Armistice pour une bonne cause. C’est en quelque sorte le message commun envoyé par des groupes de hackers connus tels que Maze, DoppelPaymer, Ryuk, Sodinokibi / REvil, PwndLocker et Ako.
Ces groupes ont été contactés par le site Web Bleeping Computer et ont déclaré qu’ils ne cibleraient plus les établissements de santé et médicaux pendant l’épidémie de coronavirus. Cependant, ils se sont rendus compte en attaquant ces entreprises avec des ransomware, rançon qui consistait à bloquer des ordinateurs sur un réseau ou même à saisir des données et à accéder à ses propriétaires uniquement après avoir payé une rançon.
Hôpitaux non, sociétés pharmaceutiques oui
« Si nous le faisons par erreur, nous le débloquons gratuitement », disent les pirates, expliquant qu’il suffit de les contacter par e-mail et de fournir la preuve de leur déverrouillage. Mais cela ne signifie pas épargner l’industrie pharmaceutique, qui « gagne beaucoup d’argent en paniquant. Nous n’avons aucune envie de les soutenir. Pendant que les médecins agissent, ces gars s’enrichissent ».
Mardi, plusieurs sociétés comme Emsisoft et Coveware ont offert une assistance médicale gratuite pour se protéger des attaques informatiques pendant l’épidémie de Covid-19. L’hôpital de Brno en République tchèque a été la cible de ransomwares. Le département d’État américain a ainsi été victime d’une attaque DDoS dimanche dernier (grand nombre de connexions simultanées) et n’était pas disponible, empêchant les internautes de connaître des informations sur le coronavirus. LIEN
Cette application Android qui suit la propagation de l’épidémie de coronavirus dans le monde cache un ransomware dangereux. Nommée CovidLock, l’application verrouillera votre smartphone avant d’exiger une rançon en bitcoin.
CovidLock, une application pour le suivi de la pandémie de coronavirus Android, cache en fait un ransomware, rapporte Tarik Saleh, chercheur en sécuritéinformatique chez DomainTools. Heureusement, l’application n’est pas disponible sur le Google Play Store. CovidLock ne peut être téléchargé qu’à partir du site d’application du coronavirus. Depuis le début de la pandémie, les pirates utilisent des cartes de suivi en ligne pour propager des logiciels malveillants.
Ce malware déverrouille votre smartphone Android
Une fois le ransomware installé sur les smartphones des utilisateurs, l’appareil se verrouille rapidement. Notez que les logiciels malveillants ne peuvent être utilisés que sur les téléphones sans mot de passe. En fait, CovidLock vous définira un mot de passe pour vous empêcher d’accéder à votre terminal. Si vous avez enregistré un mot de passe sur votre smartphone, comme la plupart des utilisateurs, vous courez le risque. Pour des raisons de sécurité, nous vous invitons à sélectionner rapidement un mot de passe.
Une fois votre smartphone verrouillé, les pirates vous donnent 24 heures pour déposer 100 $ en bitcoin à une adresse BTC. En échange d’une rançon, ils s’engagent à ne pas supprimer vos données (photos, vidéos, …) et à ne pas publier de contenu privé sur les réseaux sociaux. Une fois la rançon reçue, les pirates s’engagent à fournir un code pour déverrouiller votre appareil. «Votre position GPS est surveillée et votre position est connue. Si vous essayez quelque chose de stupide, votre smartphone est automatiquement supprimé », menace le message d’avertissement affiché par les pirates.
Lire aussi: les pirates informatiques profitent de l’épidémie de coronavirus pour propager des logiciels malveillants dangereux
« Les cybercriminels aiment exploiter les utilisateurs d’Internet lorsqu’ils sont les plus vulnérables. Ils utilisent des événements dramatiques qui font peur aux gens pour faire des profits. Chaque fois qu’il y a de grands cycles de nouvelles sur un sujet qui provoque une forte réaction, les cybercriminels essaient de tirer « Nous vous invitons donc à faire preuve de prudence sur les sites non officiels liés à la pandémie. Nous vous recommandons également de ne jamais télécharger l’APK de sources inconnues. smartphone.
En 2019, les ransomwares ont connu une activité, tandis que les opérateurs mobiles ont fait tout leur possible pour accélérer la transformation des réseaux en 5G, et le RGPD était en place depuis un an. Des amendes record ont été infligées aux entreprises qui ont subi des violations de Big Data. Compte tenu de la plus grande demande de ransomware en tant que service sur les forums secrets et de l’anonymat sur le dark web, la vague de ces cybermenaces n’est pas une surprise.
Croissance accrue des ransomwares
Les attaques de ransomwares sont de plus en plus courantes car elles peuvent affecter des entreprises de toutes tailles. En fait, une petite quantité de données suffit pour relâcher une organisation entière, une ville ou même un pays. Les attaques contre les villes et les communautés se poursuivront dans le monde entier.
Les attaques de rançongiciels et d’autres logiciels malveillants modulaires ou à plusieurs niveaux deviennent la norme à mesure que cette technique d’évitement devient plus courante. Les attaques modulaires utilisent des chevaux de Troie et des virus pour lancer l’attaque avant de télécharger et de lancer une vraie rançon ou un logiciel malveillant. 70% des actions malveillantes reposent sur le chiffrement pour contourner les mesures de sécurité (attaques de logiciels malveillants chiffrés).
Dans ce contexte, il devient de plus en plus difficile de rassembler en interne les compétences essentielles en matière de sécurité. Par conséquent, les équipes de sécurité ne sont plus en mesure de garantir la sécurité de leurs politiques et d’utiliser pleinement leurs investissements en matière de sécurité.
Retard dans l’adoption de nouvelles normes de chiffrement
Alors que les réglementations TLS 1.3 ont été ratifiées par Internet Engineering Taskforce en août 2018, leur utilisation reste au mieux car moins de 10% des sites ont adopté TLS 1.3. TLS 1.2 reste à jour et se démarque donc comme la version TLS de référence dans la mesure où elle n’est pas encore compromise. Il prend en charge PFS, mais l’adoption de nouvelles normes est notoirement lente. À l’inverse, le cryptage ECC (Elliptical-curve cryptology) a un taux d’adoption de 80%, tandis que le cryptage plus ancien, en particulier RSA, disparaît.
Cryptage: choix de la raison
Le décryptage TLS sera répandu car le nombre d’attaques utilisant le cryptage pour les infections et les violations de données continue d’augmenter. Comme le déchiffrement mobilise beaucoup de ressources informatiques, la dégradation des performances du pare-feu dépassera 50% et la plupart des entreprises continueront de payer plus cher pour le déchiffrement SSL en raison du manque de compétences internes des équipes de sécurité. Pour compenser la perte de performances du pare-feu et le manque de personnel qualifié, il est impératif que les entreprises adoptent des solutions de déchiffrement dédiées, tandis que les pare-feu de nouvelle génération (NGFW) plus efficaces continuent d’affiner leurs capacités de déchiffrement matériel.
Les cyberattaques sont devenues la norme. Cela signifie que les entreprises, les gouvernements et les consommateurs doivent être constamment sur leurs gardes. En effet, la transition vers les réseaux mobiles 5G et la généralisation de l’IoT, tant pour les consommateurs que pour les entreprises, seront des facteurs cruciaux. Le risque de cyberattaques massives et généralisées a augmenté de façon exponentielle. Espérons que les organisations ainsi que les fournisseurs de services de sécurité se concentreront sur l’analyse des besoins de sécurité et sur l’investissement dans des solutions et des politiques qui leur donneront de meilleures chances de se défendre dans le contexte de cybermenaces constantes. évolution.
Les chercheurs en sécurité ont découvert des ransomwares capables de neutraliser un grand nombre de logiciels spécifiques aux systèmes d’information industriels. Du jamais vu sur la cybersphère.
2020 sera-t-elle l’année des ransomwares industriels? Jusqu’à présent, le ransomware, qui crypte les données de la victime et nécessite une rançon pour les décrypter, a principalement attaqué la couche informatique (technologies de l’information, système d’information d’entreprise). Leur nombre a plus que doublé en 2019 par rapport à 2018, amenant la cyber-communauté à parler des « années des ransomwares ».
Mais de nouveaux ransomwares font leur apparition, qui font désormais irruption dans l’atelier en attaquant les OT (technologies opérationnelles, le réseau industriel). Le serpent est l’un d’entre eux, particulièrement dérangeant. Le communiqué a été publié le 7 janvier sur Twitter par Vitali Kremez, membre de l’équipe Malware Hunter, chercheur en sécurité et employé du développeur américain de logiciels de cybersécurité SentinelOne, et Snake peut avoir un impact direct sur les opérations critiques dans les sites industriels. Une première!. Lien
Si les cybercriminels peuvent rester longtemps dans le système d’information de la victime, ils sont également susceptibles d’agir très rapidement.
Le scénario semble bon. L’Agence nationale pour la sécurité des systèmes d’information (Anssi) a expliqué l’an dernier à propos de LockerGoga: l’exécution de ransomwares « s’effectue sur plusieurs semaines (voire mois) après le compromis effectif de la cible. Une étude approfondie de la cible et de son infrastructure est donc très Probablement. »En bref, lorsque le ransomware a été déclenché, les attaquants ont eu amplement le temps de compromettre largement le système d’information. Lien
Logiciel de rançon Mespinoza
Le CERT-FR attire l’attention sur le rançongiciel Mespinoza, une variante utilisée contre les autorités locales françaises.
La grande région orientale et méridionale, victime de Mespinoza?
Le CERT-FR ne le dit pas, mais émet un avertissement à propos de cette rançon, impliquée dans des attaques « ciblant les autorités locales françaises » *.
Utilisé depuis au moins octobre 2018, Mespinoza produisait à l’origine des fichiers avec l’extension .locked.
Depuis décembre 2019, une nouvelle version a été documentée en open source. La production de fichiers .pysa semble être la base de ces attaques.
un exécutable (svchost.exe) accompagné de scripts batch;
une archive Python qui contient, entre autres, une variable qui vous permet de sélectionner l’extension des fichiers cryptés. Ensuite, des fichiers .newversion ont été découverts sur l’un des SI compromis.
Cryptage fort?
Jusqu’à présent, le vecteur d’infection n’est pas connu. Cependant, selon le CERT-FR, plusieurs événements auraient pu permettre un accès initial ou une latéralisation:
Tentatives de connexion Brute Force sur une console d’administration et des comptes Active Directory
Filtrage de la base de données de mots de passe
Connexions RDP illégales entre les contrôleurs de domaine
L’un des scripts .bat exécute un script PowerShell sur les ordinateurs du réseau. Parmi ses caractéristiques:
Arrêtez les services, en particulier l’antivirus (il peut même désinstaller Windows Defender)
Suppression de points de restauration et d’instantanés sur le cliché instantané
Le cryptage est basé sur les bibliothèques pyas et rsa. Aucune erreur n’y a encore été détectée, précise le CERT-FR. Et les algorithmes utilisés sont « avancés ». En d’autres termes, il est encore difficile de récupérer des données pour le moment.
Des attaques de ransomwares ont eu lieu ces dernières semaines au Grand Est (notamment à Charleville-Mézières) puis dans la Région Sud (Aix-Marseille). Lien
Le groupe Essilor, spécialisé dans l’optique, a été victime d’une attaque informatique qui a paralysé plusieurs de ses serveurs le samedi 21 mars. L’entreprise affirme que leurs équipes sont en train de redémarrer le système informatique.
Essilor rejoint le club des entreprises françaises victimes d’attaques de ransomwares. La société a été victime d’une attaque informatique samedi 21 mars, qui « a temporairement interrompu l’accès à certains serveurs et ordinateurs personnels », selon un porte-parole du groupe. « Les équipes informatiques d’Essilor ont immédiatement réagi – avec le soutien d’experts antivirus externes – pour empêcher la propagation de logiciels malveillants et protéger nos données et nos systèmes », indique le communiqué, citant une attaque qui exploitait « un nouveau type de virus ». Au travail.
Le groupe Essilor déclare que « les serveurs affectés ont été immédiatement isolés et que de nouveaux correctifs et pare-feu ont été installés » et qu’un redémarrage des systèmes est en cours, orchestré par les équipes informatiques d’Essilor, avec le soutien de sociétés antivirus externes.
L’information a été révélée pour la première fois par L’Express, qui a déclaré que l’attaquant avait utilisé un rançongiciel pour crypter les données de l’entreprise et perturber les systèmes. Les systèmes les plus importants concernés sont, selon L’Express, le système informatique interne et les logiciels de commande. Le magazine mentionne également une rançon que l’annonce du groupe refuse de commenter. Lien
Employés, Federal Protection ATM, Photo Detection Maze, Dopple, Sodinokobi, XXX … poursuivent leur activité de piratage avec l’extorsion numérique. De grandes entreprises telles que le DMC français, le fabricant de systèmes militaires et de santé Kim Chuck ou le gestionnaire du parking CivicSmart ont attaqué et sous extorsion de pression pour diffuser leurs données volées. Malheureusement, la solution n’a plus besoin d’être présentée. Piratage et dépôt de pirates. Les documents et les machines sont cryptés par un ransomware. Pour récupérer leurs biens, les entreprises piégées doivent payer les clés de déchiffrement sans avoir la moindre sécurité pour reprendre le contrôle. Les sauvegardes nous permettent de récupérer la consommation des systèmes pris en otage.
Sauf que, comme l’explique ZATAZ depuis 2018, les pirates ont trouvé un autre moyen de faire payer les sociétés d’infiltration. Extorsion de la distribution des documents.
Des groupes comme Maze, Dopple, Sodinokibi, XXX … se spécialisent dans ce type de double extorsion. Le «double effet RGPD» lorsque j’ai baptisé cette fraude en mai 2018.
Si ces «équipes noires», les mains sur le cœur, annonçaient qu’elles n’attaqueraient plus le monde de la santé à cause de COVID-19, ce qui ne les empêchait pas de menacer les laboratoires de santé anglais, asiatiques et américains, elles n’auraient pas arrêté leurs actions malveillantes . L’encapsulation doit certainement aider, ils ont doublé leur intensité. Lien
Le code source de l’une des souches de ransomware les plus rentables et avancées disponibles aujourd’hui est disponible sur deux forums de piratage en russe.
Le code source d’une souche de ransomware majeure appelée Dharma a été vendu sur deux forums de hackers russes au cours du week-end.
Le FBI a classé la RSA Security Conference Dharma de cette année comme le deuxième programme de rançon le plus lucratif de ces dernières années, après avoir extorqué plus de 24 millions de dollars en paiements aux victimes entre novembre 2016 et novembre 2019. Maintenant, son code source est en vente pour un prix de $ 2 000 – ce qui inquiète les chercheurs en sécurité.
Plusieurs experts en ransomware ont déclaré que la vente du code de ransomware Dharma entraînerait probablement sa publication éventuelle sur Internet et à un public plus large. Ceci, à son tour, se traduira par une diffusion plus large parmi plusieurs groupes de cybercriminalité et une augmentation possible des attaques.
La raison pour laquelle tout le monde s’inquiète est que Dharma est une souche avancée de ransomware, créée par un auteur de malware expérimenté. Ses outils de cryptage sont très avancés et indescriptibles depuis 2017. Pour être plus précis, les seuls ransomwares ont été « décryptés », c’est lorsque des étrangers ont révélé les clés de décryptage des clés – et non à cause d’une erreur de cryptage. Lien
La spécialiste de la lingerie fine Lise Charmel a été frappée par un ransomware en novembre dernier qui chiffrait les postes de travail et paralysait son activité. La société lyonnaise s’est rendue à la réception le 27 février 2020, il était temps de se remettre.
Coup chaud à Lise Charmel. La société lyonnaise, spécialisée dans les sous-vêtements fins, a conclu une réception le 27 février 2020 à Lyon devant le tribunal de commerce. Cette décision a été prise à la suite des difficultés du groupe très gravement déstabilisé depuis le 8 novembre 2019 suite à une cyberattaque. « Le matin du 8 novembre, à 7 heures du matin, les employés des services logistiques ont trouvé leur poste chiffré », a déclaré à la Salade Lyonnaise Olivier Piquet, PDG de Lade Charmel. Lien
