Catégories
Attaque prix Ransomware Sécurité Technologie

MMA, CPM et les ransomwares

Depuis des semaines, je mets en garde contre le danger des ransomwares. Parce que les voyous opposés sont organisés, très organisés. Le nombre de cas «confirmés» a été multiplié par sept entre le 18 juin 2020 et le 18 juillet 2020. Parmi les blessés récents figurent la compagnie d’assurance MMA et la société multiservices CPM International France.

Un autre correctif! le slogan devient fatigant car les cas se multiplient trop. Selon mes conclusions, les cyberattaques (connues) ont été multipliées par sept entre le 18 juin 2020 et le 18 juillet 2020. Parmi les victimes francophones les plus récentes figurait une filiale de l’opérateur Orange et de la compagnie d’assurance MMA.

Des centaines de clients touchés!
Le deuxième objectif est CPM International. Selon les informations que j’ai pu recueillir, c’est le groupe NetWalker qui s’est infiltré dans la filiale France Omniservices / Omnicom. Cette société agit comme un centre de services partagés pour les fonctions de support (ressources humaines, finance et informatique). Netwalker a donné à l’entreprise neuf jours pour payer le double de la rançon: déchiffrer et / ou ne pas diffuser les documents volés lors de l’infiltration de l’entreprise.

Et le problème est énorme. Netwalker cache les fichiers volés, même avant le paiement de la rançon. Comme leur système est automatisé, le mot de passe pour accéder aux fichiers s’affiche à la fin du compte à rebours. Cela signifie que les informations sont déjà disponibles en ligne pour ceux qui ont le lien et le mot de passe pour accéder aux fichiers!

Dans ce dernier cas, le siège social du Mans ainsi que des agences ont été touchés.LIEN

Catégories
Attaque Nefilim Orange Ransomware Sécurité

Orange Business Services victime d’un ransomware

20 sociétés sont concernées, dont l’avionneur français ATR.

Malgré sa réputation d’entreprise de cybersécurité solide, Orange a subi une cyberattaque majeure dans la division Orange Business Services. Selon les allégations de pirates appartenant au groupe Nefilim, plusieurs clients commerciaux auraient été touchés lors d’une attaque subie le week-end du 4 juillet.

Orange Business Services victime d’un ransomware

350 Mo de données volées à Orange Business Services
Après le fameux WannaCry et la récente attaque contre l’Université de Rouen, c’est au tour d’Orange Business Services d’être victime d’une rançon. Plus de 350 Mo de données ont été volés lors de cette cyberattaque qui a eu lieu au début du mois. Il s’agit du département dédié aux entreprises directement ciblées par les hackers. Le groupe de hackers connu sous le nom de Nefilim a dévoilé son butin sur son site Web pour revendiquer l’attaque et prouver qu’Orange n’est pas invincible. La division Orange Business Services a reconnu les faits. Un ransomware de type cryptovirus a effectivement eu lieu.

Selon la société française, l’impact de cette cyberattaque serait encore limité. Les pirates ont pu voler « uniquement » les données hébergées sur une plate-forme appelée Neocles, qui est en cours de fermeture. Tous les clients concernés par ce vol de données ont apparemment été prévenus par Orange dans le processus. Les pirates ont réussi à voler des e-mails et des cartes de vol. Une vingtaine d’entreprises ont été touchées par l’attaque. L’avionneur français ATR, filiale d’Airbus, aurait été touché. Les cartes de vol volées proviennent de son domicile.

Une cyberattaque difficile à contrer
En mars dernier, une étude a montré que la majorité des ransomwares ont lieu en dehors des heures de travail, les soirs ou les week-ends. Cette cyberattaque confirme pleinement l’enquête FireEye. Pour être précis, 76% du ciblage des ransomwares se fait en dehors des heures d’ouverture. Quand ils sont les plus vulnérables. L’attaque dont Orange Business Services a été victime a eu lieu un samedi soir … Pendant ces fenêtres horaires, personne ne peut réagir immédiatement et fermer le réseau. Le processus de rançongiciel sera donc plus susceptible de réussir.

Nefilim est un collectif de jeunes hackers. Le groupe est apparu il y a seulement quelques mois et a déclaré qu’il n’attaquerait pas les hôpitaux, les écoles ou les gouvernements. Le Centre d’attaque et de réponse informatique de Nouvelle-Zélande a déjà révélé les méthodes que ce groupe a utilisées pour atteindre ses objectifs.

SOURCE:

Ransomware: Orange Business Services victime de son audace?
Mi-juillet, l’opérateur français a été victime du ransomware Nefilim, qui a attaqué son offre «pack informatique». Une offre de poste de travail en mode service (DaaS), initialement lancée en 2008 puis mise à jour en 2011.

Catégories
Attaque informatique Ransomware

Un ransomware s’est attaquer au département d’Eure-et-Loir!

Il semble que toute l’infrastructure du département qui bénéficie des services de connectivité d’Adista a été coupée après la cyberattaque du premier week-end de juillet. Il comprenait des serveurs de messagerie et un VPN Pulse Secure.

Un ransomware s’est attaquer au département d’Eure-et-Loir!

Le département d’Eure-et-Loir s’est déclaré victime d’une cyberattaque de ransomwares qui a eu lieu au cours du week-end du 4 juillet. Sur son site Internet et son compte Twitter, il déclare depuis le 7 juillet que « tous les systèmes d’information du conseil de section sont en panne ». Et pour garantir qu ‘«aucun vol de données n’a été signalé jusqu’à présent».

Le département déclare avoir déposé une plainte pour dommages aux systèmes automatisés de traitement des données et fait appel à un tiers spécialisé dans les « problèmes de cybercriminalité » tout en travaillant « en étroite collaboration avec l’Agence nationale pour la sécurité des systèmes d’information (Anssi) ».

La Communauté s’assure également qu’elle dispose de «sauvegardes hors réseau régulières» qui peuvent être «réinjectées après vérification de leur état» et une fois prouvées «identifiées et traitées». En pratique, cela peut prendre un certain temps.LIEN

Catégories
informatique Ransomware Sécurité

Des clients professionnels Orange victime d’un ransomware

Orange regrette le potentiel d’accès indésirable aux données d’une vingtaine de clients professionnels. Il s’agit du ransomware Nefilim.
Orange a donc décidé de se déclarer victime de ransomware.

Selon toute vraisemblance, ce correctif est Nefilim. Ses premières traces remontent à fin février. C’est un dérivé de JSWorm, lancé début 2019 et renommé depuis Nemty.

Le groupe télécom indique que l’attaque a affecté son département Orange Business Services dans la nuit du 4 au 5 juillet. Il aurait révélé les données d’une vingtaine de clients de l’offre « pack informatique ». Composé de « postes de travail virtualisés pour PME » basés sur les technologies Microsoft.

En chiffres absolus, la communication ne mentionne pas Nefilim – juste un « cryptovirus ». Mais il ne fait aucun doute que l’on considère la liste officielle des victimes (disponible sur un site du réseau Tor). Les opérateurs de ransomware ont ajouté Orange le 15 juillet. Et en parallèle avec une archive de 339 Mo, qui contient entre autres des fichiers du constructeur aéronautique ATR Aircraft.

Nefilim, vraisemblablement distribué sur des connexions RDP mal sécurisées, utilise le chiffrement d’enveloppe. Il crypte les fichiers avec une clé AES-128, même cryptée avec une clé RSA-2048 intégrée au code du ransomware.
Deux éléments principaux le distinguent de Nemty. D’une part, le paiement s’effectue par e-mail et non via un portail Tor. En revanche, il n’a jamais été commercialisé selon le modèle « as a service » (c’est-à-dire ouvert au public).LIEN

Catégories
Technologie

Une solution gratuit pour les victimes du rançongiciel Thief Quest

Les victimes du rançongiciel ThiefQuest (anciennement appelé EvilQuest) peuvent désormais récupérer gratuitement leurs fichiers cryptés sans avoir à payer la rançon.

Une solution gratuit pour les victimes du rançongiciel Thief Quest

La société de cybersécurité SentinelOne a publié aujourd’hui une application de décryptage gratuite qui peut aider les victimes du rançongiciel ThiefQuest à récupérer leurs fichiers verrouillés. Le rançongiciel ThiefQuest – initialement nommé EvilQuest – ne cible que les utilisateurs Mac.

La classification de ThiefQuest en tant que souche de ransomware n’est pas évidente. Il s’agit en fait d’un ensemble de code malveillant, y compris des modules de frappe, l’installation d’un shell inversé pour accéder aux hôtes infectés via une porte dérobée, le vol de données monétaires et enfin le cryptage des fichiers (la partie « ransomware » elle-même).

Les chercheurs en sécurité ont vu ce malware apparaître dans la nature pendant plus d’un mois. Ils sont généralement cachés dans des logiciels piratés partagés par des torrents ou sur des forums en ligne.LIEN

Catégories
Attaque Etude informatique Ransomware Sécurité

Ransomware: les entreprises européennes sont-elles prêtes?

Malgré l’augmentation du nombre d’attaques pendant l’enceinte de confinement, un sur cinq admet qu’il n’a pas pu accéder à une sauvegarde de ses données en cas de besoin

Ransomware: les entreprises européennes sont-elles prêtes?

Ontrack, leader mondial des services de récupération de données, dévoile les résultats d’une enquête européenne sur les ransomwares. Quatre entreprises sur dix (39%) n’ont pas de plan d’urgence contre les ransomwares ou ne savent pas s’il en existe un. Et cela malgré un nombre sans précédent de ransomwares enregistrés au cours des 12 derniers mois1.

Les cyberattaques et les violations de données peuvent avoir de graves conséquences pour les entreprises en termes de temps d’arrêt, de dommages financiers et de réputation de l’entreprise. Les attaques de ransomwares visant à chiffrer les données d’une victime et à réclamer des frais pour les récupérer continuent d’être fréquentes. Malheureusement, les blessures peuvent être graves et généralisées. La plus grande attaque à ce jour – WannaCry – aurait touché plus de 200 000 ordinateurs dans 150 pays différents. Les ransomwares sont courants aujourd’hui et ont été exacerbés par la tendance actuelle du travail à domicile.

Un sur cinq (21%) a déclaré avoir été victime d’une attaque de ransomware et plus d’un quart (26%) a reconnu ne pas avoir pu accéder à une sauvegarde de son ordinateur après l’attaque. . Même lorsque les entreprises pouvaient accéder à une sauvegarde fonctionnelle, 22% d’entre elles ne pouvaient récupérer qu’une partie ou la totalité des données.

Dans la plupart des pays, les employés ont travaillé pendant quelques mois avec des paramètres complètement différents, où les nouveaux risques de sécurité sont élevés et où les cybercriminels trouvent de nouvelles façons d’exploiter les faiblesses qu’ils peuvent trouver.

« Nous avons constaté une augmentation significative du nombre de cas de ransomwares depuis le début du confinement », a déclaré Philip Bridge, président d’Ontrack, LLC. «Malheureusement, nous sommes à un moment où l’augmentation des distractions à la maison a conduit à une plus grande complaisance du personnel. Par exemple, en cliquant sur des liens infectés par des ransomwares, ils ne cliqueraient pas s’ils étaient au bureau. « 

Bien que les avantages soient nombreux, le travail à distance observé pendant le confinement peut rendre le réseau et les systèmes informatiques d’une entreprise vulnérables. Il ajoute un grand nombre de points de terminaison aux entreprises où il n’y en avait pas auparavant. De plus, nombre d’entre eux sont considérés comme des « Shadow IT » (systèmes / solutions informatiques utilisés par un (des) employé (s), non autorisés ou pris en charge par l’organisation informatique de l’entreprise) et ne sont pas validés par l’employeur.

« La menace des ransomwares n’a jamais été aussi grande. Le fait que 39% des répondants à notre enquête disposent d’un plan d’urgence pour les attaques de ransomwares est inquiétant. Ils jouent avec leurs données et leurs clients. Il est impératif de s’assurer que les entreprises a mis en place des processus et des procédures pour atténuer l’impact de toute cyberattaque et protéger les données sensibles « , a ajouté M. Bridge.

Dans le cadre de cette étude, Ontrack a interrogé 484 entreprises en France, en Allemagne, en Italie, en Espagne, au Royaume-Uni et aux États-Unis.

Catégories
informatique Ransomware Sécurité

Windows 10, 7 et 8.1: méfiez-vous de ce ransomware qui se propage dans les raccourcis et les clés USB!

Une nouvelle solution appelée Try2Cry a été récemment découverte par un chercheur en sécurité informatique. Il distingue la propagation à d’autres PC en infectant les clés USB et en utilisant des raccourcis Windows (fichiers LNK).

Windows 10, 7 et 8.1: méfiez-vous de ce ransomware qui se propage dans les raccourcis et les clés USB!

Une nouvelle solution appelée Try2Cry a récemment été mise en lumière par le chercheur en sécurité informatique Karsten Hahn, analyste de l’éditeur d’antivirus G Data Software. Selon ses informations, ce ransomware tente de se frayer un chemin vers d’autres PC en infectant les clés USB connectées à l’appareil actuellement attaqué.

Après avoir infecté un périphérique, Try2Cry s’assure de crypter les fichiers .doc, .jpg, .xls, .pdf, .docx, .pptx, .xls et .xlsx, puis ajoute une extension .Try2cry à tous les fichiers concernés. Les données sont cryptées à l’aide de Rijndael, un algorithme de cryptage symétrique utilisé par la norme AES. Mais comme mentionné ci-dessus, la caractéristique la plus étonnante de ce ransomware est sa capacité à se propager via des clés USB.LIEN

Catégories
Apple Attaque EvilQuest Mac MacOS Ransomware Sécurité ThiefQuest

Un ransomware cible les Mac, faites attention aux logiciels piratés!

Les logiciels malveillants sont cachés dans les logiciels piratés disponibles sur les forums ou les sites Torrent, tels que le pare-feu Little Snitch ou le logiciel DJ Mixed In Key.

Un ransomware cible les Mac, faites attention aux logiciels piratés!

L’installation de logiciels piratés est toujours une mauvaise idée car c’est souvent un moyen d’attraper les logiciels malveillants. Le dernier exemple est « EvilQuest » alias « ThiefQuest ». Ce nouveau ransomware cible les systèmes macOS et est caché dans de vrais logiciels comme le pare-feu Little Snitch ou le logiciel DJ Mixed In Key. Ces chevaux de Troie sont situés dans des forums de piratage et des sites Torrent.

Les logiciels malveillants sont assez bien faits. Bien sûr, macOS avertira immédiatement l’utilisateur que le progiciel n’est pas signé, mais qu’il ne découragera pas nécessairement les pirates. Lors de l’installation, il demande des privilèges d’administrateur, ce qui est déjà plus inhabituel et devrait mettre l’oreille à l’oreille. Une fois le code malveillant exécuté, détectez la présence d’antivirus et terminez leur processus. Dépannage informatique Hyères. Il crée un lancement automatique au niveau du système pour la persistance. Ensuite, il commence à crypter les fichiers.

D’autres fonctionnalités ont également été découvertes par les chercheurs en sécurité, telles que l’enregistrement des frappes, l’enregistrement des portefeuilles Bitcoin ou la création d’une porte dérobée. Un menu, dans l’ensemble assez complet, qui fait regretter à la victime d’avoir voulu économiser quelques euros. À cette occasion, les chercheurs se souviennent que vous devez toujours sauvegarder vos données et même deux de préférence.LIEN

Catégories
Attaque Ekans Etude Hakbit hyères informatique maze Ransomware Sécurité Shade

Examiner l’anatomie des attaques de ransomwares.

Une étude décrit l’anatomie d’une attaque d’un ransomware, de l’infection à la demande de rançon. Un exemple à retenir pour les DSI.

Les chercheurs en sécurité ont révélé l’anatomie d’une attaque de rançongiciel pour illustrer comment les cybercriminels ont accédé à un réseau pour installer un rançongiciel, le tout en seulement deux mois. Des chercheurs de la firme de sécurité technologique Sentinel One ont enquêté sur un serveur utilisé par des cybercriminels en octobre 2019 pour transformer un petit trou de sécurité dans un réseau d’entreprise en une attaque basée sur le ransomware Ryuk.

Selon cette précieuse étude, le réseau a été initialement infecté par le malware Trickbot. Après que des logiciels malveillants aient traversé le réseau, les pirates ont commencé à analyser la zone pour savoir à quoi ils avaient accès et comment en tirer parti. « Au fil du temps, ils creusent le réseau et essaient de le cartographier et de comprendre à quoi il ressemble. Ils ont un but et leur but est de monétiser les données, le réseau pour leur gain illégal », a déclaré Joshua Platt, un Sentinel Un chercheur, interviewé par ZDNet.

« Ils comprennent déjà qu’il existe un potentiel pour gagner de l’argent et cherchent à étendre cet effet de levier », explique le chercheur en détaillant leurs motivations. Une fois que les pirates ont décidé d’exploiter la brèche dans le réseau, ils utilisent des outils tels que PowerTrick et Cobalt Strike pour sécuriser leur emprise sur le réseau et l’explorer davantage, à la recherche de ports ouverts et d’autres appareils auxquels ils pourraient accéder.

Un ransomware particulièrement virulent
Ce n’est qu’à ce moment-là qu’ils décident de passer à la phase des besoins de solution. Selon Sentinel One, il a fallu environ deux semaines pour passer de la première infection TrickBot au profilage réseau, puis aux attaques de logiciels malveillants Ryuk. « Sur la base de l’horodatage, nous pouvons deviner l’attente de deux semaines », explique la société. Pour rappel, Ryuk a été vu pour la première fois en août 2018 et était responsable de plusieurs attaques dans le monde, selon le communiqué du National Cybersecurity Center au Royaume-Uni l’année dernière.

Il s’agit d’un logiciel de rançon ciblé: la rançon est fixée en fonction de la capacité de paiement de la victime, et il peut s’écouler plusieurs jours voire plusieurs mois entre la première infection et l’activation de la rançon. ransomware car les pirates ont besoin de temps pour identifier les systèmes réseau les plus critiques. Mais le NCSC a déclaré que le retard donne également aux défenseurs une fenêtre d’opportunité pour empêcher les ransomwares de lancer l’attaque s’ils peuvent détecter la première infection.

Selon le FBI, Ryuk est un projet extrêmement lucratif pour ses promoteurs criminels, générant environ 61 millions de dollars de rançon entre février 2018 et octobre 2019. Le fait que Ryuk ait réussi à forcer les entreprises à payer une rançon signifie que les escrocs ont un coffre de guerre arrondi qu’ils peuvent affiner leurs attaques. « Bien sûr, cela va augmenter; ils ont maintenant plus d’argent et plus de capacité pour embaucher encore plus de talents », prévient Joshua Platt.LIEN

Catégories
Etude informatique Ransomware Sécurité

Ransomware: comment les pirates le font, et comment se protéger!

Les ransomwares peuvent filtrer une personne pour l’endettement ou faire couler une entreprise. Se protéger d’eux est un gros problème, d’autant plus que les cybercriminels développent des versions toujours plus virulentes et convaincantes de leurs outils.

«Les ransomwares représentent actuellement la menace informatique la plus grave pour les entreprises et les institutions. Cet avertissement vient de l’ANSSI, l’agence française à la pointe de la cybersécurité. Il faut dire que si les ransomwares (ou ransomwares en anglais) sont utilisés depuis plusieurs décennies pour extorquer quelques centaines d’euros aux particuliers, ils attaquent de plus en plus les grandes entreprises. En conséquence, les cinq principaux gangs concentrent l’attention des médias sur leurs principales opérations, mais le ransomware d’identification du site de référence présente plus de 800 ransomwares différents, dont la majorité sont des individus ciblés.

Lorsqu’ils contaminent avec succès un système, les cybercriminels ont besoin d’une rançon pour être restaurés. Il s’élève à plusieurs centaines d’euros pour les particuliers et peut dépasser dix millions d’euros pour les grands groupes.

Ces opérations sont rentables avec un bénéfice annuel estimé à 2 milliards de dollars. Sur la base de ce succès, les principaux gangs contrôlant les ransomwares sont désormais en mesure de « lancer des attaques avec un niveau de sophistication équivalent aux opérations d’espionnage informatique gérées par l’État », a expliqué l’ANSSI.LIEN