Catégories
Attaque Ransomware revil sodinokibi

MMA: la mise en veille par les ransomwares se poursuit!

Sécurisé par un ransomware dans la nuit du 16 au 17. En juillet, la compagnie d’assurance met volontairement en service ses infrastructures. Les employés sont encouragés à rapporter leur équipement sur le site. Quelques points d’entrée possibles ont émergé.

MMA: la mise en veille par les ransomwares se poursuit!

Après une dizaine de jours de fermeture, le site MMA est de nouveau en ligne. La compagnie d’assurance a fermé ses systèmes d’information après l’explosion d’un ransomware dans la nuit du 16 au 17 juillet. La rumeur veut que NetWalker ait récemment frappé Rabot Dutilleul après avoir notamment attaqué Bolloré Transport & Logistics. Mais diverses sources, c’est plus du côté de Revil / Sodinokibi qu’il vaut la peine de se pencher, précisément celle qui a attaqué Faro Technologies en mai.

Selon les informations du collectif CGT Covéa, les équipes informatiques sont fortement mobilisées, notamment pour restaurer au plus vite les applications métiers afin que les clients de la compagnie d’assurance puissent bénéficier de ses services. Et cela ne doit pas être une tâche facile.

Les éléments d’infrastructure exposés sur Internet suggèrent qu’il existe quelques ressources entre les entités du groupe Covéa – MMA, Maaf, GMF ou encore Fidélia Assistance. Mais pas tout, loin de là. De plus, Maaf et GMF n’ont été que beaucoup moins touchés – « les outils fonctionnent malgré une grande lenteur », a déclaré CGT le 23 juillet – et Fidélia « n’a subi que quelques retards et a donc pu assurer la continuité de service pour les appels MMA ».

Cependant, la réintroduction du site MMA ne signale pas la fin des opérations de récupération. La CGT précise ainsi que « ce week-end, tous les salariés (hors jours fériés) doivent apporter tout leur matériel pour analyse. A partir du lundi [3 août] nous serons à nouveau sur place et travaillerons conformément aux applications disponibles ». Sur Facebook du syndicat page certains commentaires indiquent également la nécessité de réinitialiser leur mot de passe: assez pour trahir le travail pour sécuriser l’annuaire.

La CGT précise également que « le télétravail n’est plus possible jusqu’à nouvel ordre, sauf pour les personnes vulnérables disposant d’un certificat d’isolement médical ». Et nos confrères d’Actu.fr s’interrogent: « est-ce à travers [le télétravail] qu’un bug a été exploité par des hackers »? Une question qui résonne en écho aux propos du président du conseil départemental d’E-et-Loir, Claude Térouinard, qui a récemment rappelé dans les colonnes de L’Echo Républicain que des malwares qui affectaient le département auraient pu « pénétrer dans le système informatique via le réseau de télétravail ». En particulier, nos recherches nous ont conduit à identifier un serveur VPN Pulse Secure qui aurait été le moins touché par la vulnérabilité CVE-2019-11510 jusqu’à fin novembre dernier.Une solution était disponible depuis plusieurs mois et les autorités. avait demandé son application urgente à l’été 2019.

En ce qui concerne le MMA et le télétravail, il y a une explication très simple pour le moment: les serveurs VPN SSL Cisco ASA de la compagnie d’assurance ne sont toujours pas disponibles au moment de la rédaction de cet article, – ceux de Maaf et GMF sont à l’inverse bons en ligne (dans l’espoir qu’ils soient à jour avec corrections). Ces serveurs VPN ne sont peut-être pas étrangers à l’attaque.

Mais les attaquants auraient également pu explorer une passerelle Citrix Netscaler affectée par la tristement célèbre vulnérabilité CVE-2019-19781. Deux de ces systèmes étaient récemment présents sur l’infrastructure MMA. Pour les deux, il apparaît que les corrections nécessaires ont été appliquées fin janvier, selon les données de Shodan.

Dépannage informatique Hyères

SOURCES:

MMA: la mise en veille des ransomwares se poursuit
LeMagIT

MMA Cyber ​​Attack: reprise après sinistre sans fin
LeMondeInformatique

MMA: cinq questions sur une cyberattaque qui punit
Les Echos

Catégories
Attaque hyères informatique prix Ransomware Sécurité Technologie

Misterfly victime d’une cyberattaque par ransomware

De nombreuses entreprises sont ciblées. Après Orange, MMA, CPM, c’est au tour de Misterfly dans l’industrie du tourisme d’être victime d’une cyberattaque dite «ransomware» le 13 juillet. L’entreprise a envoyé un mail à tous ses partenaires pour expliquer la situation.

Misterfly victime d’une cyberattaque par ransomware

dans une lettre adressée à ses agences de voyages partenaires, Misterfly déclare avoir été victime d’une cyberattaque dite «ransomware».

« La conséquence de cette cyberattaque a été de rendre inaccessible une partie du réseau informatique de MisterFly », ajoute le communiqué.

Personne de contact pour nous Frédéric Pilloud, directeur du e-commerce, précise: «Nous savons que les pirates ont réussi à copier un certain nombre de fichiers, et tout notre travail d’analyse est de savoir de quels fichiers il s’agit. Une chose est sûre, que ce ne soit pas ce ne sont pas des informations bancaires car elles ne passent pas par nous « .

Le site de réservation de billets utilise la norme PCI DSS (imposée par Iata), qui garantit le non-stockage des informations de paiement. Ces données sont diffusées directement aux organismes de paiement.

« Le risque maximum serait que les données sur les réservations de nos clients et leurs coordonnées soient disponibles en ligne, mais nous ne sommes pas sûrs. Et avec ces données, il ne serait pas possible de modifier ou d’annuler une réservation, mais je répète pour le moment que nous ne le faisons pas. savoir exactement quels fichiers sont ciblés », explique le directeur e-commerce.

Plusieurs entreprises ont été la cible du même type d’attaque. Les dernières concernent notamment la compagnie d’assurance MMA, Orange et la société multiservices CPM International France, selon le site spécialisé Zataz.com.

Les ransomwares sont des logiciels malveillants qui prennent en otage des données personnelles. «Le contexte général de la mise en œuvre du télétravail et des connexions entre salariés via les VPN favorise ce type d’attaque», souligne Frédéric Pilloud, «Dans notre cas, quelqu’un a ouvert un dossier qu’il ne devait pas ouvrir».

Misterfly s’excuse donc pour l’impact «que cela peut avoir sur la durée du traitement». Et ajoute: « Dans tous les cas, nous vous recommandons de rester vigilant, surtout si vous recevez des communications non sollicitées. Nous vous rappelons d’être particulièrement prudent avec les communications qui prétendent provenir de MisterFly et qui doivent être faites régulièrement, nous vous recommandons change votre mot de passe sur notre site MFPro. « 

Une équipe dédiée dans l’entreprise est sur le pont et travaille pour mesurer l’étendue de l’attaque.

SOURCES:

Ransomware: Misterfly victime d’une cyberattaque
TourMaG.com
Après Orange, MMA, CPM, c’est au tour du tourisme de Misterfly d’être victime d’une cyberattaque appelée «ransomware».

MisterFly victime de la vague de cyberattaques qui fait rage …
Travel On Move

Catégories
Attaque prix Ransomware Sécurité Technologie

MMA, CPM et les ransomwares

Depuis des semaines, je mets en garde contre le danger des ransomwares. Parce que les voyous opposés sont organisés, très organisés. Le nombre de cas «confirmés» a été multiplié par sept entre le 18 juin 2020 et le 18 juillet 2020. Parmi les blessés récents figurent la compagnie d’assurance MMA et la société multiservices CPM International France.

Un autre correctif! le slogan devient fatigant car les cas se multiplient trop. Selon mes conclusions, les cyberattaques (connues) ont été multipliées par sept entre le 18 juin 2020 et le 18 juillet 2020. Parmi les victimes francophones les plus récentes figurait une filiale de l’opérateur Orange et de la compagnie d’assurance MMA.

Des centaines de clients touchés!
Le deuxième objectif est CPM International. Selon les informations que j’ai pu recueillir, c’est le groupe NetWalker qui s’est infiltré dans la filiale France Omniservices / Omnicom. Cette société agit comme un centre de services partagés pour les fonctions de support (ressources humaines, finance et informatique). Netwalker a donné à l’entreprise neuf jours pour payer le double de la rançon: déchiffrer et / ou ne pas diffuser les documents volés lors de l’infiltration de l’entreprise.

Et le problème est énorme. Netwalker cache les fichiers volés, même avant le paiement de la rançon. Comme leur système est automatisé, le mot de passe pour accéder aux fichiers s’affiche à la fin du compte à rebours. Cela signifie que les informations sont déjà disponibles en ligne pour ceux qui ont le lien et le mot de passe pour accéder aux fichiers!

Dans ce dernier cas, le siège social du Mans ainsi que des agences ont été touchés.LIEN