Catégories
Attaque Conti Cybercriminels Déchiffrement informatique Ransomware Sécurité

Le Group Conti ferme son site

Le groupe de Ransomware Conti (rien à voir avec les machine à café) a clôturé son site en juin, utilisé pour annoncer ses victimes et communiquer des données volées. Une autre confirmation pour ceux qui se sont interrogés sur le changement de la stratégie pour du groupe de Cyber ​​méchants.

Le site Web Conti ne répond pas: selon plusieurs chercheurs en sécurité, le site Tor utilisé par le groupe Cybercrimin Conti a cessé de fonctionner depuis mercredi dernier.

Dans cet endroit, les cybercriminels du groupe, qui étaient auparavant leurs nouvelles victimes, ont annoncé généralement Ransomik produit par le groupe. Ils envoient également les données volées par les sociétés affiliées du groupe pendant l’intrusion.

Le site a ainsi été utilisé pour forcer la main des victimes menacée de diffusion de leurs données si elle n’a pas accepté de payer la rançon requise par Conti.

Plus de 800 victimes du monde entier
Actif depuis le début de 2020, bien que certaines versions de son logiciel malveillant aient été détectées fin 2019, le groupe Conti a été particulièrement distingué par le système de soins de santé irlandais et a paralysé ses systèmes.

Parmi ses autres armes aide, le groupe a également affirmé en France piraté d’assurance d’entreprise 200 000 et plus de 800 victimes dans le monde sur son site. Le nombre exact de victimes de Conti serait néanmoins plus élevé, les victimes montrant sur le site, qui étaient principalement celles qui ont refusé de payer la rançon requise par le groupe.

Conti fonctionne avec Ransomware-as-a-Service: le groupe loue son logiciel à d’autres groupes de cybercrimaux, puis parvient à partager la rançon du chantage.

La fin de Conti
Malgré cette hyperactivité apparente, le groupe Conti connaît un tournant dans sa stratégie depuis le début de 2022. L’organisation s’était donc clairement prouvée en faveur de l’invasion russe de l’Ukraine, un poste qui l’avait servi à un chercheur en sécurité. Ce dernier a publié une archive importante au début de février qui contient une communication interne au groupe, révélant la fonction bien équipée de l’organisation et ses relations avec d’autres groupes de cyber-criminels.

En mai, les chefs de groupe ont annoncé la fin de la « marque » Conti. Ils ont ensuite invité les membres du groupe à participer à plusieurs autres organisations cyber-criminelles à proximité. Une façon d’obtenir l’unité contenue à oublier qui est devenue trop visible et à se propager dans un nouvel écosystème cyber-criminel tout en conservant les relations entre les membres de l’organisation.

Catégories
Altice Assurance Attaque Cybercriminels Hive informatique Mobile Ransomware Sécurité Service informatique

Altice, confirme qu’il a été piraté

Altice, qui n’est autre que la maison mère SFR, a connu un piratage. La cyberattaque, qui était réalisée avec le Ransomware Hive, a eu lieu début août, mais n’a été révélée que récemment. Le groupe avait initialement refusé de commenter le piratage, mais il a changé d’avis (en retard).

Altice France a déclaré que « Altice France et le cercle SFR ne sont pas concernés » par les cyberattaques. En outre, le groupe « a également confirmé la victime début août début août d’une cyberattaque ransomware qui ciblait un réseau interne au niveau de la société de portefeuille économique ». Il continue de s’assurer que « les effets ont été maîtrisés et que tous les services ont été restaurés ». De plus, « la société de portefeuille financière est pleinement opérationnelle ».

Vient ensuite une question importante: qu’en est-il des données, que ce soit pour les clients ou le groupe? Les pirates devaient-ils les consulter ou les restaurer? Voici ce qu’Altice répond:

Nous devons souligner qu’il n’y a pas de données sensibles compromises, en particulier les données des clients, les partenaires commerciaux ou les données concernant nos partenaires financiers

Comme nous pouvons l’imaginer, la société mère n’apprécie pas du tout cette attaque et dit qu’elle a « de fortes critiques contre ce type d’attaque faible et contre toutes les personnes qui les commettent ».

Hive a fait des victimes
Hive a été découverte pour la première fois en 2021, et il peut déjà se vanter de merveilleux bras. À la fin de l’année dernière, MediaMarkt, avait vu son système informatique être neutralisé par ce même ransomware qui nécessitait 43 millions d’euros. Le groupe allemand a été irrité pendant plusieurs semaines par les effets de l’attaque. L’opérateur allemand T-Mobile, actuel à l’international, comme Altice, était également l’objectif de Hive, il y a environ un an lorsqu’ils ont compromis les données de dizaines de milliers de millions d’utilisateurs.

Le groupe Hive est devenu l’un des gangs ransomiens les plus lucratifs au monde qui attaquent souvent les joueurs du secteur des finances ou de la santé. Il y a quelques mois, il aurait traversé un nouveau cours en mettant à jour son logiciel qui a migré le code vers le langage de programmation Rust, développé par Mozilla Research pendant dix ans, ce qui lui a permis un cryptage encore plus complexe.

Hive est connu en utilisant la double extorsion qui consiste à exfiltrer les données et à menacer la victime de les vendre et / ou de les publier. Cette stratégie a été lancée en réponse aux nombreuses entreprises qui pensaient avoir pris les devants en créant et en stockant plus de copies de leurs données.

MAJ: Après la cyberattaque, les données confidentielles du groupe Altice ont été divulguer.

Altice Group, Empire of Patrick Drahi, a connu une cyberattaque qui a compromis les données confidentielles en août. Hive Pirates Group a mis la main sur « des dizaines de milliers de documents ultra-confidentiels » après une attaque de ransomware, a déclaré le site Web de la reflecte.

L’attaque liée uniquement à Altice International Financial Holding Company, de sorte qu’aucune donnée, clients personnels ou liés à des partenaires commerciaux d’Altice France ou de SFR n’a été directement compromis, selon les informations club.

Foule de données
D’un autre côté, les documents comptables et les informations sur les filiales ont été récupérés à la suite de ce piratage informatique. Le site Web de Zataz, qui suggère un point de départ au phishing, montre que la pénétration initiale devait être effectuée vers le 8 ou le 9 août, et les données volées qui ont ensuite été proposées sur le marché noir quelques jours plus tard.

Ransom a affirmé faire les données qui n’auraient peut-être pas été payées à moins que les pirates aient choisi d’aller au-delà des pirates qui ont finalement transmis les documents en question le 25 août, permettant leur consultation gratuite.

Le dessous du drahi – emperiet
Les documents sont donc volés plutôt plus récents et se rapportent à la période de 2018 à 2022 dans différents domaines. Les données sur les nombreuses filiales, le site Web de la reflecte, provoque la présence d’informations sur les sociétés gérées directement par Patrick et sa famille et ont l’intention de mener l’étude des documents transmis pour explorer le dessous de l’homme de l’homme.

Catégories
Cybercriminels Déchiffrement vidéo

La Caisse Centrale de Réassurance le paparazzi et Lilith

Piratage? Mais que s’est-il passé avec la CCR et l’attaque revendiquée par Lilith?

Tout commence début juillet, le site du groupe caisse Centrale de réassurance n’est plus accessible et plusieurs services semblent à l’arrêt.

Plus inquiétant, le groupe ne communique pas sur ce qu’il se passe.

Quelques jours plus tard, un groupe de pirates nommés Lilith revendique l’attaque par ransomware avec une prise de guerre de plus de 1 to de données. Le groupe caisse Centrale de réassurance ne réagit toujours pas publiquement.

Une petite semaine plus tard, le groupe de pirates Lilith part en vacances, laisse tomber l’affaire ou bien trouve un accord avec CCR.

Pour l’heure, nous n’en savons pas plus, c’est-à-dire à rien, puisqu’aucune des parties ne communique.

Le site de la caisse Centrale de réassurance refonctionne, Lilith fait la morte, ça nous fera une petite histoire à raconter pour la rentrée.

Bonnes vacances à tous.

Catégories
Assurance Attaque Cybercriminels Déchiffrement Etude Evil Corp EvilQuest GandCrab Hakbit Hive informatique LockBit Mac MacOS maze Mobile Nefilim NetWalker PayloadBin prix Ragnar Locker Ransomware revil Ryuk Sauvegarde Sauvegarde informatique Sécurité Service informatique Shade sodinokibi SolarWinds Spectre Sunburst Technologie ThiefQuest

Conseils pour vous protéger des ransomwares

Avez-vous reçu un message douteux qui contient des pièces jointes ? Avez-vous trouvé une clé USB par hasard ? Prenez soin de ransomware ou rançongiciels ! Vos données peuvent être chiffrées et c’est le drame! Voici des conseils pour réduire les risques.

Conseils pour vous protéger des ransomwares

Qu’est-ce qu’un ransomware ou rançongiciels?

De plus en plus, vous recevez des messages douteux contenant des pièces jointes ou des liens qui vous invitent à les ouvrir. Il faut se méfier ! Malvey -Software appelé « rançon » ou « ransomware » peut s’y cacher. Leur objectif ? Cryptez (COD) vos données pour vous faire une rançon. Bien sûr, cela ne garantit pas la récupération de vos données. Il est donc préférable de vous protéger de ce type d’attaque.

Comment vous protéger des ransomwares?

Comment vous protéger des ransomwares?

Bonne attitude N ° 1:
Faites des sauvegardes régulières de vos données (eCura.fr)

C’est la meilleure façon de couper l’herbe sous le pied des pirates qui veulent prendre vos données comme otages! Déplacez la sauvegarde physique de votre réseau (hors du réseau), placez-la dans un endroit sûr et assurez-vous qu’il fonctionne!

Bonne attitude N ° 2:
N’ouvrez pas les messages dont l’origine ou le formulaire est discutable

Ne soyez pas trompé par un simple logo! Pire encore, le pirate a peut-être récupéré certaines de vos données plus tôt (par exemple, les noms de vos clients) et créer des adresses électroniques E qui ressemblent à un détail proche de vos interlocuteurs habituels.

Alors gardez beaucoup de vigilant! Certains messages semblent complètement authentiques.

Apprenez à identifier les emails E (ou d’autres formes de récupération de vos données) sur le site à l’Agence nationale pour les systèmes d’information (ANSSI).

Avez-vous des doutes? Contactez directement un informaticien. Services informatique Hyères

Bonne attitude N ° 3:
Apprenez à identifier les extensions douteuses

Vous recevez généralement des fichiers .doc ou .mp4 (par exemple) et le fichier de message que vous êtes dans le doute se termine par un autre type d’extension ? Ne les ouvrez pas ! Voici quelques exemples d’extensions douteuses: .pif, .com, .bat; .Exe, .vbs, .lnk, … Prenez soin de l’ouverture des pièces jointes du type .scr ou .cab. Comme l’agence nationale pour les systèmes d’information (ANSSI) se souvient, ce sont des extensions de compression des campagnes CTB-Locker qui rage entre les individus, les PME ou la mairie.

Bonne attitude N° 4 :
mettez à jour vos principaux outils

On ne vous le dira jamais assez : traitement de texte, lecteur PDF, navigateur, mais aussi antivirus… Veillez à mettre à jour vos logiciels !

Si possible, désactivez les macros des solutions de bureautique qui permettent d’effectuer des tâches de manière automatisée. Cette règle évitera en effet la propagation des rançongiciels via les vulnérabilités des applications.

Considérez que, d’une manière générale, les systèmes d’exploitation en fin de vie, qui ne sont plus mis à jour, donnent aux attaquants un moyen d’accès plus facile à vos systèmes.

Bonne attitude N ° 5 : Utilisez un compte « utilisateur » plutôt qu’un compte « administrateur »

Évitez de naviguer à partir d’un compte administrateur. L’administrateur d’un ordinateur a un certain nombre de privilèges, comme effectuer certaines actions ou accéder à certains fichiers cachés sur votre ordinateur. Préférez l’utilisation d’un compte utilisateur. Cela ralentira, même, découragera le voleur dans ses actes malveillants.

Catégories
Attaque Cybercriminels Déchiffrement Etude Europe informatique Ransomware Sécurité Service informatique

1,5 million de victimes ont retrouvé leurs données grâces à No More Ransom

Six ans après le lancement, Europol vient de publier son évaluation de « No More Ransom« . Lancé en 2016 avec la police néerlandaise et les SSI/SOC, cette agence européenne, coordonnant les polices de l’Union européenne.

Dans son dernier communiqué de presse, Europol ne mentionne pas une estimation des économies autorisées par les décrypts. Cependant, lors d’une conférence de presse, cependant, l’agence a parlé d’un déficit potentiel d’environ 1,5 milliard de dollars, comme de nombreux euros. Une estimation basée sur une rançon rémunérée moyenne de 1 000 $.

« Plus de 188 partenaires publics et privés ont rejoint le programme et ont régulièrement fourni de nouveaux outils de décryptage pour les dernières tribus malveillantes », a déclaré Europol. L’Agence européenne met l’accent sur les débris en magasin contre Gandcrab ou Revil / Sodinokibi.

En 2021, 15 nouveaux décrypteurs ont été mis à disposition. Ces derniers mois, Emsisoft a par exemple publié à la fin décembre un outil contre NoWay. Cet éditeur a également publié des décrypteurs pour Diavol, Maze, Egregor et Sekhmet. La société Avast avait quant à elle sorti des parades à TargetCompany et à HermeticRansom. LIEN

Catégories
Attaque Cybercriminels Etude informatique Ransomware Sauvegarde Sauvegarde informatique Sécurité Service informatique

Les principales menaces informatiques pour les entreprises

La déstabilisation, l’espionnage, le sabotage et la demande de rançons constituent les principales menaces pour votre installation informatique.

Les principales menaces informatiques pour les entreprises

Réalisé par un grand nombre d’acteurs, de l’individu isolé aux organisations offensives d’État, les attaques sont rarement limitées à une seule technique. Si les tendances généralement observées sont plutôt attribuées à la déstabilisation (défigurations, informations sur les données et contrôle) aux hacktivistes, aux ransomwares et au phishing aux cybercriminels, à l’espionnage aux concurrents et aux États, nous notons également que les attaques simples peuvent être le fait d’états et d’attaques complexes en fait en fait groupes ou structures criminelles organisées.
Les conséquences de l’attaque sont liées à une variété de questions. L’étendue financière dépasse loin des positions informatiques à remplacer ou des systèmes à reconsidérer entièrement. Département de service, défigurations, exfiltration et informations sur les données, contrôle d’un système informatique: La crédibilité de l’organisation de l’offre est en jeu … Ces quatre types d’attaques largement utilisés par les hacktivistes visent essentiellement à saper l’objectif de l’image. Très souvent, des attaques en temps réel sont nécessaires sur les réseaux sociaux ou les lieux spécialisés.
La combinaison d’une attaque informative (utilisation des réseaux sociaux pour renforcer) avec une attaque informatique maximise cette recherche de dégâts d’image.
S’ils sont souvent le résultat de hacktivistes, ces attaques sont parfois également engagées ou même organisées pour les mêmes raisons pour la recherche de dommages à l’image ou de discréditer leurs objectifs auprès de concurrents, d’employés malheureux ou même par des organisations.
Pour atteindre leurs objectifs, les attaquants choisissent différents types d’attaques en fonction du niveau de protection de leurs objectifs et de leur contexte.

La télécommande d’un système informatique reste un objectif ou même une condition préalable pour de nombreuses attaques informatiques notées par eCura.fr. Dans le cas d’une révélation publique d’un tel événement, la participation à l’image et à la crédibilité est également préjudiciable à sa victime.
L’attaquant exploite généralement des vulnérabilités bien connues ainsi que les faiblesses de la sécurité du système informatique: mauvaise configuration, échec à utiliser les mises à jour de l’éditeur. …, qui constitue une grande surface d’exposition pour l’attaque.

Catégories
Attaque Cybercriminels informatique LockBit Mobile presse Ransomware Sécurité Service informatique Uncategorized

Piratage de l’opérateur La Poste Mobile

La poste mobile est obligé de fermer son site. Son équipe parle maintenant d’un rançongiciel. LIEN

La poste mobile est obligé de fermer son site. Son équipe parle maintenant d’un rançongiciel.

Sept questions à comprendre sur le piratage de l’opérateur La Poste Mobile et ses conséquences. LIEN

Sept questions à comprendre sur le piratage de l’opérateur La Poste Mobile et ses conséquences.

Les données de milliers de clients la Poste mobile diffusée en ligne après le piratage. LIEN

Les données de milliers de clients la Poste mobile diffusée en ligne après le piratage.

Les données de milliers de clients la Poste Mobile sont dans la nature. LIEN

Les données de milliers de clients la Poste Mobile sont dans la nature.

Cyberattaque de la Poste Mobile, des milliers de données personnelles dispersées en ligne. LIEN

Cyberattaque de la Poste Mobile, des milliers de données personnelles dispersées en ligne.

La poste mobile en otage, ses clients volés. LIEN

La poste mobile en otage, ses clients volés.

MAJ: Les données de 533 000 clients, y compris les comptes bancaires! Une fuite massive chez la poste mobile

De nouvelles informations sont indiquées sur le piratage de la publication mobile qui a eu lieu en juillet. Les pirates ont été en mesure de collecter des informations auprès de 533 000 clients, ce qui comprend les numéros de compte bancaire selon Zataz.
En juillet, La Poste Mobile a annoncé qu’elle avait été victime d’une cyberattaque de type ransomware. Il a été réalisé par Lockbit, le groupe qui a quantifié les données et a affirmé qu’une rançon pour la publication mobile trouvera un accès. Cela avait poussé l’opérateur virtuel (MVNO) à fermer son site pendant 10 jours pour s’occuper de ce gros problème.

Depuis lors, les pirates ont partagé des données sur Internet dans un fichier compressé pesant 64 Mo. Il comprend des données de 533 000 clients, y compris les numéros de compte bancaire, les dates de naissance, les adresses électroniques, le sexe, les identités, les numéros de téléphone ou d’adresses physiques.

La Poste Mobile n’a pas encore répondu publiquement à la fuite massive de données, d’autant plus qu’il y a les numéros de compte bancaire dans la partie. Dans tous les cas, une chose est sûre: les clients de cet opérateur virtuel (en utilisant le réseau SFR) doivent être très prudents, que ce soit pour le phishing ou le vol d’identité potentiel. Cela peut aller très vite.

LIEN

LIEN

LIEN

LIEN

LIEN

LIEN

Catégories
Attaque Cybercriminels Entreprise de construction Etude Europe hyères informatique LockBit Mairie Ransomware Sauvegarde Sauvegarde informatique Sécurité Service informatique Technologie Uncategorized

Combien les entreprises françaises ont perdu face aux Cyberattaques depuis janvier

« En seulement quatre mois, le nombre d’entreprises attaquées par des ransomware est déjà égal à 50% de 2021. La menace de ransomware reste également élevée avec 35 à 40 groupes actifs », avertit Alban Ondrejeck, expert en cyberdéfense et co-fondateur de Anozr Way, une startup française spécialisée dans l’analyse des données exposées sur le Web, Darkweb et la protection des personnes à la lumière des cyber risques, à l’origine du baromètre. Son étude montre 1 142 attaques représentant 80 pays influencés par 42 groupes de ransomwares entre janvier et avril 2022.

Plus de 650 millions € de chiffre d’affaires perdu par les entreprises Françaises sur 4 mois.

Plus de 650 millions € de chiffre d’affaires perdu par les entreprises Françaises sur 4 mois.

Les autres points forts de la période sont le secteur de l’énergie, particulièrement ciblé par les cyberattaques dans le monde. En quatre mois, « il y a déjà +138% des sociétés énergétiques victimes de ransomwares par rapport à l’ensemble de 2021 ».

Les données de presque 170 000 Français rendu disponible sur internet suite aux attaques.

Les données de presque 170 000 Français rendu disponible sur internet suite aux attaques.

Toute la chaîne de production est affectée : les industries d’extraction, le transport, le stockage, la distribution.

Coût ? 128 000 € en moyenne par entreprise.

Coût ? 128 000 € en moyenne par entreprise.

Ransomware ou « Rançongiciel » en français est une technique d’attaque cybercriminel qui consiste à infiltrer l’appareil de la victime et à installer des logiciels malveillants qui interfèrent avec la fonction du système informatique et, à leur tour, les données. Seul le paiement d’une rançon de la victime de l’attaquant permettrait de faire déchiffrer la clé. L’impact financier des sociétés françaises est estimée à 660 millions d’euros de perte cumulative de revenus.

Une entreprise Française sur deux victimes de ransomwares est une TPE-PME.

Une entreprise Française sur deux victimes de ransomwares est une TPE-PME.

Les coûts comprennent la perte directe et indirecte de l’entreprise. Plus précisément, ceux correspondant au coût de la réponse à l’incident et à la gestion de la crise (ressources humaines supplémentaires pour répondre à l’attaque, aux frais juridiques, etc.), mais aussi indirectement liés à la perturbation des activités. Ce montant estimé n’inclut pas le paiement possible d’une rançon , qui peut représenter une moyenne de 128 000 € par entreprise. La France serait le troisième pays le plus touché de l’Union européenne. LIEN

Catégories
Attaque Cybercriminels Hive informatique Ransomware Sécurité Service informatique Transport

Novembre 2021: L’Espagnol Correos Express semble confronté au Ransomware Hive

L’espagnol spécialiste de la livraison semble rencontrer des difficultés à sécuriser ses services. Des traces du Rançongiel Hive suggère une cybercrattage le 27 novembre.

Correos Express semble confronté au Ransomware Hive

Sur Twitter, des clients de Correos Express, spécialistes de livraison express, homologue espagnol d’un chronopost ou de DHL, se plaignent de problèmes de livraison dans leurs packages. L’un d’entre eux suggère d’assister à la clientèle: «Ni le téléphone ni rien, ne travaille», dit-il. Et demander: « Qu’est-ce qui se passe? »

Plus tôt, le 26 novembre, une autre sur d’autres utilisateurs d’Internet qui prétendait discuter avec un représentant commercial « Répondu il y a quelque temps »: « Il m’a dit qu’ils souffrent de piratage et qu’ils ne savent pas quand ils seront en mesure de conserver leurs services de nouveau. « 

Les écrans montrant l’impossibilité de participer au site correosexpress.com ont également été partagés. Mais cette indisponibilité éventuelle ne semble avoir été que temporaire.

Cependant, nos recherches sur Ransomware Hive nous ont permis d’identifier un échantillon si Ransom reviendrait à un dialogue suggérant qu’il est destiné à Correos Express. Aucun dialogue ne semble avoir été engagé. Seules les cyber reconnaissances ont parlé dans cette pièce et ont déposé un message le 27 novembre. SUITE

Catégories
Cybercriminels Etude Ransomware Sécurité Service informatique

Comment restreindre les risques des Ransomwares

Des gangs de ransomware professionnels, des techniques appliquées principalement approuvées, qui comptent à la fois sur l’ingénierie sociale (convaincre une personne de faire une action ingénieuse dangereuse, comme cliquer sur un lien !!!) et l’utilisation de faiblesses de la entreprise affectée en raison d’infrastructures insuffisamment blindées.

Comment restreindre les risques des Ransomwares

Cert.be, une organisation qui dépend du Centre belge de Cyber sécurité, a publié un document d’accès gratuit réservé aux Ransomwares.

Le principe est simple mais efficace. Caché dans une pièce jointe, ce virus figure partiellement ou complètement les données informatiques, mais également celles partagées par les différents partenaires. Nous ne pouvons pas les ouvrir plus au travail.

Dès que l’infection a commencé, un message apparaît sur l’écran de l’ordinateur qui invite les gestionnaires d’entreprise (mais les individus sont également ciblés …) à payer le plus tôt possible une rançon (entre 500 et 3000 €). S’ils ne courent pas rapidement, le pirate avertit que les données seront perdues pour toujours. LIEN