Lady Gaga, Madonna, Mariah Carey, Bruce Springsteen ou même les membres de U2 pourraient payer le prix d’une attaque de ransomware majeure contre un célèbre cabinet américain.
Le groupe de cybercriminels derrière le rançongiciel REvil / Sodinokibi a une nouvelle cible. Il s’agirait d’un célèbre cabinet d’avocats basé à New York. Il s’appelait Grubman Shire Meiselas & Sacks (GSMS) et il a été victime d’une tentative de chantage la semaine dernière après avoir été infecté par cette rançon.
Le 7 mai, les opérateurs REvil ont envoyé un message au personnel du GSMS sur un portail Web sombre menaçant l’entreprise de divulguer des fichiers sur ses clients, des fichiers que le gang REvil a volés du réseau interne de l’entreprise. avocats avant de crypter.
Les captures d’écran publiées sur le site suggéraient que des pirates avaient volé des documents relatifs à la clientèle de célébrités qui représente GSMS, parmi lesquels des célébrités telles que Lady Gaga, Madonna, Mariah Carey, Nicki Minaj, Bruce Springsteen, U2 ou le duo Outkast .
GSMS a confirmé l’incident et tenté d’extorsion lundi dans une déclaration au site Web de nouvelles de divertissement Variety. Les pirates ont donné à l’entreprise une semaine pour négocier et payer la rançon qui a expiré la nuit dernière lorsque les pirates ont publié un autre message sur leur site Web. Les cybercriminels ont déclaré que GSMS n’avait proposé de payer que 365 000 $ sur les 21 millions de dollars demandés. Conséquence: ce dernier a désormais doublé le besoin de solution à 42 millions de dollars.
Le spécialiste français du revêtement a été surpris par la sortie du ransomware à la mi-mars, juste après le lancement du confinement. Il semble déterminé à résister à la pression des opérateurs DoppelPaymer. LIEN
Sodinokibi rejoint la liste des ransomwares qui utilise le gestionnaire de redémarrage de Windows pour faciliter le chiffrement des fichiers.
Gestionnaire de redémarrage Windows, meilleur allié des ransomwares?
Nous avons vu des références comme SamSam et LockerGoga en faire usage.
Sodinokibi – également connu sous le nom de REvil – vient de rejoindre la liste.
En règle générale, l’administrateur du redémarrage supprime la nécessité de redémarrer Windows après l’installation ou la mise à jour d’une application.
Les installateurs peuvent l’utiliser pour signaler les fichiers qu’ils souhaitent remplacer. Windows peut alors s’assurer que ces fichiers sont «gratuits» en fermant temporairement toutes les applications ou services qui pourraient les avoir verrouillés.
Déverrouillez pour un meilleur cryptage
Sodinokibi utilise cet outil pour assurer un accès maximal aux fichiers à chiffrer.
Il met en œuvre une routine qui tente systématiquement de réserver ledit accès. Laisse appeler l’administrateur de redémarrage en cas de conflit avec la fonction RmStartSession.
Un autre appel, cette fois à la fonction RmRegisterResources, vous permet d’attacher des ressources (ici les noms des fichiers à déverrouiller) à la session en cours.
RmGetList récupère ensuite la liste des applications et / ou services qui utilisent ces fichiers.
Sodinokibi n’a alors plus qu’à terminer la session (RmEndSession) puis fermer ces éléments. Pour les processus, cela se fait avec TerminateProcess; pour les services avec ControlService puis DeleteService.
Étant donné que l’administrateur de redémarrage ne peut pas agir sur les processus critiques, ce statut est extrait à l’avance avec ZwSetInformationProcess.
LockerGaga a été découvert il y a environ un an et a la particularité d’accélérer le processus en démarrant un processus pour chaque fichier à chiffrer. SamSam, dont la première piste a été trouvée il y a quatre ans, a initialement exploité des vulnérabilités sur les serveurs JBoss. LIEN
Le ransomware reste la plus grande menaceinformatique pour les entreprises en 2020. Une étude de Sophos révèle que les victimes ne devraient jamais payer la rançon requise par les pirates, car cela doublerait presque le coût total de la rançon. La clé de chiffrement promise par les auteurs n’est jamais suffisante pour récupérer toutes les données chiffrées. LIEN
La société de services numériques s’est déclarée victime du rançongiciel Maze à la mi-avril. Aujourd’hui, elle déclare que cette cyberattaque a particulièrement affecté son organisation de devoirs en pleine pandémie. Et prédisez un impact financier entre 50 et 70 millions de dollars. LIEN
Les équipes de FireEyes Mandiant Division ont identifié trois profils d’attaque différents pour implémenter ce ransomware. Cela met en évidence l’importance de la prévention sur deux vecteurs d’attaque importants.
Pitney Bowes vient d’être ajouté à la liste des victimes du rançongiciel Maze. Ou au moins partiellement. Le transporteur assure que les cybercriminels n’ont pas chiffré les systèmes ou les données: « notre équipe et nos outils de sécurité ont identifié et arrêté les attaquants avant de pouvoir chiffrer les données ou les services ». Cependant, l’attaquant a eu le temps d’accéder à « un éventail limité de partages d’entreprises ». Pitney Bowes avait déjà été touché par Ryuk l’automne dernier. Certaines leçons semblent avoir été tirées de l’incident, mais probablement pas encore assez. LIEN
Une attaque qui n’est pas une conséquence du coronavirus
Les services américains indiquent que le Texas Department of Justice a été victime d’une rançon, a noté le personnel informatique de l’Office of Justice. L’État fédéral a indiqué dans un communiqué de presse que le piratage n’était pas lié à la tenue de certaines audiences en ligne, motivées par la très forte pandémie de coronavirus aux États-Unis.
Dès que le ransomware a été découvert, l’équipe informatique de l’État a mis hors ligne les sites Web et les serveurs de l’ensemble du réseau juridique pour éviter de causer d’autres dommages.
Alors qu’une enquête sur la violation est toujours en cours, les tribunaux du Texas affirment qu’aucune donnée sensible ou personnelle ne semble être compromise. Elle a déclaré avoir neutralisé la propagation des ransomwares et limité son impact. L’Etat a annoncé sa ferme intention de ne verser aucune rançon. LIEN
Les ransomwares sont dangereux parce que, dans de nombreux cas, la victime estime qu’elle n’a pas d’autre choix que de payer, en particulier lorsque l’alternative consiste à laisser toute l’organisation en faillite pendant des semaines, voire des mois, alors qu’elle tente de reconstruire le réseau à partir de zéro.
Mais payer une rançon pour les cybercriminels peut en fait doubler le coût de la récupération, selon l’analyse des chercheurs de Sophos publiée dans le nouveau rapport State of Ransomware 2020.
Une étude des organisations touchées par des attaques de ransomwares a révélé que le coût total moyen d’une attaque de ransomwares pour les organisations qui ont payé une rançon est de près de 1,4 million de dollars, tandis que pour celles qui n’en ont pas. fait une demande de rançon, le coût moyen est la moitié de celui-ci, estimé à 732 000 $. LIEN
Comme le suggère l’OCDE, la crise de Covid-19 est multidimensionnelle [1] car elle a des conséquences dramatiques dans de nombreux domaines: santé, bien sûr, mais aussi éducation, économie, marchés financiers, services publics et associations. Nos vies et nos communautés sont profondément ébranlées par cette pandémie qui révèle les lacunes de nombreuses organisations et systèmes en place. Les systèmes informatiques ne font pas exception: les réseaux d’entreprise tels que les ordinateurs personnels sont attaqués depuis des semaines avec une puissance, une précision et un volume sans précédent.
La ville de Lake City en Floride a payé une rançon d’env. 413000 €
Depuis le milieu des années 2000, les ransomwares sont l’un des piliers du paysage des cybermenaces. Ils sont utilisés pour tout cibler, des particuliers aux multinationales en passant par les PME. Ces dernières années, la popularité des ransomwares a semblé décliner alors que le monde commençait à prendre la cybersécurité plus au sérieux. En conséquence, les criminels se sont tournés vers des formes d’attaque nouvelles et plus sophistiquées, telles que le crypto-couplage. Mais alors que l’apogée des ransomwares semblait terminée, une récente résurgence les a fait grimper en haut de la liste des cybercrimes.
Réapparition du ransomware
En 2019, environ 184 millions de personnes ont été victimes d’attaques de rançongiciels, parmi les plus médiatisées ciblées par les gouvernements américains, tels que Lake City en Floride, Baltimore et Maryland. Alors qu’une grande partie de cette résurgence peut être attribuée à l’arrivée de nouvelles mutations de ransomware (Dharma, GandCrab et Ryuk étaient parmi les types de ransomware les plus actifs au cours du semestre de cette année), un autre facteur joue également un rôle clé: la croissance de cyber-assurance.
À première vue, il peut sembler étrange de suggérer qu’une police d’assurance cyber meilleure et plus complète puisse en fait conduire à une augmentation des attaques de ransomwares, mais un examen plus approfondi des faits semble suggérer. Pourquoi? Parce que dans de nombreux cas, il est beaucoup moins cher de payer la rançon que d’essayer de récupérer d’autres données perdues, ce qui coûte souvent des millions de dollars. Plus les victimes de ransomware utilisent les compagnies d’assurance pour payer une rançon, plus les criminels sont encouragés à lancer des attaques de ransomware.
La cyberassurance est une activité à grande échelle
Le marché mondial de la cyberassurance devrait passer d’env. 5,3 milliards de dollars Euro en primes payées aujourd’hui à 13 milliards de dollars Euro en 2022, selon RBC Capital Markets. La cyberassurance s’avère également beaucoup plus rentable pour les compagnies d’assurance que de nombreux autres domaines d’assurance. Selon un rapport de la firme de services professionnels basée à Londres, Aon, le taux de perte pour la cyber police américaine était d’environ. 35% en 2018, ce qui signifie que les assureurs ont payé environ 35 cents en compensation pour chaque dollar collecté. Cela peut être comparé à env. 62% de l’assurance non-vie, ce qui en fait un domaine de croissance que de nombreuses compagnies d’assurance recherchent activement.
Bien sûr, la résurgence de la menace des ransomwares a également renforcé d’autres domaines de l’industrie de la sécurité, tels que la récupération de données et la sauvegarde sécurisée dans le cloud. Même dans les ransomwares, les victimes ont de telles garanties dans de nombreux cas, cependant, elles choisissent toujours de payer l’attaquant par le biais d’une assurance. En fait, le temps nécessaire pour récupérer une sauvegarde cloud complète (qui peut prendre un mois ou plus) est toujours plus cher en cas de perte de revenu que de simplement payer la rançon. De même, pour les assureurs, il est moins cher de payer la rançon que de payer la facture pour récupérer soi-même les données.
Pour recontextualiser tout cela, l’administration de la ville de Lake City, en Floride, a payé une rançon d’environ 413 000 € plus tôt cette année via sa police d’assurance cyber. Le gouvernement lui-même n’a dû payer la franchise que 8 900 €. La compagnie d’assurance Beazley a payé le solde de la rançon. Il s’est avéré que cette décision a été prise suite à la recommandation de Beazley, car la récupération à long terme de la sauvegarde des données aurait presque certainement coûté des millions de dollars. Bien que l’attaque et sa décision finale aient fait la une des journaux nationaux aux États-Unis, elle a permis à l’administration municipale et à sa compagnie d’assurance de réaliser des économies importantes et a également permis aux municipalités de reprendre le travail beaucoup plus rapidement.
À l’inverse, l’administration de la ville de Baltimore, également affectée par une attaque de ransomware, n’avait pas de cyberassurance à l’époque. Au lieu de payer la rançon de 67000 €, l’administration a choisi d’essayer de récupérer les données elles-mêmes, qui ont jusqu’à présent coûté plus de 4,7 millions d’euros …
Un cercle diabolique Lorsque les chiffres sont exposés de cette manière, il est facile de comprendre pourquoi tant de victimes de ransomwares et de compagnies d’assurance choisissent de partir. Lien
