, moyen, élevé) et par niveau de revenu. Toutes sortes de données financières: détails de la cote de crédit; le nom du débiteur et l’ID du statut de la dette de la banque du mauvais payeur. Avec tous ces éléments, le fichier, même au format texte, pèse plus de 14 gigaoctets. Dans le détail, il contient 37 bases de données distinctes, signe que l’auteur de l’infraction avait accès à l’ensemble du système d’une entreprise et pas seulement à une ou deux bases de données mal sécurisées.
Qui peut posséder une telle quantité de données critiques? Le détaillant a appelé le fichier « Serasa Experian », le nom d’une société de crédit brésilienne. Bien que la cybercriminalité ne puisse être tenue pour acquise, la base de données contient plusieurs calculs économiques utilisés par Seresa Experian, dont Mosaic, l’un de ses services de classification dédié au ciblage publicitaire. La société contrevenante a déclaré qu’elle avait ouvert une enquête mais n’avait jusqu’à présent trouvé aucune preuve de cambriolage dans son système.
En attendant d’en savoir plus sur les événements qui ont conduit à la fuite, le Brésil doit faire face à une crise nationale de cybersécurité et à une véritable crise de confiance dans les communications. La base de données est une opportunité en or pour les cybercriminels, petits et grands. Il permettra d’établir des hameçonnages massifs et de sélectionner les cibles les plus pertinentes parmi la quasi-totalité de la population. Plus précisément, les criminels peuvent cibler les personnes peu scolarisées, celles qui vivent dans une région particulière ou même s’attaquer aux revenus élevés. Pas besoin de chercher un moyen de les contacter, tout est dans la base de données. Ils peuvent repousser leur attaque par e-mail, téléphone ou lettre en fonction de leur cible.
D’autres utilisations peuvent avoir des conséquences encore plus importantes. Alors que la menace des ransomwares envahit les entreprises, ce type de fuite augmente considérablement le risque. Pour rappel, ce malware se propage aux victimes des systèmes d’entreprise et crypte tout ce qu’il trouve. Les logiciels d’entreprise (e-mails, progiciel bureautique, outils professionnels, etc.) deviennent inutilisables, tout comme les équipements informatiques (ordinateurs, copieurs, ports de sécurité, etc.) et les documents confidentiels ne peuvent plus être lus. C’est alors que les criminels exigent une rançon – allant de quelques centaines de milliers à des dizaines de milliers de millions d’euros – pour une promesse de lever le blocus des systèmes.
Pour pénétrer par effraction dans leur domicile, les intimidateurs ciblent les employés de l’organisation cible qui ont un niveau élevé de responsabilité et d’accès au réseau. L’objectif: infecter le patient zéro, qui infectera très probablement rapidement le reste du réseau. Ils créent donc des phishings sur mesure, qu’ils vivent de données collectées par eux-mêmes ou de fuites. C’est là que réside l’intérêt de la base de données attribuée à Serasa Experian. Il permet un ciblage direct des personnes d’intérêt telles qu’elles sont répertoriées comme telles dans le fichier. Mieux encore, il fournit plus que suffisamment de détails pour créer une arnaque de phishing très convaincante.
Bien que toutes les violations de données n’aient pas de conséquence, elles pourraient façonner les prochaines années avec la cybersécurité brésilienne.
Un serveur Git utilisé par Nissan est resté exposé en raison d’une configuration incorrecte des identifiants qui permettent d’accéder à divers outils internes d’applications mobiles du constructeur.
En laissant la paire nom d’utilisateur et mot de passe par défaut lors de la configuration du serveur Git, il était facile pour tout le monde de se connecter à son compte Nissan North America et d’accéder aux différents fichiers de développement.
Innovation that excites
Informé par une source anonyme, Tillie Kottman, ingénieur logiciel basé en Suisse, a déclaré à ZDNet que divers codes sources étaient disponibles en raison d’une configuration non sécurisée des informations d’identification sur l’un des serveurs Git utilisés par Nissan North America.
Ainsi, le code source des applications mobiles Nissan NA, une partie de l’outil de diagnostic Nissan Assist, les outils distributeurs, les outils marketing, les services liés au véhicule et d’autres fichiers pouvaient être consultés librement.
NISSAN Hyères
Le serveur incriminé a été rapidement neutralisé après que les fichiers ont commencé à circuler sur Internet via des liens torrent sur Telegram et des sites de piratage dédiés.
Après avoir pris connaissance du problème et mis hors ligne le serveur Git contrefait, Nissan a commenté la fuite vers ZDNet: «Nissan a immédiatement enquêté sur l’accès incorrect au code source propriétaire de l’entreprise. Nous prenons ce problème au sérieux et sommes convaincus qu’aucune donnée personnelle sur les consommateurs, les détaillants ou les employés n’était disponible avec cet incident de sécurité. Le système concerné est sécurisé et nous sommes convaincus qu’il n’y a aucune information dans le code source exposé qui pourrait mettre en danger les consommateurs ou leurs véhicules. «
Au printemps dernier, Mercedes a également rencontré une fuite de données, également due à une configuration incorrecte d’un serveur.
Entre Noël et le jour de l’an, la ville de La Rochelle et la ville d’Annecy ont été victimes de cyberattaques. Malgré la paralysie des services et l’affichage des preuves de piratage, les deux administrations ont choisi de ne pas payer de rançon pour accéder aux données.
C’est la nouvelle star des malwares, les «ransomwares». Les hackers n’endommagent ni ne volent plus de données, ce qui les motive maintenant, c’est de l’argent, et pour débloquer une cyberattaque, ils exigent une rançon, d’où le terme «ransomware» ou «ransomware». vécu plus d’une semaine.
Lundi, les hackers du groupe Netwalker ont revendiqué la responsabilité de l’attaque, et il ne sera pas surprenant d’apprendre qu’ils sont russes. Pour prouver qu’ils étaient en fait les auteurs de cette cyberattaque, ils ont téléchargé des visuels comme preuve des données «récupérées». Cité par France Bleu, celui choisi garantit qu’il ne s’agit que « d’une capture d’écran de fichiers qui ne signifie pas que les informations qu’il contient sont extraites et exploitées ».
Cependant, les hackers demandent une rançon et ils menacent de publier les données «récupérées» sur une trentaine de serveurs de la ville. Leur ultimatum est de 14 jours, et un compte à rebours est mis sur les serveurs lorsque les employés de la mairie tentent d’accéder aux données. «Nous ne savons pas exactement ce qu’ils ont pris et nous n’avons actuellement aucune preuve qu’ils détiennent des données importantes», précise le Parisien des techniciens chargés de rétablir l’accès aux différents services, comme le civil statut, DRH ou services généraux.
Ils menacent de publier les données «récupérées»
Du côté de la ville, nous avons porté plainte et une enquête judiciaire est en cours. Et si jamais les données étaient vraiment mises en ligne, la mairie assure qu’elle avertira ses citoyens, mais dans l’immédiat, l’objectif n’est pas de céder au chantage. Un accident qui touche aussi l’urbanité d’Annecy, et bien que les 1.200 fonctionnaires n’aient plus accès à leurs emails et que les services n’aient pas été rétablis, nous avons également choisi de ne pas céder au chantage, et nous sommes surtout étonnés que être la cible des pirates.
Ceci est d’autant plus dommageable en cette période de pandémie que les services ne sont proposés qu’en ligne, notamment pour les personnes âgées. À l’heure actuelle, cette attaque n’a pas été revendiquée, mais le modus operandi semble être identique. D’ailleurs, le groupe Netwalker avait déjà frappé en France plus tôt, et cet été il était soupçonné d’être à l’origine de la cyberattaque contre les compagnies d’assurance MMA.
Netwalker avait déjà frappé en France plus tôt
Plusieurs grandes entreprises françaises avaient subi des attaques de la part de ce groupe russophone, et l’un des points d’entrée était un PC sous Windows 7, qui n’avait pas été mis à jour. Qu’il s’agisse de logiciels ou de matériel, les pirates sont plus que souvent heureux d’exploiter des vulnérabilités non corrigées. Autre passerelle: le courrier électronique via le phishing et la période des fêtes est la raison idéale pour envoyer de fausses cartes de vœux qui cachent des logiciels malveillants.
CrowdStrike a découvert un autre malware impliqué dans l’attaque de SolarWinds, appelé Sunspot. Il a permis au code Sunburst d’être inséré dans le code source d’Orion, le logiciel SolarWinds compromis par des pirates.
SolarWinds compromis par des pirates.
Un par un, les mystères restants du piratage d’entreprise de SolarWind ont été résolus. CrowdStrike, l’une des sociétés chargées d’enquêter sur l’incident, a publié le 11 janvier un rapport sur des logiciels malveillants jusque-là inconnus impliqués dans la cyberattaque. Ce malware appelé « Sunspot » serait le premier maillon de l’attaque avant le désormais célèbre « Sunburst ».
Il aurait été introduit sur le serveur d’une entreprise dès septembre 2019. Plus précisément, Sunspot a infecté le moteur de production de SolarWind, le système responsable de l’assemblage des logiciels du groupe. Son objectif: espionner l’usine du logiciel Orion, le logiciel de gestion de réseau de l’entreprise.
Comme le note ZDNet, après une phase d’observation, Sunspot a inséré le code nécessaire pour créer le cheval de Troie Sunburst dans le code source d’Orion. Résultat: entre mars et juin 2020, si un client SolarWinds a installé la mise à jour logicielle, Sunburst s’est installé via le même canal. Ce dernier a ouvert une porte aux serveurs des victimes – plus de 18 000 organisations – dans laquelle les hackers pouvaient pénétrer.
Ils ont ensuite dû déposer manuellement un troisième logiciel malveillant, encore plus puissant, appelé « Teardrop », sur des systèmes proches des organisations qu’ils avaient en vue. Ils ont continué à espionner 250 organisations, dont de nombreux départements et agences du gouvernement américain: armée, renseignement, énergie… Ce sont des domaines critiques compromis par des hackers, « probablement » russes selon les autorités américaines.
L’attaque sur SolarWinds a donc duré de septembre 2019 à juin 2020 et n’a été découverte qu’en décembre 2020. C’est un constat d’échec pour l’entreprise victime, qui a désormais confié l’amélioration. de sa sécurité aux grands noms du secteur.
De leur côté, les enquêteurs ont presque atteint le bout de la chaîne des attaques. Il ne leur reste plus qu’à comprendre comment les pirates ont réussi à implémenter Sunspot sur le moteur de production SolarWinds. Les hypothèses sont répandues, mais cet élément reste un mystère pour le moment. Ensuite, ils devront décider qui a organisé l’attaque: les Russes, mais qui exactement? Certains médias, dont le Washington Post, évoquent APT29, surnommé Cozy Bear, un groupe de hackers d’élite affiliés à l’une des agences de renseignement russes.
La société Fareva, qui travaille principalement sur la commercialisation d’un vaccin contre Covid-19, est paralysée depuis le 15 décembre par une cyberattaque de type ransomware. On espère que les systèmes seront à nouveau utilisés avant la fin de la semaine.
Leader mondial de la sous-traitance industrielle
Le sous-traitant pharmaceutique Fareva lutte contre les ransomwares depuis le 14 décembre, et le redémarrage de son unité de production se fait lentement, selon les informations de France Bleu Touraine.
L’attaque a été annoncée dans la presse le 17 décembre: selon Les Echos, c’est le centre de données de l’entreprise basé à Savigny-le-Temple qui a été touché. En effet rebond, plusieurs usines du groupe spécialisées dans le transport et le conditionnement de produits pharmaceutiques et cosmétiques ont été fermées par l’attaque, selon le quotidien. Un reportage que la direction termine avec Les Echos, indiquant que seuls les sites français seraient concernés par l’attaque.
La direction du groupe a alors confirmé que la réponse rapide de l’équipe informatique avait permis de limiter les pertes de données et prévoyait le retour des sites de production à partir du 4 janvier. Mais selon France Bleu Touraine, citant des sources syndicales, les machines de l’usine d’Amboise sont toujours restées immobiles lundi, la quasi-totalité des ouvriers de l’usine étant en emploi de courte durée depuis le 22 décembre. La reprise progressive de l’activité sur place est désormais attendue ce week-end.
Fareva est une société basée au Luxembourg. Il a notamment été choisi par le groupe allemand CureVac pour conditionner le vaccin contre Covid-19. Pour le président du groupe Bernard Fraisse, le lien entre l’attentat et l’annonce serait « évident ».
Et l’hôpital de Hyères?
Outre Fareva, plusieurs hôpitaux français ont été victimes de cyberattaques en décembre: le centre hospitalier d’Albertville-Mûtier en Savoie a annoncé avoir été touché par un ransomware le 22 décembre. Le centre hospitalier a pu continuer à fonctionner dans un accident, mais plusieurs services et équipements ont été rendus inaccessibles par l’attaque. Plus tôt ce mois-ci, c’était l’hôpital de Narbonne qui avait déclaré avoir été victime d’une cyberattaque, mais cette fois, il s’agissait d’exploiter la puissance de calcul de ses équipements pour extraire de la crypto-monnaie. Si les dégâts ont été limités, les mesures prises pour désinfecter le système d’information ont contraint les salariés de l’entreprise à travailler plusieurs jours sans accès à Internet.
En décembre, les agences de cybersécurité française et allemande ont publié une déclaration commune mettant en garde le secteur contre la recrudescence des attaques contre les organismes de santé.
Le secteur de la santé a été confronté à plusieurs attaques en décembre 2020. L’attaque contre l’Agence européenne des médicaments au début du mois a permis à des tiers non autorisés d’accéder aux documents connexes. l’approbation des vaccins. IBM a également signalé une augmentation des attaques de phishing ciblant les entreprises chargées de fournir des vaccins. À l’échelle mondiale, Checkpoint confirme une tendance similaire, indiquant qu’il a connu une augmentation de 45% des attaques ciblant le secteur de la santé depuis novembre 2020.
Le centre hospitalier Albertville-Moûtiers en Savoie est victime d’une cyberattaque depuis le lundi 21/12/2020. Elle a endommagé ses serveurs informatiques.
Le directeur et le directeur délégué, Guy-Pierre Martin (à droite) et Pierre Idée
Quelques jours après l’hôpital de Narbonne, qui a été touché par une cyberattaque infectant ses serveurs, le Centre Hospitalier Albertville-Moûtiers (CHAM) en Savoie a de nouveau été confronté à un virus informatique qui a endommagé son système d’information. Découvert le lundi 21 décembre, vers 18 h. 4, la cyberattaque provoquée par un virus «ransomware» rendu inaccessible «à un certain nombre d’équipements, de serveurs, de logiciels et d’une partie du réseau informatique». Comme l’a indiqué l’hôpital dans un communiqué de presse mercredi. Outre les hôpitaux d’Albertville et de Moûtiers, deux EHPAD ont également été , soutenu par CHAM, concerné.
Dès que l’attaque a été découverte, tout le réseau informatique de l’hôpital a été fermé, rendant impossible l’accès aux dossiers des patients et aux dossiers de traitement. «C’est très compliqué pour tous les services, nous sommes limités par l’ordinateur, et ça risque de durer», explique un officier hospitalier.
Les connexions informatiques à l’hôpital voisin de Chambéry, dont la gestion est partagée avec le centre hospitalier d’Albertville-Moûtiers, ont été suspendues à partir de lundi pour éviter de propager le virus. «Nous avons été informés lundi après-midi qu’une attaque assez grave avait eu lieu à Albertville et que tous les systèmes centraux de communication avaient été cryptés par le virus», explique un membre du personnel de l’hôpital de Chambéry.
Malgré sa virulence, l’attaque ne mettrait pas en péril le fonctionnement de l’établissement. La protection respiratoire et les salles d’opération, la plateforme d’imagerie et les urgences « fonctionnent normalement », précise l’hôpital.
Le groupe Ouest France, qui a été perturbé il y a quelques jours par un « virus mystérieux », a en fait été cyber-attaqué par un ransomware.
ZATAZ peut confirmer que le groupe de presse français Ouest France, cyberattaque du samedi 21 novembre, était du groupe de hackers Egregor. Ces opérateurs de ransomwares malveillants confirment cette intrusion en communiquant, à travers la divulgation de preuves, l’intrusion et les otages 2.0
Le journal Ouest France piraté par un ransomware
Ces terroristes numériques ont téléchargé un fichier de plus de 80 Mo (1% de ce qu’ils auraient volé) pour signaler ce piratage.
Un hack qui a abouti au blocage de nombreuses machines au sein du groupe de presse et à l’obligation de réduire la publication du journal. Ouest France n’a pu sortir qu’une seule édition (au lieu de neuf) le dimanche 22 novembre.
La direction du journal n’a alors déclaré aucune fuite de données et n’avoir vu aucune demande de rançon. LIEN
Les cybercriminels continuent de développer à un rythme leurs méthodes intimidantes de pression sur leurs victimes. Après les menaces de fuite que le marketing téléphonique …
Les groupes derrière les ransomwares appellent les victimes qui les ignorent
« Si vous voulez arrêter de perdre votre temps et récupérer vos données cette semaine, nous vous recommandons de discuter de la situation avec nous sur le chat, sinon les problèmes avec votre réseau ne finiront jamais. » Depuis août, des firmes qui ont sacrifié des rançongiciel qui ne contactent pas leurs rançonneurs ont reçu de tels appels, rapporte ZDNet.
Sur la ligne, un agent d’un centre d’appels payé par des cybercriminels a été constamment trouvé. Il explique que les hackers soupçonnent qu’une société de cybersécurité est impliquée dans la gestion de l’incident, puis cela se transforme en menaces. Cette demande vise à mettre encore plus de pression sur les équipes de sécurité déjà débordées pour tenter de favoriser la restauration du réseau de rançon.
Virus informatique Hyères
Les noms les plus connus du secteur comme Conti, Ryul ou Maze (qui a depuis cessé ses activités) ont déjà utilisé cette méthode. S’il n’est pas complètement nouveau, il est systématisé pour la première fois. Selon les spécialistes interrogés par ZDNet, il semble que les hackers utilisent tous le même centre d’appels.
CHOISIR D’IGNORER L’APPLICATION DE LA SOLUTION EST DIFFICILE Une récupération et un nettoyage complets d’un réseau infecté par un ransomware peuvent prendre des jours, voire des mois, en fonction de la propagation du malware et de l’architecture du réseau. Pendant cette période, la société offreuse fonctionnera au ralenti, ce qui affectera de manière irréversible son chiffre d’affaires.
Il peut donc être tentant de payer la rançon, même si elle est élevée (de quelques centaines de milliers d’euros à des dizaines de milliers de millions d’euros pour les grands groupes), car ce choix peut être économiquement avantageux. Si elle se conforme aux demandes des hackers, elle a la possibilité de récupérer son système en peu de temps, et en plus, certaines assurances couvrent une partie des frais.
Mais choisir de payer la rançon signifie faire confiance aux criminels, risquer de laisser des restes de logiciels malveillants sur votre système et, surtout, remplir la force de frappe du gang derrière les attaques, qui se développent à un rythme alarmant.
Pour mettre leurs victimes sous pression, les voyous ne cessent d’innover depuis deux ans. Ils ont commencé à menacer d’avertir les journalistes afin d’attirer l’attention sur l’attaque et de nuire à la réputation des victimes auprès de leurs clients. Ensuite, ils ont commencé leurs propres blogs où ils ont menacé de publier des échantillons de données volées aux victimes.
Ils commencent par télécharger quelques mégaoctets comme preuve de leurs méfaits et peuvent aller jusqu’à publier toutes les données volées. Et ce n’est pas tout: si la victime s’expose, les cybercriminels n’hésiteront pas à doubler la rançon après le temps imparti.
Solutions de sécurités informatique
Ces derniers mois, les opérateurs de ransomwares ont pris la liberté de tirer de nouveaux threads. Ragnar Locker a acheté des publicités Facebook pour décourager la communication de sa victime Campari. De son côté, Egregor a codé un script dans son malware pour imprimer automatiquement sa note de rançon sur des imprimantes liées à des appareils infectés. Et maintenant, d’autres gangs font face au harcèlement téléphonique. Alors, où s’arrête l’escalade des méthodes utilisées par les cybercriminels?
Se défendre contre cette menace en constante évolution n’est pas une mince affaire, mais un bon point de départ est de comprendre où se trouvent les points faibles et comment ils sont exploités.
Ransomware: un problème infinie?
Tous les experts conviennent que les cybermenaces se sont intensifiées ces derniers mois avec l’augmentation des demandes de rançon et des tactiques que l’on peut qualifier d’impitoyables.
Personne n’est épargné par des organismes publics comme les villes de Vincennes et Aulnoye-Aymeries il y a quelques semaines aux plus grandes entreprises privées comme Bouygues Construction, CMA-CMG ou Sopra-Steria.
Les cybercriminels parviennent à trouver de nouvelles façons de contourner les défenses des entreprises grâce à des attaques plus sophistiquées et ciblées. Se défendre contre cette menace en constante évolution n’est pas une mince affaire, mais un bon point de départ est de comprendre où se trouvent les points faibles et comment ils sont exploités.
Les personnes restent le maillon faible de la cybersécurité
Il suffit d’un clic sur un lien de phishing pour faire le travail: les défenses du réseau sont brisées et les logiciels malveillants sont infiltrés.
Renforcer sa défense contre la négligence humaine nécessite non seulement de former les employés à la sensibilisation à la cybersécurité, mais aussi d’introduire des outils pour filtrer les contenus malveillants avant qu’ils ne causent des dommages. Mais comme la cybersécurité n’est pas une science exacte, même les plans les mieux conçus doivent être continuellement revus et adaptés afin de ne pas être dépassés par le rythme fou du développement des cybermenaces.
Prenons, par exemple, l’augmentation massive du télétravail pendant la pandémie.
Ce nouveau «standard» offre aux hackers une toute nouvelle audience et une cible facile qui n’ont pas l’habitude de se protéger des menaces. Ces nouvelles habitudes de travail ont conduit à une augmentation des attaques RDP (Remote Desktop Protocol) de Microsoft dans le monde, selon le fournisseur de sécurité Kaspersky.
Les mails comme porte d’entrée
Les cybercriminels sont bien conscients que chaque industrie présente des vulnérabilités spécifiques. Ils exploitent ces vulnérabilités en passant de campagnes de phishing massives à des attaques plus ciblées. Par exemple, certaines se concentrent sur des entreprises individuelles, généralement de haut niveau, car elles ont souvent beaucoup à perdre, tandis que d’autres ciblent un secteur particulier en utilisant des logiciels malveillants adaptés aux technologies utilisées dans ce secteur.
Dans certains cas, ils utilisent les deux, comme lors de la récente attaque Honda. Le piège dans ce cas était une variante du ransomware Snake qui pouvait à la fois désactiver les mesures de protection et cibler les systèmes d’exploitation SCADA industriels utilisés dans la fabrication de véhicules.
Les attaques de ransomwares deviennent rapidement une «entreprise» de plus en plus diversifiée. Les victimes risquent désormais de voir leurs données sensibles collectées lors d’une attaque de cryptage. Il devient également de plus en plus clair que les ransomwares ciblent régulièrement les systèmes de sauvegarde et de reprise après sinistre ainsi que les données en temps réel. Du moins en apparence car il faut du temps pour vérifier l’intégrité de ces défenses …
Suivez l’actualité de ransomware
Que peut faire une entreprise pour se protéger de ce qui est aujourd’hui l’une des plus grandes menaces pesant sur son système informatique? Il n’y a pas de réponses faciles ou d’outils simples qui peuvent résoudre le problème.
Plutôt qu’une solution miracle, c’est plutôt une approche méthodologique qu’il faut privilégier: sensibiliser et éduquer les utilisateurs finaux sur la sécurité, mettre à jour les outils anti-malware sur les postes de travail et l’infrastructure, et s’assurer que les stratégies et outils de sauvegarde sont suffisamment robustes pour faire face aux menaces contre les ransomwares et permettre un retour rapide à la normale.
Toutes ces mesures méritent d’être envisagées, mais en tant que dernière ligne de défense, c’est la protection qui est la plus importante. D’autant que l’utilisation de périphériques NAS (Network Attached Storage) pour la sauvegarde et l’archivage est répandue et qu’ils sont en eux-mêmes une cible facile. C’est la «partie réseau» qui expose les périphériques NAS au plus grand risque, les rendant faciles à identifier et, une fois trouvés, faciles à attaquer. Souvent sans que personne ne le sache jusqu’à ce que les demandes de rançon arrivent dans la boîte de réception.
La première approche consiste à verrouiller le réseau auquel les périphériques NAS sont connectés, tout en s’assurant que le micrologiciel du NAS est à jour avec toutes les dernières mises à jour de sécurité. Au-delà, il est intéressant de profiter de l’authentification à deux facteurs lorsqu’elle est disponible, et de SSL pour mieux sécuriser l’accès à distance si nécessaire.
Les bonnes pratiques contre les ransomwares
D’autres bonnes pratiques incluent le blocage automatique des adresses IP après l’échec répété d’attaques de connexion par «force brute», ainsi que l’utilisation du cryptage des données et des pare-feu spécifiques au NAS.
En matière de cybersécurité, il vaut mieux être très prudent. Autrement dit, effectuez des sauvegardes fréquentes et régulières du stockage NAS et stockez ces copies à distance (de préférence hors site) et sans connexion au réseau. C’est le seul moyen de garantir qu’il existe une version propre et récupérable des données qui n’est pas obsolète.
Sans oublier, cependant, que cela doit être combiné avec des contrôles d’intégrité réguliers et des analyses de logiciels malveillants pour s’assurer que les données copiées ne sont pas déjà compromises.
La menace du ransomware cessera-t-elle un jour de planer? Possible, mais sûr, de faire de la place à une menace au moins aussi grande. C’est pour cette raison que de nombreuses entreprises cherchent à le désinfecter au niveau du stockage de données avec les capacités de stockage d’objets, de contrôle de version, de technologie WORM (Write Once Read Many) et de systèmes de fichiers immuables.
Gartner prédit qu’env. 20% des données de l’entreprise d’ici 2021 seront stockées en mode scaling contre 30% aujourd’hui. La fin du ransomware n’est pas a priori pour demain, il semblerait que ce soient ces technologies associées au stockage de données qui permettent de désarmer ce type d’attaque et de voir un peu de lumière au bout du tunnel!
Qu’elles soient intentionnelles ou opportunistes, les attaques de ransomwares créent le chaos. Concentrez-vous sur les faiblesses, les techniques utilisées et les réactions à adopter pour tenter de faire face au pire et limiter les dégâts.
Plus virulentes et professionnalisées que jamais, les cyberattaques provenant de ransomwares ciblant les entreprises ainsi que les administrations et les communautés sont un véritable fléau. Suite à la publication début septembre d’un guide signé par l’ANSSI et le ministère de la Justice passant en revue les moyens d’action et les réponses pour faire face à cette formidable menace, c’est au tour de l’Observatoire. la sécurité des réseaux et des systèmes d’information (OSSIR) pour jouer un rôle dans la lutte contre les ransomwares.
Dans le cadre de l’une des dernières visioconférences de l’association, Christophe Renard, Agent au sein de la direction responsable de la sous-direction des opérations de l’ANSSI, est intervenu dans le cadre d’un retour d’expérience sur l’anatomie des attaques de ransomware. Après avoir brièvement passé en revue le rôle de l’ANSSI dans la lutte contre les cybermenaces (prévention, réponse aux incidents et partage des connaissances), Christophe Renard a rappelé l’explosion des attaques ransomware (104 entre le 1er et le 1er janvier) (septembre 2020), qui a conduit à plusieurs incidents majeurs, qui combinait destruction de données et arrêt de production, comme cela a été le cas récemment avec Sopra Steria, avec un impact économique significatif.
Comment connaitre un ransomware
Dans la première partie de son retour d’expérience, Christophe Renard dresse un panorama des points d’entrée qui permettent à un pirate d’accéder à un système exposé. Généralement via un point d’accès accessible depuis Internet ou un poste de travail utilisateur via un email contenant un lien ou un document capturé. Il y en a un certain nombre allant de l’exploitation de grandes vulnérabilités (CVE-2019-11510 sur PulseSecure, CVE-2019-19781 sur Citrix et CVE-2019-0604 sur Sharepoint) à celles qui font l’objet d’analyses massives, à l’énumération de des mots de passe sur des services exposés sur Internet (RDS sur des serveurs de domaine, des VM de domaine, etc.) ou encore des résultats de campagnes de botnet (Emotet, Dridex, etc.).
« De temps en temps, les attaquants tentent d’étendre leur emprise », a déclaré Christophe Renard. Cette latéralisation peut alors emprunter plusieurs chemins, allant de la numérisation réseau à l’exploration système en montage RDP, RCP et SMB ou encore l’utilisation de trames standards offensives (powershell-Empire, Cobalt Strike, Metasploit, etc.). L’augmentation des privilèges fait bien sûr partie du plan d’attaque d’un hacker pour atteindre ses objectifs. Pour cela il peut essayer de réutiliser des mots de passe qui peuvent être communs entre admin et utilisateur, extrapoler les règles de production ou faire un décompte brutal des applications ou même pêcher dans le SI (mots de passe fichier excel, raccourcis de connexion avec mots de passe enregistrés …). Mais aussi attrapé par les «points d’eau» tels que les applications Web internes ou même le portail VPN en tant que tel. Pour protéger l’accès, des procédures peuvent être envisagées: comme la création de comptes privilégiés (AD, administrateurs locaux, etc.) ou l’ajout d’implants (RAT, webshell, tunnels inversés, etc.).
Anticipant et assurant l’effet maximal de son attaque, le hacker cherche à mettre en œuvre son ransomware le plus rapidement possible. Cela implique en particulier des étapes pour neutraliser l’antivirus, arrêter les processus serveur à la dernière minute ou s’assurer que les objectifs pertinents sont effectivement atteints. Par conséquent, il est préférable de porter une attention particulière à certains signaux susceptibles de se produire, tels que le suivi des virus, les pannes d’antivirus, les pannes de service inattendues ou les connexions de contrôleur de domaine. Dans le but de copier et d’exécuter son programme malveillant à grande échelle, l’utilisation de mécanismes d’administration est effectuée (Batch files de PsExec en série, création de tâches pour l’exécution d’instructions de GPO, utilisation de BITS …). Une fois implémenté, le code s’attaquera à plusieurs objectifs: supprimer les clichés instantanés, rechercher et crypter des fichiers, créer des messages d’invitation et de contact, ou même envoyer des informations de télémétrie pour estimer les attaques réussies.
Comprendre le timing d’un ransomware
Généralement, les campagnes de ransomwares sont menées après un timing qui rend plus difficile de les contrer (week-ends, vacances, etc.). Il est donc temps pour l’entreprise de se lancer avec les conséquences de la transition vers la crise, qui mobilisera des acteurs clés en interne (direction générale, experts sécurité, DSI, etc.), mais aussi en externe (sous-traitants, enquêteurs numériques …). Il est impératif à ce stade d’identifier les responsables et impliqués dans cette gestion de crise, et notamment leur rôle et leur périmètre d’intervention. Les premières actions visent à freiner la prolifération des réseaux (perturbation de l’accès Internet, filtrage réseau de niveau 2 ou 3, coupure des accès tiers, etc.), mais également des systèmes (arrêt des postes de travail, extension de la couverture antivirale et XDR, etc.) le piège tendu par les cyber-attaquants et la nécessité de redémarrer l’activité au plus vite pour éviter de lourdes pertes opérationnelles et financières, les entreprises doivent également initier un plan de communication (salariés, partenaires, médias, etc.) en n’oubliant pas l’essentiel: déposer une plainte auprès du autorités compétentes (police, gendarmerie …) et signaler l’incident (ANSSI, CNIL …).
Testez la restauration à l’avance
Dans une manipulation tendue et compliquée du cotext, les erreurs se produisent rapidement. Mais certaines sont à éviter, comme le rappelle Christophe Renard. « La crise des ransomwares est une crise stratégique; elle ne doit pas être gérée uniquement sous l’angle informatique. » De même, il est illusoire de croire qu’une solution peut être trouvée en quelques jours: « aucune crise de ransomware, comme je l’ai observé, n’a duré moins de 3 semaines […] nous devrons enquêter, reconstruire, mettre en œuvre des mesures temporaires, restaurer Personne n’a les équipes internes pour tout faire. »Attention à ne pas baser toute cette organisation de crise sur une seule personne:« personne ne garde 3 semaines de crises sans repos, un burn-out lors d’un incident survient », prévient Christophe Renard.
Revenir à la normale, après une attaque de ransomware
Pour revenir à la normale et après une étape corrective nécessaire, le processus de récupération est une étape clé qu’il ne faut pas sous-estimer. Il est également nécessaire que les sauvegardes et les applications puissent être restaurées en étant préalablement déconnectées et désynchronisées du SI maître. «L’expérience des tests Restore est précieuse: toutes les raisons pour ne pas les faire par temps calme sont exacerbées par un environnement dégradé et le stress», explique Christophe Renard. Le temps viendra alors de se faire un état des lieux (image, technique, économique, législatif et humain) et d’en tirer les conséquences pour améliorer la réponse aux incidents et mieux contrer les effets catastrophiques du prochain ransomware. Car s’il y a une chose à garder à l’esprit, c’est plus que jamais en termes de cybersécurité que l’on n’est jamais en sécurité une fois pour toutes.
Anssi a publié un nouveau rapport, cette fois axé sur l’activité ransomware de Ryuk. Particulièrement impliqué dans l’attaque de Sopra Steria en France, ce logiciel malveillant se distingue de la concurrence et ne se contente pas de dupliquer les méthodes de ses concurrents.
Ryuk LE ransomware 2020?
Ryuk est un ransomware actif depuis 2018 et dont les opérateurs sont particulièrement actifs. C’est ce qui a valu le titre de «ransomware le plus rentable» selon le FBI en 2018 et généré plus de 61 millions de dollars de rançon entre février 2018 et octobre 2019.
Cependant, Ryuk n’aborde pas les méthodes qui ont fait le succès de groupes malveillants comme Maze ou Revil: pas de chantage pour le vol de données, pas de place pour montrer les victimes ou les communiqués de presse ici. Pourtant, ce ransomware, qui est actif depuis deux ans maintenant, reste une menace majeure, et Anssi a publié un rapport de statut.
Ryuk est un ransomware dont le but est de crypter les données de la victime pour exiger une rançon. Anssi indique que les cibles privilégiées des opérateurs de ce ransomware sont les grandes entreprises capables de payer les grosses rançons requises, principalement aux États-Unis et au Canada. L’agence note également que les opérateurs de Ryuk ne réservent pas d’autres groupes vis-à-vis des établissements de santé: « en octobre 2020, Ryuk serait responsable de 75% des attaques sur le secteur de la santé qu’il attaquerait depuis le premier semestre 2019 ». Des dizaines d’hôpitaux américains ont été victimes d’une campagne de Ryuk au début d’octobre visant les services dans les hôpitaux de l’UHS. Le FBI et le CISA américain ont également mis en garde contre le risque de nouvelles attaques basées sur Ryuk dans un nouveau communiqué d’information publié fin octobre.
Trickbot, Emotet et le bazar Comme de nombreux ransomwares, Ryuk n’est que la dernière étape d’une chaîne d’infection multi-malware. Les auteurs du rapport indiquent que l’infection Trickbot, au moins jusqu’en septembre 2020, aurait été le point d’entrée privilégié des opérateurs Ryuk pour s’implanter dans les réseaux d’entreprise. Trickbot, avec Emotet et bien d’autres, est un malware de type chargeur qui se propage généralement via des campagnes de courrier électronique malveillantes pour infecter un appareil cible, puis se propager à travers le réseau interne d’une victime et se déplacer jusqu’à ce qu’il compromette un contrôleur de domaine. La dernière étape est la mise en œuvre du ransomware, le cryptage des machines et la demande de rançon. Et si ce type d’attaque prend généralement du temps, certains opérateurs Ryuk se démarquent par leur rapidité: Anssi indique ainsi que dans certains cas le temps de la première infection et du cryptage est réduit de quelques jours. (2 à 5) en trois heures ».
En 2020, cependant, les opérateurs de Ryuk semblent s’être progressivement tournés vers un nouveau chargeur, connu sous le nom de BazarLoader, actif depuis mars 2020. «Comme TrickBot, Bazar serait utilisé comme un accès en tant que service pour faire des compromis ou même qualifier un SI pour le compte d’autres groupes d’attaquants. On ne sait pas si BazarLoader, comme TrickBot, fonctionne également sur un modèle d’affiliation », précise l’agence, qui précise que le logiciel est principalement distribué par le groupe derrière Trickbot. D’autres chargeurs ont également été identifiés dans des attaques impliquant le malware Ryuk: Buer et Le logiciel Silent Night a également été utilisé dans l’attaque qui a implémenté Ryuk.
Raas ou pas Raas, c’est la question
L’un des points qui sépare Ryuk du reste de l’écosystème de la cybercriminalité des groupes de ransomware est la question du modèle commercial de Ryuk. Pour de nombreux ransomwares apparus ces derniers mois, le modèle économique utilisé est généralement celui de RaaS (Ransomware as a service): le groupe à l’origine des ransomwares commercialise ses logiciels sur des forums clandestins auprès d’autres groupes, qui s’assurent ensuite de les diffuser réseaux informatiques de leurs victimes.
Pour Anssi, Ryuk n’est « pas officiellement un RaaS »: l’agence déclare ainsi qu’elle n’a observé aucune promotion des opérateurs Ryuk sur les forums clandestins. Ryuk est néanmoins exploité par plusieurs acteurs malveillants, selon Anssi. S’il n’est pas vendu au public, il pourrait être mis à la disposition de partenaires de confiance par le créateur du code malveillant, ou il pourrait être exploité indépendamment par plusieurs groupes à l’aide d’outils et de formes de propagation communs. .
Il est donc difficile de savoir qui tire exactement les fils de Ryuk: le rapport de l’agence met en évidence le rôle central joué par deux acteurs malveillants, le groupe WizardSpider derrière Trickbot et le groupe identifié comme UNC1878. Selon FireEye, ce dernier groupe est responsable de 83% des attaques impliquant Ryuk. L’agence note également l’implication d’autres groupes tels que FIN6 dans la prolifération du ransomware Ryuk ainsi que du code et des méthodologies entre Ryuk et un autre ransomware connu sous le nom de Conti. Si Ryuk n’est pas «officiellement un RaaS», il n’en est pas moins un acteur profondément enraciné dans la sphère de la cybercriminalité et avec de nombreux liens avec des groupes tiers.
Pas de moins de 93 000 logements sont désormais éligibles aux Forfaits 5H de Titan-informatique. Le prestataire de service informatique débarque officiellement sur Toulon.
Titan informatique annonce le lancement de ses forfaits 5H dans la commune de Toulon
Plus vite que prévu, Titan-informatique annonce ce matin l’arrivée de ses Forfaits 5H pour les habitants de Toulon, l’objectif est de couvrir les communes de Toulon, la Garde, la Valette du Var par des services informatique d’ici 2022.
Les ransomwares se propagent via des applications Android publiées sur des forums ou des sites Web tiers.
Un ransomware kidnappe les données des smartphones
Un nouveau virus particulièrement sophistiqué fait actuellement rage sur les smartphones Android. Ce dernier fait partie d’un ransomware, un malware qui crypte les données pour que les victimes en extraient de l’argent en détenant une clé de décryptage. Ce type de virus tue régulièrement de nombreuses personnes dans le monde, à la fois sur les ordinateurs et les smartphones.
Le nouveau malware découvert par les chercheurs en cybersécurité de Microsoft est connu sous le nom d’AndroidOS / MalLocker.B. Il fait partie d’une toute nouvelle souche de ransomwares et se propage via des applications Android publiées sur des forums et des sites tiers en dehors du Play Store. Une fois installés sur le téléphone, les logiciels malveillants utilisent le mécanisme de notification des appels entrants ainsi que le bouton Accueil pour verrouiller l’accès au téléphone. Sur Android, la plupart des ransomwares bloquent simplement l’accès aux fichiers stockés sur l’appareil au lieu de les crypter.
Une fois mis en œuvre, le virus MalLocker.B affiche un message persistant sur l’écran du téléphone, prétendument émanant des forces de l’ordre locales, une technique largement utilisée par les auteurs de ransomwares. L’avis indique ainsi que ce dernier doit payer une amende pour un crime commis par la victime.
En détruisant le système d’appel entrant, le ransomware peut afficher son message sur tout l’écran du smartphone. De plus, il est capable d’afficher son message en permanence même si l’utilisateur appuie sur le bouton ou tente de basculer vers une autre application ouverte, car il a également la main sur la fonction du bouton Accueil.
Cette double fonction du ransomware est nouvelle et sans précédent. Malheureusement, il est presque toujours impossible de contourner ces types d’attaques. Et même s’ils paient, les fabricants de ransomwares risquent de ne pas redonner aux victimes l’accès au téléphone. Dans certains cas, ils peuvent partager ou détruire les fichiers kidnappés même si la victime a payé la rançon.
La seule solution pour éviter ce genre de mauvaise surprise est de ne pas télécharger une application en dehors du Play Store et de privilégier les applications de développeurs renommés. Assurez-vous de lire les commentaires ci-dessous la description des applications pour vous assurer qu’elles sont fiables.
Dans un communiqué de presse publié cette semaine, le Cigref met en garde contre la montée des cyberattaques et la menace que cette hausse fait peser sur l’économie française. Et ce alors que de plus en plus d’entreprises en France sont concernées par les attaques de ransomwares.
Le Cigref s’inquiète de la reprise des attaques par ransomware
Un risque informatique pour les entreprises Francaises:
Depuis le début de l’année scolaire, les assaillants n’ont pas désarmé et l’épidémie de rançon commence à se manifester. Le Cigref, organisation qui regroupe un réseau de grandes entreprises et administrations françaises sur le thème du numérique, indique avoir adressé une lettre au Premier ministre l’avertissant de «l’augmentation du nombre et de l’intensité des cyberattaques» et de l’impact de cette situation sur l’économie française.
« Les pertes d’exploitation des centaines d’entreprises, grandes et petites, qui ont subi une cyberattaque ne sont plus anecdotiques, comme le montre trop souvent l’actualité », a déclaré Cigref dans son communiqué de presse. L’organisation reconnaît les efforts déjà consentis par l’Etat à travers Anssi, mais note «l’insuffisance des réponses de la communauté internationale et des Etats face à la réalité d’une menace qui se déploie à l’échelle mondiale.» Le Cigref saisit également l’occasion pour pour pointer du doigt les fournisseurs de systèmes numériques dont les pratiques sont jugées inadéquates: le Cigref appelle à une régulation de ces acteurs pour améliorer la sécurité globale des entreprises utilisant ces outils.
Covid + ransomware = pas bon!
Le contexte est en effet délicat pour les entreprises déjà touchées par la crise sanitaire et les mesures d’endiguement mises en place par le gouvernement. Mais la période a également été marquée par une vague d’attaques de ransomwares qui a frappé les entreprises françaises. Nous avions publié des retours de Paris Habitat, mais de nombreuses autres victimes d’attaques de ransomwares ont été touchées ces dernières semaines.
On peut citer le quotidien Paris Normandie, la société de services informatiques Umanis, Scutum ou encore Siplec. Il y en a beaucoup d’autres dont les attaques ont été revendiquées par des groupes de cybercriminalité mais non confirmées par les victimes. Et on ne parle que des victimes qui ont été déclarées depuis début novembre, mais beaucoup passent sous le radar et ne communiquent pas et espèrent que les assaillants ne communiquent pas non plus (ce qui est loin d’être évident).
Outre les entreprises, de nombreuses administrations et collectivités locales sont également touchées: les chambres d’agriculture du Centre-Val de Loire et de la Nouvelle-Aquitaine ont ainsi porté le poids de ces attaques, ainsi que Vincennes ou la ville de Bondy, qui rapporte avoir été touchée deux fois de suite. une attaque informatique en dix jours. Une nouvelle typologie des victimes préoccupe particulièrement Anssi, qui publie désormais un guide de sécurité pour les communes et envisage de profiter du plan de relance pour lancer un plan de sécurisation des systèmes informatiques des collectivités locales.
La tendance à la hausse des cyberattaques est observée depuis plusieurs mois maintenant: leMagIt avait réalisé un premier recensement des cyberattaques en septembre, laissant supposer avoir identifié des dizaines de victimes en France et plus de 700 dans le monde. . Cigref n’est donc pas déplacé pour rien: la facture (ou rançon) de l’économie française peut s’avérer salée.
La firme Paris Habitat confirme avoir été touchée par des ransomwares, ce qui a conduit à la paralysie de ses services pendant plusieurs jours. Cependant, Paris Habitat a refusé de payer la rançon et a reconstruit son système sur la base de sauvegardes.
Après près de trois semaines de silence radio, Paris Habitat fournit des détails sur la cyberattaque qui a paralysé ses services. Comme l’ont mentionné MagIT et plusieurs sources internes, c’est en fait un ransomware qui a affecté les services informatiques du bailleur social parisien. «L’attaque a eu lieu dans la soirée du 27 octobre et a été détectée par nos systèmes informatiques le 28 au matin», explique Marie Godard, directrice adjointe de Paris Habitat. «On pense que le vecteur d’intrusion est une attaque de phishing, mais notre enquête n’est pas encore terminée. Cependant, le groupe derrière l’attaque a été identifié comme étant Sodinokibi. «
Il y a donc eu une demande de rançon, mais Marie Godard explique que « la question ne s’est pas posée. On s’est rendu compte que nous avions des sauvegardes audio remontant au mardi 27 octobre, ce qui nous a évité d’avoir à envisager de payer une rançon. » Paris Habitat garantit qu’il n’y a pas eu de perte ou de vol de données. Quinze jours après la première attaque, Sodinokibi n’a en fait publié aucune donnée sur son site Internet Paris Habitat, suggérant que les données des utilisateurs n’ont pas été effectivement volées.
Pour limiter l’attaque, la direction a choisi d’arrêter tout son système informatique mercredi avant de redémarrer progressivement les systèmes à partir de vendredi. « Nous avons immédiatement alerté nos partenaires directs de la situation », a déclaré le directeur adjoint. Paris Habitat héberge en effet un data center à Paris, qui héberge également AP-HP et Eau de Paris. Mais «la partition entre les différents SI a permis de limiter le risque de reproduction», assure Marie Godard.
En reconstruction
La continuité du service a été assurée en s’appuyant sur le réseau de gardiens d’immeubles de Paris Habitat: le site internet sur place a ainsi référé les locataires à leur concierge ou à un numéro de téléphone unique permettant l’Information. Un site Internet du personnel a également été mis en place pour leur fournir des informations sur le redémarrage des systèmes et les mesures à mettre en œuvre pour le confinement. Lorsque l’attaque a été déclarée quelques jours avant l’annonce du confinement, il valait mieux tuer deux oiseaux d’une pierre. «Le problème maintenant est de récupérer en s’assurant que tout est fiable», a déclaré le directeur adjoint, qui a déclaré que le groupe travaillait avec Frame IP pour remettre les systèmes en marche.
«Nous devons nous assurer que toutes les données sont fiables et que les machines des employés le sont également. Au total, donc, plus de 1 500 ordinateurs portables doivent être ciblés pour s’assurer qu’ils ne sont pas compromis. Selon le directeur adjoint, il y a déjà eu plus de 1 200 unités. Elle explique que les services sont progressivement redémarrés, puisque le site doit être de nouveau en ligne « avant la fin de la semaine ». Le groupe a déposé une plainte et BEFTI et OCLCTIC sont chargés de l’enquête. Un rapport a également été fait à la CNIL. Paris Habitat explique également avoir prévenu Anssi de l’attaque.
Sodinokibi ou Revil fait référence à un groupe de cybercriminalité particulièrement actif, spécialisé dans les attaques de ransomwares. Apparu en avril 2019, ce ransowmare fonctionne sur le modèle de RaaS (Ransomware as a Service), ce qui signifie qu’il loue ses malwares à des groupes tiers, «affiliés», responsables de la réalisation des attaques, alors que les créateurs du malware sont normaux responsable de la négociation et de la récupération de la rançon puis de la redistribution des gains. Revil est un groupe connu pour télécharger et revendre les données qu’il vole à ses victimes via un site dédié. Mais jusqu’à présent, le groupe n’a pas revendiqué la responsabilité de l’attaque ou téléchargé des données appartenant à Paris Habitat.
La cyberattaque contre Capcom était en fait une cyberattaque par ransomware combinée à un vol des données. Les données de centaines de milliers de personnes sont compromises.
Plus tôt ce mois-ci, l’éditeur de jeux vidéo japonais Capcom – surtout connu pour ses franchises Street Fighter et Resident Evil – a déclaré avoir été victime d’une cyberattaque avec un piratage de son système d’information.
Les communications de Capcom étaient censées être assez rassurantes, tandis que des rapports commençaient simultanément à circuler sur une cyberattaque de ransomware (Ragnar Locker) et un filtrage de données à partir de réseaux au Japon, aux États-Unis et au Canada.
Plus tôt cette semaine, Capcom a fait une nouvelle communication. L’éditeur confirme avoir été victime d’une cyberattaque par ransomware et ajoute que des données personnelles ont été compromises.
Capcom a pu vérifier que les informations personnelles de neuf employés (anciens et actuels) étaient compromises, ainsi que les informations financières et les rapports de vente. Dans une section de données potentiellement compromise, Capcom classe les cas pour près de 350 000 personnes.
Dans ce cas, il s’agit de clients, de partenaires commerciaux, d’actionnaires ou même d’anciens salariés. Essentiellement au Japon et en Amérique du Nord, ce sont principalement des noms, des adresses électroniques et postales, des numéros de téléphone, des dates de naissance et même des photos.
Toujours dans le registre des données potentiellement compromises, Capcom ajoute que près de 14 000 personnes sont associées aux ressources humaines ainsi qu’à tout un ensemble de documents internes confidentiels.
Une combinaison de ransomware et de vol des données Rappelons que Capcom avait initialement précisé qu’il n’y avait actuellement aucune indication d’un compromis sur les données clients. Le discours a considérablement changé. En revanche, Capcom – qui s’excuse – évite le risque de compromis avec les données bancaires ou de paiement. Tout simplement parce que Capcom ne stocke pas ces informations en interne.
Capcom travaille avec les forces de l’ordre au Japon et aux États-Unis. Les attaquants derrière le ransomware Ragnar Locker avaient en fait adressé une demande de rançon à Capcom pour le retour de données volées et la fourniture d’un outil de décryptage.
L’enquête sur l’incident de sécurité et les données exfiltrées a été entravée par le cryptage des données sur les serveurs et la suppression des journaux d’accès lors de la cyberattaque. Capcom a visiblement décidé de ne pas céder au chantage des attaquants. Ce n’est pas toujours le cas. En retour, les données exfiltrées sont mises en ligne.
Le fabricant de jouets a été victime d’une attaque de ransomware l’été dernier. L’attaque a été rapidement interrompue et n’a eu aucun impact significatif sur l’entreprise.
Mattel a contenu l’attaque d’un ransomware
Le fabricant de jouets américain Mattel a révélé mercredi qu’il avait subi une attaque de ransomware qui paralysait certaines fonctions commerciales. Néanmoins, la société affirme s’être remise de l’attaque sans pertes financières importantes.
Mattel a contenu l’attaque
L’incident a eu lieu le 28 juillet, selon un formulaire trimestriel 10-Q, que la société a déposé plus tôt dans la journée auprès de la Securities and Exchange Commission des États-Unis.
Mattel a déclaré que l’attaque par ransomware avait initialement réussi et chiffré certains de ses systèmes.
«Après la découverte de l’attaque, Mattel a commencé à mettre en œuvre ses protocoles de réponse et à prendre une série d’actions pour arrêter l’attaque et restaurer les systèmes affectés. Mattel a contenu l’attaque et, bien que certaines fonctions commerciales aient été temporairement affectées, Mattel a rétabli les opérations », explique la société.
Aucun impact sérieux
Depuis plus d’un an, les gangs de ransomwares volent des données et se lancent dans un double stratagème d’extorsion qui menace de publier les données de l’entreprise piratée sur des sites Web publics appelés «sites de fuite» à moins que les victimes ne paient la rançon souhaitée.
Cependant, le fabricant de jouets explique qu’une enquête ultérieure a conclu que le gang de ransomwares derrière le cambriolage de juillet n’avait volé « aucune donnée commerciale sensible ou des données sur les clients, fournisseurs, consommateurs ou employés ». .
Dans l’ensemble, Mattel semble avoir échappé à l’incident avec seulement un bref temps d’arrêt et sans aucune blessure grave, ce qui est rarement suffisant pour être stressé. De nombreux exemples montrent des pertes financières de plusieurs dizaines de milliers de millions de dollars, comme c’est le cas avec Cognizant ou Norsk Hydro. Mattel souligne que l’attaque du ransomware a légèrement « eu aucun impact significatif sur ses opérations ou sa situation financière. »
Le producteur d’alcool Campari a été victime d’une attaque de ransomware début novembre. La veille de la date limite de la rançon, les hackers à l’origine de l’attaque ont payé une campagne publicitaire pour discréditer les communications de leurs victimes.
Les cybercriminels achètent des publicités Facebook pour Campari
C’est un spectacle désastreux: les gangs derrière les ransomwares innovent à un rythme alarmant dans leurs façons de faire pression sur leurs victimes, toujours plus nombreuses. Le dernier en date: le producteur d’alcool italien Campari, créateur de l’alcool éponyme et entre autres du Grand Marnier. L’entreprise a communiqué le 3 novembre 2020 à propos d’une cyberattaque qui a paralysé une partie de ses services. On dit qu’il est sorti le 1er novembre, et le groupe affirme avoir « rapidement identifié le virus » et ainsi empêché sa propagation sur tout son réseau informatique. ZDNet a précisé quelques jours plus tard que Campari était affecté par le ransomware Ragna Locker.
Des organisations criminelles auraient volé 2 téraoctets de données sensibles (fichiers bancaires, informations sur les employés, clauses de confidentialité, etc.) avant de crypter tous les systèmes contaminés. Elle a ensuite demandé une rançon de 15 millions de dollars à sa victime en échange de la clé de décryptage et de la promesse de ne pas transmettre les données volées autrement qu’en supprimant sa propre copie. Ironiquement, le prix comprend également un rapport de pénétration sur les réseaux informatiques, où les criminels décrivent leurs faiblesses ainsi que des recommandations d’amélioration!
Ragnar Locker a donné à sa victime jusqu’au 10 novembre pour organiser le paiement, sinon il publierait progressivement les données gratuitement sur leur site dédié, disponible via le réseau anonyme Tor. La société n’a pas communiqué depuis sur les éventuelles négociations. Mais avant la date limite, les rançons ont porté un coup particulièrement bas qu’aucun autre gang ne s’était jusqu’ici permis: ils ont lancé une campagne publicitaire sur Facebook pour tenter de discréditer les défenses de leurs victimes. .
LES PIRATES UTILISENT UN COMPTE HACKED POUR PROUVER UN AUTRE HACKING
Le journaliste Brian Krebs était très intéressé par la campagne publicitaire, payée par Hodson Even Entertainment, propriété du DJ de Chicago Chris Hodson. Contacté par le journaliste, l’Américain a expliqué que son compte avait été piraté et que les hackers avaient prévu un versement de 500 dollars – avec son argent – pour lancer la campagne.
Dans la campagne publicitaire intitulée « Faille de sécurité dans le réseau du groupe Campari », Ragnar Locker cite l’un des communiqués de presse de ses victimes. La société a expliqué: « Pour le moment, nous ne pouvons pas totalement exclure que certaines informations personnelles et professionnelles aient été volées. » Les criminels écrivent qu’il s’agit d’un « énorme mensonge » et qu’ils « confirment que des données confidentielles ont été volées ». « Nous parlons d’une énorme quantité de données », ajoutent-ils.
LA CAMPAGNE PUBLICITAIRE S’EST ARRÊTÉE
Heureusement pour Hodson et Campari, Facebook a apparemment découvert le caractère malveillant de la campagne. Hodson a donc pu récupérer son compte et accéder à quelques statistiques: 7 150 utilisateurs de Facebook ont vu l’annonce et 10% d’entre eux ont cliqué dessus. Le réseau social a collecté 35 $ pour le lancement de la campagne, mais l’a terminé avant un autre paiement de 159 $.
Brian Krebs dit qu’il n’a pas décidé si le gang a lancé la campagne à partir du seul compte d’Hudson ou à partir de plusieurs comptes piratés. Facebook a ouvert une enquête sur l’affaire.
Les opérateurs de ransomwares utilisent des techniques de plus en plus invasives pour faire pression sur leurs victimes, et on se demande où ils veulent s’arrêter. Ce mois-ci, nous vous avons parlé d’Egregor, qui avait imprimé une rançon imprimée par les imprimantes des victimes, d’autres centres d’appels payants pour contacter les partenaires de leurs victimes par téléphone, menaçant presque tous de publier les données. LIEN
