Archives de catégorie : ransomware

Le ransomware : le plus actif des rançongiciel change de ton

Stop, le plus discret et pourtant le plus actif des rançongiciels au monde. Le code malveillant vient de connaître une mise à jour qui le rend encore plus agressif.

Stop, un code malveillant de la famille des ransomwares. Ce rançongiciel fait de très gros dégâts depuis 2018. Cet outil de prise d’otage est discret, et pourtant, il est le plus actif au monde.

STOP est distribué principalement via des offres groupées publicitaires et des sites suspects. Ces ressources font la publicité pour de faux cracks de logiciels, comme exemple pour Cubase, Photoshop, des antivirus et des logiciels gratuits. Logiciels groupés qui sont en réalité des offres groupées. Elles installent divers programmes indésirables et logiciels malveillants sur les machines des utilisateurs. L’un de ces logiciels malveillants est STOP.

Stop chiffre les fichiers, leur ajoute une nouvelle extension et place une demande de rançon sur la machine infectée (490$, puis le double après 72 heures). En 2019, Bleeping Computer proposait un outil pour se reprendre la main sur Stop.

Mais malheureusement, il existe actuellement près de 850 variantes de STOP connues des chercheur. Chiffre qui ne facilite pas la lutte contre ce microbe.

Parmi les extensions repérées : .STOP, .SUSPENDED, .WAITING, .PAUSA, .CONTACTUS, .DATASTOP, .STOPDATA, .KEYPASS, .WHY, .SAVEfiles, .DATAWAIT, .CAROTE, .DJVU, .COHAROS., .NOOD.

Nouvelle variante

Les chercheurs ont découvert une nouvelle variante du ransomware STOP qui utilise un mécanisme d’exécution en plusieurs étapes pour contourner les mesures de sécurité. Elle fait d’autant plus de dégâts que les victimes ne vont pas se plaindre. Ce malware attaque principalement les fans de contenus piratés, les visiteurs de sites suspects.

Depuis son introduction en 2018, le blog ZATAZ alertait de sa présence excessive dans les ordinateurs d’internautes, le ransomware est resté pratiquement inchangé et de nouvelles versions sont principalement publiées pour résoudre des problèmes critiques. Cependant, les experts de SonicWall ont découvert une nouvelle version de STOP, qui pourrait toucher un grand nombre de personnes.

Le malware télécharge d’abord un fichier DLL supposément sans rapport (msim32.dll), peut-être comme un faux-positif. Il implémente également une série de longues boucles temporisées qui peuvent aider à contourner les protections basées sur le temps. STOP utilise ensuite des appels d’API dynamiques sur la pile pour allouer l’espace mémoire requis pour les autorisations de lecture/écriture et d’exécution, ce qui rend la détection encore plus difficile. Le malware utilise des appels API pour diverses opérations, notamment l’obtention d’instantanés des processus en cours d’exécution afin de comprendre dans quel environnement il s’exécute. À l’étape suivante, le ransomware intercepte les processus légitimes et y injecte sa charge utile pour s’exécuter silencieusement en mémoire. Cela se fait via une série d’appels API soigneusement conçus qui manipulent la mémoire du processus et contrôlent le flux.

Une fois la charge utile finale exécutée, une série d’actions sont effectuées visant à la sécuriser dans le système, à modifier l’ACL (afin que les utilisateurs n’aient pas la possibilité de supprimer des fichiers importants et des répertoires de logiciels malveillants) et également à créer une tâche planifiée pour exécuter la charge utile toutes les cinq minutes.

Un petit vaccin pour le ransomware Rhysida

Des chercheurs en Corée du Sud ont identifié une faille dans le ransomware Rhysida, permettant la création d’un outil de décryptage gratuit pour les fichiers Windows affectés. Toutefois, certains experts critiquent la divulgation de ce défaut.

Lancé mi-2023, le groupe de pirates Rhysida a ciblé des secteurs variés, dont l’éducation et la santé. La Bibliothèque nationale britannique figure parmi ses victimes notables, ayant subi une attaque à l’automne. L’Université Kookmin et la KISA ont révélé une vulnérabilité dans le générateur de nombres pseudo-aléatoires de Rhysida, exploitée pour générer des clés de déchiffrement uniques par attaque, permettant ainsi de concevoir un outil pour restaurer les données chiffrées sans frais.

Ils ont détaillé dans leur étude que Rhysida utilisait LibTomCrypt pour le chiffrement et traitait les données en parallèle pour une efficacité accrue. Le programme appliquait un chiffrement discontinu, une stratégie courante chez les ransomwares pour accélérer le processus tout en évitant la détection, en alternant entre chiffrement et non-chiffrement de segments de données. Le décryptage fut possible grâce à l’analyse du modèle de chiffrement et l’application sélective de la clé correcte.

Les chercheurs ont expliqué que Rhysida se servait d’un CSPRNG basé sur l’algorithme ChaCha20 pour créer des clés de chiffrement, utilisant une valeur initiale dérivée de l’heure système, rendant la graine prévisible. En exploitant cette faille, ils ont mis au point une méthode pour reconstruire l’état du CSPRNG en testant différentes valeurs initiales, permettant de prédire les nombres aléatoires et de restaurer les fichiers chiffrés sans la clé originale.

Leur outil de décryptage est disponible sur le site de la KISA, avec un rapport technique et des instructions d’utilisation.

Peu après cette révélation, Fabian Vosar a indiqué que d’autres avaient découvert cette vulnérabilité mais avaient choisi de ne pas la rendre publique. Avast (octobre 2023), le CERT français (juin 2023), et Vosar lui-même, en mai 2023, avaient identifié la faille, permettant le décryptage de nombreux systèmes. Vosar a précisé que cette faille ne s’applique qu’à la version Windows de Rhysida, et non aux versions ESXi ou PowerShell, avertissant que les créateurs de Rhysida pourraient rapidement corriger cette vulnérabilité, rendant la récupération de fichiers sans rançon de nouveau impossible.

Le coût additionné des attaques par cryptovirus touchant les PME françaises

L’enquête terrain inédite menée par l’IRT SystemX auprès de PME et TPE françaises, victimes de cyberattaques, dévoile l’impact réel des cyber-préjudices et fait voler en éclats deux grandes croyances communément admises : le nombre de cyberattaques réussies s’avère bien supérieur aux estimations habituellement rendues publiques, tandis que le coût moyen des cyberattaques se révèle en revanche beaucoup plus faible que supposé. Zoom sur les 9 principaux enseignements de cette étude.

 SystemX, unique IRT dédié à l’ingénierie numérique des systèmes du futur, dévoile les principaux enseignements de sa première enquête terrain menée sur 3 ans* auprès de plus de 60 entreprises françaises**, principalement des PME/TPE de moins de 50 personnes, victimes de cyberattaques. Toutes les régions et secteurs economiques sont représentés. L’objectif de cette enquête était de mesurer les préjudices causés au tissu économique, puis d’élaborer des modèles de calcul des coûts ainsi que de l’exposition d’une entreprise au risque Elle a également permis de collecter des signaux faibles, annonciateurs de nouvelles tendances, et notamment d’évolutions à attendre sur le mode opératoire de certaines formes d’attaques

Parmi les catégories d’attaques étudiées, le rançonnage par cryptovirus et les fraudes au président et faux ordres de virement prennent la plus grande place. Ont également été rencontrées : l’escroquerie au faux support technique, la prise de contrôle de messagerie, le piratage téléphonique, la fraude aux sentiments, l’usurpation d’identité, la mauvaise protection des caméras, la captation de nom de domaine, le défaçage ou encore le vol de compte bancaire. A noter la grande rareté des attaques DDos par déni de service contre des PME, ce qui constitue l’un des résultats inattendus de cette enquête et confirme que ce type d’attaque résulte avant tout d’un ciblage intentionné de la part d’un tiers.

« Cette enquête terrain est inédite en France : elle transmet une vision profondément renouvelée des attaques informatiques notamment grâce à une précision des chiffres jamais atteinte. Initiée dans le cadre du projet EIC (Environnement pour l’Interopérabilité et l’Intégration en Cybersécurité), elle remet en cause les chiffrages habituels, ce qui modifie la vision à porter sur le cyber-risque », explique Gilles Desoblin, Responsable de la thématique Défense et Sécurité, IRT SystemX.

Parmi les principaux enseignements de cette enquête

–          La fréquence des attaques réussies en matière de cryptovirus est plus haute que supposée jusqu’alors : pour une PME de moins de 50 salariés, la probabilité d’être victime ne se mesure annuellement plus en pour mille mais en pour cent, se situant entre 2 et 5% (soit entre 100 000 et 250 000 entités par an). Elles ne se situent donc plus dans la catégorie des événements rares.

–          Le coût moyen d’une attaque par cryptovirus est inférieur à ce qu’il est généralement communiqué via les médias : en effet, le coût moyen pour une TPE s’évalue actuellement en milliers d’euros par attaque réussie, en non en dizaines, centaines voire en millions d’euros. A noter que la progression des coûts n’est pas proportionnée seulement à celle de la taille d’une entreprise, mais dépend d’autres facteurs parfois inattendus tels que le mode de gestion des ressources humaines .

–          La médiane constatée (de l’ordre du millier d’euros) est basse et se situe nettement au-dessous de la moyenne, ce qui signifie qu’un grand nombre d’attaques réussies trouvent des solutions à faible prix, particulièrement quand les sauvegardes ne sont pas affectées.

–          Toujours concernant les cryptovirus, les coûts additionnés subis par l’ensemble des victimes de moins de 50 employés – entreprises ou associations – en France s’élèvent à un montant supérieur à 700 millions d’euros par an.

–          Dans cette observation de transfert de richesse, le gain enregistré par les pirates déroge à l’image communément admise. La sortie de capitaux, due conjointement aux cryptovirus et aux fraudes aux président – soit plus de 200 millions d’euros -, masque des modèles économiques très différents entre ces formes de criminalité. Les calculs réalisés au sujet des cryptovirus font ressortir un ratio entre l’argent rançonné (sommes versées) et le préjudice total de l’ordre de 1/25 chez les PME/TPE. A contrario, les fraudes au président, malgré leur recours accentué à des acteurs humains et à l’ingénierie sociale, laissent entrevoir des marges finales plus élevées.

–          L’étude dévoile également la sous-estimation du préjudice humain occasionné par ces attaques (fragilisation des personnes, perte de cohésion de groupe), avec la nécessité d’assister les décideurs pendant cette phase où ils doivent mener des arbitrages en situation de forte incertitude.

–          A contrario, le préjudice sur l’image des entreprises touchées est surestimé, puisqu’il est souvent superficiel et passager, sauf si cela coïncide avec un temps fort de la société (lancement de nouveau produit ou événement-jalon important).

–          Si les relations entre entreprises partenaires se sont confirmées être l’une des principales failles en cas d’attaque et de leurre, par exemple en matière de rançonnage avec des courriers du type « facture modifée » ou de fausses adresses bancaires (FOVI), l’observation plus fouillée fait ressortir qu’une partie très importante des coûts d’attaque provient de la déficience d’acteurs de l’écosystème de l’entreprise : prestataire ou éditeur informatique, opérateur télécom, fournisseur de messagerie, électricien, banquier, etc. Il est apparu que ces déficiences ou le manque de réactivité de nombre de ces acteurs alimentent le risque dans des proportions au moins comparables à celles engendrées par les déficiences internes.

–          Enfin, contrairement à l’image d’une sécurité informatique qui s’obtiendrait par de forts investissements, l’étude souligne que la majorité des préjudices observés aurait pu être évitée ou atténuée par des modes de protection à coût modeste, et par une série de bonnes pratiques accessibles à la plupart des entreprises.

*Réalisée entre 2016 et 2019

** Entreprises invididuelles, TPE et PME de moins de 50 personnes et secteur associatif

Des experts en sécurité paient les ransomwares et facturent leurs clients

Des experts en sécurité informatique annonçaient posséder une technologie pour déchiffrer le ransomware SamSam. Il s’avère qu’ils payaient les maîtres chanteurs pour récupérer les fichiers. Ils facturaient ensuite les clients piégés.

Deux entreprises spécialisées dans la sécurité informatique annonçaient posséder une technologie capable de déchiffrer les fichiers pris en otage par le ransomware SamSam.

Il s’avère que ces experts de la cybersécurité payaient les auteurs du rançonnage. Les sociétés facturaient ensuite les clients piégés.

C’est ProPublica qui a mené une enquête sur ce phénomène. Les entreprises, Proven Data Recovery et MonsterCloud, annonçaient être capable de déchiffrer les fichiers pris en otage par le ransomwate SamSam.

Samsam, une attaque informatique qui avait perturbé le port de San Diego ou encore les ville d’Atlanta (11 millions de dollars), de Newark, des hôpitaux (dont celui d’Epinal en France) … Au USA, le Hollywood Presbyterian Medical Center avait avoué avoir payé pour récupérer ses données.

SamSam (MSIL/Samas) s’attaque aux serveurs  JBoss obsolète. Pour déchiffrer une machine, cela coute 1.7 Bitcoin (BTC). Samsam aurait été créé par deux pirates Iraniens.

Payer pour mieux déchiffrer ?

De nombreuses sociétés agissent de la sorte, l’indiquent à leurs clients. Elles agissent de la sorte par facilité et permettre de retrouver les données ! Pour MonsterCloud et Proven Data Recovery, c’est différent. Elles affirmaient avoir la technologie pour déchiffrer les informations prises en otage. Proven Data Recovery indique que cela était nécessaire, quand par exemple la santé/vie de patients pouvaient être mis en danger.

Comme l’indiquait en mars 2019 l’ANSSI, SamSam cible des entreprises estimées très rentables, appartenant à des secteurs d’activités variés, ainsi que des entités publiques à même de payer un montant conséquent en guise de rançon.

Les deux pirates Iraniens ne peuvent plus être payés par bitcoin, du moins via une entreprise américaine. L’Oncle Sam a mis sous embargo le moindre commerce avec ce pays et des entreprises américaines ou basées aux USA, faisant commerce avec les Etats-Unis. Bilan, plus possible de payer !

Matrix et les ransomwares ciblés : petites attaques mais grand danger

Dans sa dernière étude « SophosLabs 2019 – Rapport sur les menaces », l’éditeur annonce une recrudescence des attaques ciblées par des ransomwares. Le procédé utilisé est déjà bien connu, notamment l’attaque Matrix. Une cyberattaque ciblée de type agile qui ne cesse d’évoluer depuis sa découverte en 2016.

Des attaques moins sophistiquées que celles de SamSam, ne s’en prenant qu’à une seule machine à la fois, un ransomware tel que Matrix représente un véritable danger. Il a en effet développé de nouvelles variantes capables de scanner le réseau à la recherche de nouvelles victimes potentielles, une fois introduit dans le réseau.

Sophos, spécialiste de la sécurité, présente son nouveau rapport « Matrix: A Low-Key Targeted Ransomware », dans lequel il dévoile ses recommandations afin de garantir un niveau de protection optimal :

  • Limiter l’accès aux applications de contrôle à distance telles que Remote Desktop (RDP) et VNC.-
  • Réaliser des analyses complètes et régulières et des tests d’intrusion sur le réseau. Correction au plus vite afin de ne pas laisser la porte ouverte aux cybercriminels.
  • Mettre en place une authentification multi-facteurs pour les systèmes internes sensibles, que ce soit pour les employés travaillant en LAN ou en VPN.
    Créer des sauvegardes hors ligne et hors site, et développer un plan de reprise après attaque qui couvre la restauration des données et des systèmes pour toute l’organisation de façon simultanée.

Pour de plus amples informations sur le sujet, vous pouvez d’ores et déjà parcourir le rapport « Matrix: A Low-Key Targeted Ransomware ».

A noter que le contrôle du RDP est à prendre très au sérieux. Des boutiques du black market commercialisent des accès RDP piratés. Comme le révèle le site ZATAZ, du business juteux à l’image du portail Xdedic dont les trois administrateurs ont été arrêtés en Ukraine. Gain estimé par le FBI, 68 millions de dollars !

Un tiers des directeurs informatiques français seraient prêts à payer un ransomware pour éviter les amendes liées au RGPD

Un directeur informatique sur trois préfère payer un ransomware en raison du coup de réinstallation.

Une étude commandée par Sophos a révélé qu’un tiers (33%) des directeurs informatiques français seraient «vraiment» prêts à payer les rançons demandées par des cybercriminels, qui auraient volé leurs données professionnelles, plutôt que de signaler la violation aux autorités et de devoir payer une amende plus lourde, dans le cadre du Règlement Général sur la Protection des Données (RGPD) de l’UE.

De plus, 43% des responsables informatiques en France, ont déclaré qu’ils envisageraient «éventuellement» de payer la rançon demandée par les hackers si elle était inférieure à l’amende prévue en cas d’infraction suite à une violation. Seulement 20% des personnes interrogées ont complètement exclu de payer leurs agresseurs.

Les directeurs informatiques français sont plus enclins à payer que leurs homologues belges

Un quart (24%) des directeurs informatiques belges ont déclaré qu’ils seraient «vraiment» prêts à payer une rançon pour éviter d’être exposés à une amende plus lourde, imposée par les autorités. Parmi les pays d’Europe Occidentale, mentionnés dans l’étude, les directeurs informatiques britanniques et néerlandais étaient les plus susceptibles de payer une rançon. Près de la moitié (47%) des personnes interrogées au Royaume-Uni et plus d’un tiers (38%) aux Pays-Bas étaient «vraiment» disposées à payer. Avec seulement 19%, les responsables informatiques irlandais étaient les moins susceptibles de se considérer «vraiment» prêts à payer leurs agresseurs.

La taille de l’entreprise impacte le paiement des ransomwares

Dans toute l’Europe Occidentale, les petites entreprises étaient les moins susceptibles d’envisager le paiement d’une rançon. Plus de la moitié (51%) des directeurs informatiques des entreprises de moins de 250 employés ont complètement exclu de payer leurs agresseurs. Ce chiffre à comparer aux 20% des directeurs informatiques des entreprises de 250 à 499 employés. 13% pour 500 à 750 employés.

Michel Lanaspèze chez Sophos a déclaré: « Les entreprises qui paient une rançon peuvent peut-être bien récupérer l’accès à leurs données, mais c’est loin d’être une garantie à 100% et c’est surtout une fausse économie si elles le font pour éviter une sanction. Elles doivent signaler la violation aux autorités. « .

Il est surprenant de voir que les grandes entreprises semblent être les plus susceptibles de payer une rançon. Faire confiance aux pirates ou attendre qu’ils restituent sagement les données est une grave erreur. Notre conseil ? Ne payez pas la rançon. Informez rapidement la police/Gendarmerie (Soyons honnête, la chance d’arrêter les auteurs est proche de 0, NDR). Prenez les mesures nécessaires pour réduire les risques d’une nouvelle attaque réussie.

« Le meilleur moyen de ne pas avoir à payer une rançon est de toujours garder une longueur d’avance sur les cybercriminels. Les pirates ont tendance à utiliser des emails de phishing, des logiciels non patchés et des portails d’accès à distance pour pénétrer dans vos systèmes. Assurez-vous donc que vos systèmes et vos utilisateurs soient à même de détecter les signaux annonciateurs d’une attaque. Installez les correctifs le plus tôt et le plus souvent possible, sécurisez les points d’accès distants avec des mots de passe appropriés et enfin mettez en œuvre une authentification multi-facteurs ».

Seuls quatre directeurs informatiques français sur dix pensent être en conformité avec le RGPD

L’étude de Sophos a également montré que seulement 37% des directeurs informatiques français étaient confiants dans une conformité totale de leur entreprise avec les règles du RGPD. Ce chiffre est supérieur à celui des directeurs informatiques en Belgique (30%) et en République d’Irlande (35%), mais inférieur à celui observé au Royaume-Uni (46%) et aux Pays-Bas (44%). Seulement un quart (24%) des directeurs informatiques français ont déclaré avoir mis en place des outils permettant de prouver leur conformité en cas de violation. Seules les entreprises néerlandaises (27%) semblent « ok » vis à vis de ce point particulier. Plus de la moitié des entreprises françaises ont migré leurs données vers le cloud suite à l’entrée en vigueur du RGPD : 59% des personnes interrogées ont déclaré avoir davantage utilisé le cloud computing comme conséquence directe de l’entrée en vigueur du RGPD.

Observation de l’évolution des tactiques de diffusion des ransomwares

Il y a quatre ans de cela, les criminels envoyaient des mails à des millions d’adresses, diffusant des variantes de logiciels rançonneurs, via des liens infectés ou des documents Word, sans logique ou ciblage apparent. Aujourd’hui, les ransomware se professionnalisent !

Lorsque les logiciels rançonneurs ont commencé à chiffrer les ressources disponibles sur les réseaux, les entreprises ont commencé à y prêter un peu plus attention. Cette étape de l’évolution des logiciels rançonneurs a vu la méthode de diffusion éparpillée précédemment mentionnée se combiner au chiffrement de fichiers disponibles aussi bien sur le serveur local que sur les serveurs d’entreprise. Le chiffrement du serveur de fichiers d’une infrastructure ou de son système de stockage en réseau entraîne plus de dommages pour l’entreprise que le chiffrement d’un poste de travail individuel. Dans ce contexte, la hotline de notre équipe d’intervention a commencé à recevoir plus d’appels, au cours desquels les administrateurs informatiques des systèmes touchés par des logiciels rançonneurs ont commencé à se poser des questions très sérieuses sur les conséquences associées au paiement des rançons.

Cette tendance des ransomwares à chiffrer les partages réseau, et l’attention accrue qui en résulte, est probablement à l’origine des phases suivantes de leurs techniques de déploiement.

Frappes de précision : l’essor du protocole RDP (Remote Desktop Protocol)

En 2016, nous avons commencé à constater des infections massives de logiciels rançonneurs au cours desquelles plusieurs actifs essentiels de l’environnement des victimes étaient simultanément infectés, et avons donc constaté davantage d’interactions entre les agresseurs et leurs victimes (en raison de l’impact de leurs logiciels rançonneurs sur l’environnement des victimes). La communauté de sécurité s’est livrée à des enquêtes plus poussées qui ont confirmé ces soupçons : des cybercriminels utilisaient le protocole RDP, un protocole propriétaire conçu par Microsoft, pour fournir aux utilisateurs l’interface graphique d’un système distant, afin de s’introduire dans l’environnement des victimes.

Une fois en place, les agresseurs déployaient généralement des outils permettant de rechercher et d’exploiter des relations utilisateur/groupe/administrateur mal configurées ou non intentionnelles. Les paramètres Active Directory mal configurés ou non intentionnels sont les meilleurs alliés des cybercriminels, en leur permettant d’accéder aux privilèges de l’administrateur du domaine. Dès que le compte de ce dernier est compromis, les hackers ont la possibilité d’effectuer une reconnaissance du réseau pour identifier les actifs les plus critiques et les infecter.

Après avoir identifié les serveurs critiques et les systèmes de sauvegarde dans l’environnement, les hackers peuvent désormais utiliser les outils d’administration système intégrés à Windows pour déployer largement leurs logiciels rançonneurs.

A ce stade, les agresseurs n’essayaient donc plus d’envoyer un email à chaque personne présente sur le web. Avec le protocole RDP, ils savaient exactement qui et quoi cibler, en infectant simultanément des ressources critiques grâce à leur nouvel accès à l’environnement des victimes.

La prochaine étape des logiciels rançonneurs : les botnets

La tactique consistant à utiliser le RDP comme base initiale pour ces déploiements de logiciels rançonneurs en volume, interactifs, programmés ou manuels, était devenue si courante qu’elle faisait l’objet de nos premières questions lors de la prise en charge de nouveaux incidents. Cependant, pour les cas récents tels que le logiciel rançonneur Ryuk [1], nous assistons à une autre évolution des tactiques de diffusion. Lorsque nous enquêtons sur les victimes pour déterminer si elles sont exposées au niveau du RDP, nous pouvons constater que ce protocole n’est pas activé, ou que l’accès se fait via VPN. Dans cette mesure, il n’expose pas directement les victimes sur Internet.

Ces cas nécessitent des enquêtes plus approfondies. Dans plusieurs cas récents, nous découvrons des infections de bots corrélées à la chronologie des infections de logiciels rançonneurs.

Au cours du mois dernier, nous avons observé des infections de TrickBot, d’Emotet et d’AdvisorsBot qui correspondent parfaitement au moment du déploiement des logiciels rançonneurs. Ces infections par bots sont généralisées dans l’environnement des victimes, et tirent également parti des relations d’approbation mal configurées dans Active Directory pour se répandre latéralement. Cette tendance à l’utilisation des bots pour s’implanter ne fait qu’augmenter.

Dans ces cas, nous constatons que des e-mails de phishing contenant des documents Word malveillants sont le vecteur de diffusion des bots. Ces documents Word malveillants contiennent un contenu exécutable appelé macros. Lors de nos analyses des infections par TrickBot et AdvisorsBot relatives aux logiciels rançonneurs, nous constatons que les victimes ont ouvert le mail. Ouvert les documents joints. Permis aux macros de s’éxecuter.

À ce stade, le contenu exécutable dans les macros installe un bot ou contacte le serveur de commande et de contrôle du botnet pour obtenir du code malveillant supplémentaire, qui est finalement le véritable logiciel malveillant.

C’est une évolution des tactiques de déploiement des logiciels rançonneurs. La tendance observable de diffusion des ransomwares, allant de l’email de phishing opportuniste jusqu’à l’implantation et la reconnaissance via une configuration RDP compromise, se poursuit aujourd’hui par une implantation avancée au cœur du réseau grâce à des infections par bots qui se propagent latéralement.

En conclusion, la tendance d’implantation des bots pour propager des logiciels rançonneurs continuera à se développer. A l’avenir, différents bots seront utilisés simultanément. Mais le fait qu’ils offrent une persistance et facilitent le déploiement de logiciels malveillants supplémentaires en font un choix évident en matière d’implantation malveillante.

Conseil de l’équipe d’intervention Check Point

Au cours des différentes enquêtes, il a été découvert que la plupart des victimes avaient involontairement autorisé l’accès RDP au réseau depuis Internet en raison de la configuration des règles de sécurité sur le pare-feu, autorisant trop de ports ou configurant incorrectement l’IP/le masque réseau. La fonctionnalité « Packet Mode » de R80.10 [1] nous permet de vérifier rapidement si les ports RDP sont exposés sur Internet. Les règles de la blade Compliance (conformité) peuvent également être configurées pour émettre une alerte en cas d’exposition accidentelle de RDP. (Par l’équipe d’intervention de Check Point).

Exploit kits : Les USA n° 1 en nombres d’adresses Web malveillantes

Au deuxième trimestre, les États-Unis étaient en tête concernant l’hébergement de domaines malveillants et d’exploit kits. La Chine passe de la 2e à la 7e position.

Mails malveillants, exploit kits et compagnie ! L’Unit42, unité de recherches de Palo Alto Networks, analyse régulièrement les données en provenance de son ELINK (Email Link Analysis) pour détecter les modèles et les tendances sous-jacentes aux menaces actuelles sur le Web. Aujourd’hui, l’Unit42 partage son analyse pour la période d’avril à juin 2018 (retrouvé le précédent rapport portant sur la période de janvier à mars 2018 ici. L’Unit42 fournit également une analyse détaillée des attaques contre la faille CVE-2018-8174 (voir plus bas en lien) en utilisant l’exploit Double Kill.

Ce trimestre l’Unit42 a constaté peu d’évolution dans les vulnérabilités exploitées, y compris certaines particulièrement vieilles. Toutefois, l’une d’entre elles, toute nouvelle, s’appuyait sur une faille zero-day arrive en tête de la liste. Les États-Unis demeurent le premier pays en nombre de domaines malveillants hébergés, avec également une part en forte hausse des Pays-Bas. En dehors de ces deux pays, le nombre de domaines malveillants hébergés baisse radicalement à travers le globe, y compris en Russie et en Chine.

USA, TOP 1 de l’hébergement d’exploit kits

Les États-Unis sont également les premiers en ce qui concerne l’hébergement d’exploit kits (EKs) dans le monde avec un ratio de deux pour un comparé avec le pays arrivant juste derrière en deuxième position, la Russie. De fait, à eux seuls les États-Unis hébergent plus d’EKs que l’ensemble des autres pays. Les exploits kits pour KaiXin, Sundown et Rig sont restés aussi actifs au deuxième trimestre qu’au premier. Avec des différences régionales notables : KaiXin se trouvant particulièrement en Chine, à Hong Kong et en Corée alors que Grandsoft (un nouveau venu chez les EKs), Sundown et Rig dominent partout ailleurs.

En nous basant sur ses constatations, l’Unit42 conseille aux entreprises de s’assurer que Microsoft Windows, Adobe Flash et Adobe Reader sont parfaitement à jour aussi bien en ce qui concerne les version que les mises à jour de sécurité. De plus, les entreprises devraient plutôt chercher à restreindre les privilèges des comptes utilisateurs pour limiter les dommages causés par les malwares. Enfin, les protections contre les URL et les domaines malveillants et la sécurisation des points d’accès pour prévenir l’infection par des malwares peuvent limiter l’impact des menaces dont nous discutons dans ce billet.

Les États-Unis demeurent le premier pays en nombre d’hébergement

Au total, à l’exception des Pays-Bas, le nombre de domaines malveillants hébergés hors États-Unis est nettement moins important que ce qui avait été constaté au premier trimestre.
L’Unit42 a noté une hausse importante des domaines malveillants hébergés aux Pays-Bas.
Elle a constaté une baisse importante des domaines malveillants hébergés en Russie et en Chine qui sont désormais tous deux à égalité en septième position de la liste.
Bien qu’aillant observé une forte baisse des domaines malveillants hébergés à Hong Kong, la ville demeure le troisième hébergeur du classement
L’Australie arrive en quatrième position, mais sans réelle augmentation des hébergements.
Le nombre de domaines malveillants hébergés en Allemagne a été réduit de moitié.
Le nombre de domaines malveillants hébergés en Italie et au Royaume-Uni n’a pas bougé. Toutefois, en raison du déclin généralisé hors États-Unis et Pays-Bas, ils ne sont plus à égalité en troisième position, mais en sixième.

Vulnérabilités

La CVE-2018-8174, une vulnérabilité touchant VBScript de Microsoft, qui a été utilisée dans des attaques zero-day et qui a fait l’objet d’un patch en mai, a été très largement utilisée ce trimestre. De vulnérabilités très vieilles sont toujours très utilisées. CVE-2009-0075, une faille concernant Internet Explorer 7 qui a neuf ans et demi était dans le top 5 le trimestre dernier et arrive en 4e position ce trimestre. CVE-2008-4844, une autre faille tout aussi ancienne affectant Internet Explorer 5, 6 et 7 arrive ce trimestre en 5e position. Les failles visées restent identiques. Quatre des cinq premières failles exploitées ce trimestre étaient déjà dans notre top 6 le trimestre dernier (CVE-2016-0189, CVE-2014-6332, CVE-2009-0075 et CVE-2008-4844).

Exploit kits

Les États-Unis ont été la première source de déploiement pour Grandsoft, Sundown et Rig. La deuxième nation pour KaiXindevenant ainsi la première source de déploiement pour les exploit kits en général. Dénombré, deux fois plus d’exploit kits aux États-Unis au total que dans le deuxième pays de ce classement, à savoir, la Russie. La Russie est arrivée en deuxième position mondiale uniquement pour Grandsoft, Sundown et Rig. KaiXin principalement en Chine, à Hong Kong et en Corée, avec une distribution plus limitée aux États-Unis et aux Pays-Bas.  Conformément à d’autres résultats du rapport de l’Unit42, les Pays-Bas arrivent en 5e position sur ce classement, principalement pour Grandsoft, Sundown et Rig mais aussi pour KaiXin. L’Australie arrive en 6e position. KaiXin, implanté dans la zone Asie-Pacifique, n’existe pas en Australie. Seulement Grandsoft, Sundown et Rig.

L’aéroport de Bristol mis au tapis par un logiciel de rançonnage

L’aéroport de Bristol touché par une cyberattaque. Parmi les problèmes, les écrans d’affichage des vols mis hors ligne pendant 48 heures.

L’aéroport de Bristol (Royaume-Uni) ferme une partie de son informatique. Durant deux jours, en raison d’un ransomware, les écrans d’affichage dédiés aux vols perturbés pendant deux jours. La BBC explique que le rançongiciel a mis une telle pagaille que des systèmes entiers ont du être retirés du réseau. Pour répondre aux attentes des voyageurs, tableaux blancs et marqueurs ont servi de palliatifs ! Le code malveillant peut se retrouver dans la place de plusieurs façons : un employé qui clique sur le mauvais mails ; une clé usb sur un bureau ; une infiltration d’un des serveurs et exécution du code pirate. Un message sur le site web de l’aéroport indique que les vols sont « ok ». Un délai supplémentaire est à prévoir pour l’enregistrement et l’embarquement. Le logiciel de rançonnage n’aurait pas infecté des systèmes sensibles de l’aéroport. Cependant, le site web de la structure aéroportuaire ne proposait plus toutes ses options habituelles.

Cyberattaques : mon voisin, le pirate !

Cyberattaques – On a l’habitude de dire que l’été est une période propice aux cambriolages. Mais il en de même pour le piratage qui ne « baisse pas pavillon »… bien au contraire. En effet, la cuvée 2018 a été marquée par une série de cyberattaques diverses et variées. C’est l’occasion de rappeler que la cybersécurité est un enjeu crucial tant au niveau local que global, qu’il s’agisse de grandes entreprises ou de petites structures, du secteur privé ou public.

Marie-Benoîte Chesnais, experte en cybersécurité chez CA Technologies, fait le point sur les principaux évènements de l’été, liés à cette menace grandissante qu’est le « piratage ».

Cyberattaques : Les temps forts de l’été

Au début de l’été, le FBI a adressé une note confidentielle aux banques américaines concernant des risques potentiels d’attaques informatiques visant les distributeurs de billets (« ATM Cashout »). L’Inde en a finalement été la première victime, le 11 août dernier. Le « butin », d’un montant d’environ 10 millions d’euros, retiré dans plus de 2 100 distributeurs de billets, dispersés dans 28 régions différentes du pays. Une sacre logistique.

Début août, c’est une mairie du Var (La Croix-Valmer), victime d’une attaque par « cryptovirus ». Les données des administrés prises en otage contre rançon. Refusant de céder aux pirates, la mairie a dû réunir une cellule de crise composée d’informaticiens afin de tenter de désamorcer la situation. Cependant, avec la mise en place du RGPD, la mairie encourt une amende salée…

Cyberattaques à l’encontre de banque

Le 26 août, sur fond de soupçon de revendications politiques, c’est la Banque d’Espagne qui, cette fois-ci, a dû composer avec un site internet bloqué par intermittence, fort heureusement sans conséquences sur la bonne marche des services. De même, en Belgique, les services publics fédéraux visés chaque semaine par des attaques.

Les failles de sécurité sont lourdes de conséquences mais peuvent également entacher la notoriété des entreprises. A titre d’exemple, Instagram constate une recrudescence des attaques, sous la forme de tentatives de « phishing » ou d’hameçonnage dont le nombre est passé de 150 à plus de 600 par jour.

A noter le bilan ÉTÉ Français de ZATAZ.COM sur les fuites de données dans l’hexagone.

RGPD cas d’école : hôpital

Un logiciel malveillant a récemment touché plusieurs sites Web de l’hôpital de Floride. Certaines informations patients concernées.

« L’ampleur de cette exposition a été limitée et il a été confirmé qu’aucun dossier financier n’a été affecté » indique le communiqué de presse de l’hôpital de Floride. Une alerte lancée par l’hôpital de Floride à la suite du piratage de plusieurs de ses sites web : FloridaBariatric.com, FHOrthoInstitute.com et FHExecutiveHealth.com. Les espaces web ont été mis hors ligne le temps de la correction (et de l’enquête). Les informations des patients exposées sur FloridaBariatric.com comprennent les noms, les adresses mails, les numéros de téléphone, les dates de naissance, la taille, le poids, les compagnies d’assurance et les quatre derniers chiffres des numéros de sécurité sociale. Pour les deux autres sites, les informations compromises se limitent au nom, à l’adresse courriel, au numéro de téléphone et à à l’ensemble des commentaires fournis par l’individu. Bref, un ransomware activé après un clic malheureux sur un fichier joint !

La France toujours sous le feu des ransomware

Une nouvelle étude sur les ransomwares montre que l’impact des attaques est toujours aussi important en France et coûte cher aux entreprises.

Les résultats de la deuxième édition d’une étude mondiale présentant les conséquences des ransomwares sur les entreprises, réalisée en février 2018 par le cabinet Vanson Bourne en France, Allemagne, Royaume Uni, États-Unis a de quoi inquiéter sur le comportement des entreprises face aux Ransomwares. Cette étude, mise en place par SentinelOne, spécialiste des solutions autonomes de protection des terminaux, montre qu’en France, le nombre d’attaques a progressé, passant de 52 % en 2016 à 59 % pour les entreprises qui admettent avoir subi une attaque par ransomware au cours des 12 derniers mois. Les entreprises touchées ont dû faire face à une moyenne de 4 attaques durant cette période. A noter que l’Allemagne a vécu une année particulièrement mouvementée avec 79 % des organisations qui ont été ciblées au moins une fois par un ransomware contre 51 % en 2016.

En France, si dans 53 % des cas, l’attaque la plus réussie a permis aux attaquants de chiffrer des fichiers, cela s’est révélé sans conséquence pour l’entreprise soit parce qu’elle disposait de sauvegardes pour remplacer les données corrompues, soit parce qu’elle a été en mesure de déchiffrer les fichiers. 7 % des victimes n’ont pas trouvé de solution pour récupérer leurs données et 3 % ont préféré payer la rançon pour déchiffrer les données. A titre compartif, aux Etats-Unis, les entreprises ont davantage tendance à payer la rançon (11 % des victimes).

Des conséquences financières et réputationnelles considérables

Le coût direct de l’attaque ainsi que le temps de remédiation ne sont pas négligeables. Ainsi, le coût moyen estimé par les répondants français suite aux attaques par ransomware est de près de 650 000 euros. Le nombre moyen d’heures consacrées au remplacement des données chiffrées par des données de sauvegarde ou à la tentative de déchiffrement des fichiers est estimé à 42 heures (contre 33 heures en 2016).

Les entreprises françaises figurent parmi celles qui ont payé le montant de rançon le plus bas : ceux qui choisissent de payer ont dépensé en moyenne 31 500 euros en rançon, contre une moyenne mondiale de 38 900 euros au cours des douze derniers mois. Ces montants sont en baisse puisqu’en 2016 le montant moyen pour la France était de 85 900 euros et de 51 500 euros au niveau global.

L’ensemble des répondants français s’accordent pour dire que les ransomware ont eu un impact sur leur organisation. La conséquence la plus importante a consisté en une augmentation des dépenses de sécurité informatique (54 %) ainsi qu’un changement de stratégie de sécurité pour se concentrer sur l’atténuation (34 %). En outre, plus d’un répondant sur cinq rapporte que son organisation a connu une publicité négative dans la presse et 34 % que cela à nuit à la réputation de l’entreprise.

« On aurait pu croire qu’après les récentes attaques et l’impact qu’ont eu les ransomware au cours de l’année écoulée les entreprises auraient pris davantage de mesures, or ce n’est pas le cas », déclare Frédéric Benichou, directeur régional Europe du Sud de SentinelOne. « Pourtant, au vu de l’impact que peuvent avoir les ransomware sur l’activité économique et l’image d’une entreprise, c’est un risque qu’il peut être dangereux de prendre. »

Quelles sont les données ciblées ?

En France, les données financières sont particulièrement ciblées (dans 46 % des attaques), suivie des données clients (38 %) et celles relatives aux produits (32 %). Au niveau informatique, les matériels les plus touchés sont avant tout les PC (68 %), les serveurs (56 %) et les terminaux mobiles (31 %).

La sensibilisation des employés reste négligée

Dans 58 % des cas, les professionnels de la sécurité français déclarent que les cybercriminels ont accédé au réseau de leur organisation par le biais d’emails de phishing ou via les réseaux sociaux. 42 % ont indiqué que l’accès avait été obtenu grâce à la technique du drive-by-download déclenché lorsque l’on clique sur un lien menant à un site web compromis, et 39 % ont déclaré que l’attaque est arrivée via un poste de travail faisant partie d’un botnet. La France semble quand même relativement mieux sensibilisée sur le phishing que les autres pays puisque le phishing a permis l’accès dans 69 % des cas en moyenne sur l’ensemble des pays couverts par l’étude.

La sensibilisation reste néanmoins largement perfectible puisque pour 34 % des répondants français, si l’attaque a été couronnée de succès, c’est à cause de la négligence d’un employé. 44 % reconnaissent néanmoins que la faute revient en premier à un antivirus traditionnel inccapable de stopper ce type d’attaque. Il n’en reste pas moins que 39 % des employés français ont quand même décidé de payer la rançon sans intervention ou accord préalable de leur département informatique/sécurité.

« Le problème des ransomware est là pour durer », conclu Frédéric Bénichou. « Il est plus que temps pour les entreprises de prendre les mesures nécessaires pour faire face à ces attaques récurrentes que ce soit au niveau technologique ou humain. Cela implique de mettre en œuvre des solutions de lutte contre les menaces de nouvelles génération et de prêter davantage de considération à la sensibilisation et la formation dispensée aux employés, un point clé trop souvent négligé. »

cryptojacking et ransomware

La 23e édition du rapport annuel cyber menaces (ISTR) revient sur les attaques de l’année écoulée. Alors que les ransomware deviennent coûteux pour les cyber criminels et donc moins rentables, et que l’activité est saturée, un nouveau type d’attaque s’ajoute à l’arsenal des cyber attaquants et génère de nouvelles sources de revenus pour ces derniers : le cryptojacking.

Le cryptojacking est une nouvelle forme de menace pour la cybersécurité et la protection des données personnelles. L’appât du gain continu chez les cyber attaquants présente un danger pour les particuliers, les équipements et les entreprises, qui risquent de voir leurs ressources monétaires détournées de leurs systèmes. Les cyber attaquants n’hésitent pas à s’infiltrer aussi bien dans les ordinateurs personnels que dans les plus grands centres de données.

Le rapport annuel de Symantec sur les cyber menaces fournit un aperçu compréhensif du panorama des menaces informatiques dans le monde et des enseignements précieux quant aux activités émergentes et motivations des cyber attaquants. Le rapport analyse les données issues du réseau international d’intelligence de Symantec (le Symantec Global Intelligence Network), le plus important réseau civil de surveillance des menaces, qui comprend 126,5 millions de capteurs dans le monde et couvre 157 pays et territoires.

Alors que les Etats-Unis, la Chine et l’Inde occupent à nouveau les 3 premières places du classement mondial des pays où la cybercriminalité est la plus active, la France chute d’une place et se place au 9e rang mondial. L’Hexagone confirme sa place dans le top 10 et maintient sa position au 4e rang européen (derrière l’Allemagne et le Royaume-Uni). Tous types de menaces confondues, la France enregistre une légère baisse de pourcentage de cyber attaques sur un niveau mondial, passant de 2,35 % à 2,21 % entre 2016 et 2017 – contrairement aux Etats-Unis, à la Chine, la Russie ou encore l’Allemagne.

Explosion du cryptojacking : la France se classe au 4e rang mondial en volume d’attaques

L’an passé, la montée en flèche de la valeur des crypto-monnaies a déclenché une ruée vers l’or parmi les cybercriminels, qui entendent profiter d’un marché volatile. Les détections de service de minage installés sur des terminaux ont progressé de 8 500 % en 2017. L’Hexagone concentre 5,9 % du volume total des attaques de cryptojacking, se classant ainsi au 4e rang mondial (et au 2e rang européen).

Sans avoir besoin de compétences poussées en information et grâce à quelques lignes de code, les cyber criminels peuvent désormais profiter des ressources dont disposent les particuliers et les entreprises grâce à la puissance de traitement de calcul liée aux processeurs, afin de procéder à des attaques de cryptojacking. Les services de minage peuvent ralentir les équipements, entraîner une surchauffe des batteries et, dans certains cas, rendre les systèmes inutilisables. De leur côté, les entreprises sont susceptibles de constater des interruptions de réseau et une intensification de l’utilisation des processeurs, ce qui alourdit les coûts liés à l’infrastructure réseau.

« Il est désormais possible, pour des esprits malveillants, d’exploiter les ressources stockées sur nos téléphones, nos ordinateurs ou n’importe quel appareil connecté à des fins lucratives, » déclare Laurent Heslault. « S’ils ne renforcent pas leurs systèmes de défense, les utilisateurs risquent de devoir payer pour une autre personne utilisant leur appareil de façon frauduleuse ».

Les ransomware se stabilisent et s’installent durablement

En 2016, la rentabilité des ransomware a déclenché une saturation du marché entraînant une baisse notable du montant moyen des rançons : 522 dollars en 2017 contre 1 077 en 2016.  C’est pourquoi le ransomware est entré dans la catégorie des attaques dites communes, poussant nombre de cybercriminels à se tourner vers le minage pour attaquer les crypto monnaies et tirer pleinement profit de leur valeur élevée.

Malgré une réduction du nombre de familles de ransomware, la quantité de variantes de logiciels malveillants de ce type a augmenté de 46 % par rapport à 2016. Les groupes criminels innovent donc moins mais demeurent toujours très productifs.

Quant à la France, elle chute de la 11e à la 17e place dans le classement mondial des pays les plus actifs en matière de ransomware.

Multiplication des attaques sur les mobiles

Les attaques sur mobiles continuent d’augmenter avec une progression de 54 % du nombre de nouvelles variantes de logiciels malveillants en 2017. Durant l’année, Symantec a bloqué en moyenne 24 000 applications mobiles malveillantes par jour. Une progression qui s’explique par un faible taux d’adoption des dernières mises à jour de la part des utilisateurs. Les attaquants profitant ainsi de l’utilisation d’anciens systèmes d’exploitation : à titre d’exemple, seulement 20 % des appareils sont à jour avec, utilisant la dernière version d’Android, et seulement 2,3 % possèdent la dernière mise à jour mineure.

La protection des données des utilisateurs est également mise à mal par des applications mobiles appelées grayware, qui ne sont pas entièrement malveillantes mais peuvent se révéler menaçantes avec pour dommage la fuite du numéro de téléphone (63 % des applications de ce type) ou encore la localisation du téléphone (37 %). Le problème est loin d’être réglé puisque leur nombre de logiciels grayware a augmenté de 20 % en 2017.

Par ailleurs, les ransomware constituent une vraie menace sur mobile, certains utilisent même la reconnaissance vocale forçant les victimes à dévoiler à l’oral leur code de déverrouillage plutôt que de rentrer manuellement sur le téléphone.

La majorité d’attaques ciblées utilise une méthode unique pour infecter les appareils des victimes

Le nombre global d’attaques ciblées en 2017 est en hausse de 10 % comparé à l’année précédente. Symantec suit aujourd’hui les activités de 140 groupes de cyber attaquants. 71 % des attaques ciblées ont commencé par du spear phishing (phishing ciblé), une méthode établie depuis des années, pour compromettre les victimes. Si les groupes responsables d’attaques ciblées continuent d’exploiter des tactiques testées dont la viabilité a été prouvée pour infiltrer les entreprises, les menaces de type zero day sont de plus en plus délaissées : seulement 27 % des groupes d’attaques ciblées ont utilisé ces vulnérabilités l’an dernier.

Le secteur de la sécurité s’est longtemps penché sur les différents types de dommages que pourraient produire les cyberattaques. Un groupe d’attaquants sur dix utilise des attaques conçues pour déstabiliser leurs cibles, la théorie fait dorénavant place à la pratique.

Une augmentation de programmes malveillants de 200 % au sein des logiciels légitimes

En 2017, Symantec a enregistré une augmentation de 200 % du nombre de programmes malveillants injectés au sein de logiciels légitimes. Cela équivaut à 1 attaque par mois, contre 4 en 2016. La non-application des mises à jour des logiciels offrent aux cyber criminels un point d’entrée pour s’infiltrer dans des réseaux bien gardés.

Petya en est un parfait exemple. En juin dernier, après avoir utilisé un logiciel de comptabilité ukrainien comme point d’entrée, Petya a utilisé une variété de méthodes de propagation de la menace dans les réseaux d’entreprise, permettant ainsi le déploiement de leur charge utile malveillante.

Cyber incidents en entreprise : les attaques par e-mails continuent de causer les dégâts les plus importants

Le nouveau rapport sur les interventions suite à un cyber incident montre que les boîtes mails constituent le maillon faible de la cyber sécurité des entreprises. Ces dernières éprouvent des difficultés à détecter rapidement et avec précision les incidents de sécurité.

Selon un nouveau rapport publié par F-Secure, plus d’un tiers des cyber incidents de sécurité informatique sont initiés par des mails de phishing ou des pièces jointes malveillantes reçus par les employés d’une entreprise. Ce nouveau rapport présente les conclusions des enquêtes conduites par F-Secure sur les interventions menées suite à un cyber incident et offre un aperçu des véritables modes opératoires des pirates informatiques.

21 % des cyber incidents analysés par F-Secure dans ce rapport font suite à des attaques ciblant les services web utilisés par les entreprises. Il s’agit du mode d’attaque le plus fréquemment utilisé par les pirates mettre la main sur les données d’une organisation. Toutefois, le phishing et les pièces jointes malveillantes totalisaient, ensemble, environ 34 % des attaques. Pour Tom Van de Wiele, Principal Security Consultant chez F-Secure, les attaques par e-mail constituent donc le plus gros danger pour les organisations.

« L’exploitation des vulnérabilités logicielles est typique des attaques opportunistes mais les intrusions informatiques via e-mail sont bien plus fréquentes. Les pirates disposent de tout un éventail d’attaques par e-mail. Elles remportent un franc succès, puisque la plupart des entreprises utilisent les e-mails pour leurs communications », explique Tom Van de Wiele. « Il convient de toujours réfléchir à deux fois avant de cliquer sur une pièce jointe ou sur un lien… mais la pression professionnelle l’emporte souvent sur le bon sens. Les pirates comprennent et exploitent cette logique. »

Cyber incident

● Les organisations sont touchées à la fois par des attaques ciblées et opportunistes, dans des proportions égales
● Les violations de données menées par des acteurs internes à la structure représentaient un cinquième des incidents de sécurité
● Dans près de 80% des cas, les experts en cyber sécurité ont été contactés après une alerte cyber sécurité de l’entreprise.
● Après s’être introduit sur le réseau d’une entreprise, les pirates procèdent le plus souvent à une diffusion de malware (surtout à des fins financières, à des fins d’espionnage, ou pour maintenir un accès ultérieur au réseau)
● 13 % des enquêtes ont révélé des faux positifs

Sur ce dernier point, pour Tom Van de Wiele, les entreprises détectent de trop nombreux faux positifs. « Trop d’organisations éprouvent des difficultés à détecter avec précision les cyber incidents. Elles ne disposent pas de capacités de détection précises. Nous sommes souvent appelés à enquêter sur des activités suspectées à tort. Parfois, il nous est demandé d’intervenir et nous découvrons un simple problème informatique. Ces faux positifs épuisent les ressources de l’entreprise et détournent l’attention des vrais problèmes. »

Le rapport recommande aux entreprises d’améliorer leurs capacités de détection et d’intervention, en investissant, par exemple, dans une solution de détection ou un service d’intervention pour les postes de travail.

Lurk, le pirate russe derrière Wannacry

Retour sur le ransomware Wannacry. Un pirate Russe a avoué être derrière cette attaque, lui et son groupe Lurk.

Les chantages informatiques pullulent sur la toile. Mission clairement énoncée par les pirates et leurs outils malveillants, gagner un maximum d’argent et un minimum de temps. Il y a quelques semaines, un pirate Russe, fraichement arrêté, a avoué être l’auteur du rançonnage 2.0 du mois de juin 2017.

Konstantin Kozlovsky, le pirate en question, a expliqué, que lui et son groupe, Lurk Team, était l’auteur de Wannacry.

L’information n’étonne pas vraiment. On sait que les pirates Russes sont avides d’argent. L’homme a été arrêté dans la banlieue d’Ekaterinbourg. Kozlovsky avait déjà expliqué au mois d’aôut 2017, être le pirate derrière l’attaque informatique ayant visé le parti politique Démocrate américain. Une cyberattaque pour le compte du FSB, le service de renseignement Russe.

Lors d’une interview à la télévision locale (Dozhd), le pirate a confirmé avoir reconnu des bouts de code d’un autre logiciel pirate créé par son Crew, Lurk. D’ici là que les services de renseignement Russe se sont servis des 0day et autres exploits du groupe Lurk après l’arrestation de Kozlovsky, il n’y a qu’un pas. Le pirate a indiqué que les attaques à l’encontre d’entreprises Russes, telles que Rosneft et GazProm n’étaient rien d’autres… que des tests pour valider le code malveillant.

Kozlovsky rajoute une couche en expliquant que les tests ont été lancées depuis les machines de la société Samolet. « Le virus a été testé sur des ordinateurs de la société Samolet Development. Une société spécialisée dans les logements sociaux, à Moscou ». Dans les « buts » avoués, Lurk avait pour projet de pirater le réseau informatique de Novolipetsk Steel et de tenter d’arrêter ses hauts fourneaux. Voilà qui démontre que personne n’est capable de connaitre un assaillant avant de lui avoir mis la main dessus.

La Corée du Nord n’est pas coupable !

Pour rappel, l’Oncle Sam indiquait par communiqué de presse, en février 2017, avoir les preuves du créateur de Wannacry : la Corée du Nord. Une information qui leur avait été fournie par Kaspersky Lab et Symantec. Les sociétés de sécurité informatique soupçonnaient le groupe Nord Coréen Lazarus d’être derriére le ransomware. « Cette vaste attaque a coûté des milliards et la Corée du Nord en est directement responsable« , écrivait alors le conseiller à la sécurité intérieure de Donald Trump, Tom Bossert. Des propos tenus dans le Wall Street Journal.

Le gang Lurk était connu dans l’écosystème cybercriminel pour avoir développé le kit exploit Angler. Une enquête conjointe menée par la police russe et le laboratoire de Kaspersky avait permis d’identifier les personnes à l’origine du malware Lurk. Les membres de Lurk ont ??été arrêtés par les forces de l’ordre russes à l’été 2016. Selon les autorités, Lurk a pu voler 45 millions de dollars US aux institutions financières locales. A noter qu’un agent du FSB, Dmitri Dokouchaïev, un employé du Centre de Sécurité de l’Information du FSB, serait le donneur d’ordre. Il a depuis été arrêté dans une affaire de haute trahison.

Pendant ce temps, un ancien fonctionnaire du FSB, le lieutenant-général Vladimir Skorik, a intégré la 15e entreprises mondiales de technologie de pointe, SAP CIS. Cette entreprise est spécialisée dans la création de logiciels d’entreprise. le lieutenant-général Vladimir Skorik était le directeur du Centre de Sécurité de l’information du service de renseignement Russe jusqu’en 2009.

RGPD et Ransomware : des actions judiciaires à prévoir dès mai 2018 ?

Votre société a été touchée par un ransomware ? En mai 2018, des actions judiciaires lancées par vos clients pourraient rajouter une couche d’ennuis à votre entreprise.

RGPD et actions judiciaires ! Le 18 janvier 2018, la société américaine Allscripts était touchée par un ransomware. Classique attaque qui chiffre les fichiers des ordinateurs infiltrés. Une cyberattaque possible via le clic malheureux d’un employé sur un mail piégé. Une attaque qui a perturbé l’entreprise, mais aussi directement ses clients. Ces derniers ne pouvaient accéder à leurs dossiers de patients ou de facturation.

Bilan, une plainte de recours collectif (Class action) a été déposée contre Allscripts. Le fournisseur de dossiers de santé électroniques (DSE) va se retrouver devant la justice. Un de ses prestataires, Surfside Non-Surgical Orthopedics, basé en Floride, spécialisé dans la médecine sportive, a déposé une plainte contre DSE.

Actions judiciaires, rançongiciel …

En en raison de l’attaque, Surfside indique qu’il « ne pouvait plus accéder aux dossiers de ses patients ou prescrire électroniquement des médicaments« .  Bilan, rendez-vous annulé, pertes d’argent… Allscripts est l’un des fournisseurs de dossiers médicaux électroniques (DSE) les plus répandus dans le monde.

L’entreprise est toujours à travailler, plusieurs jours après cette « attaque », à restaurer certains de ses systèmes informatiques suite au rançongiciel.

Fait intéressant, le type de ransomware utilisé dans l’attaque [SamSam ransomware] était le même que celui utilisé dans une attaque contre Hancock Health, un autre système de santé basé dans l’Indiana, début janvier 2018. Dans ce cas, les responsables du système de santé ont fermé tout le réseau Hancock Health et ont finalement payé le pirate. Il aurait reçu 55 000 dollars en bitcoin.

SamSam a également été utilisé contre le système de santé intégré MedStar Health, en mars 2016. Bleeping Computer a noté que d’autres attaques ont signalées, impliquant SamSam, dans les machines de l’Adams Memorial Hospital (Indiana).

Les systèmes d’Allscripts desservent environ 180 000 médecins et 2 500 hôpitaux. Il n’est pas clair si la société a payé une rançon.

26 % des attaques de ransomwares auraient ciblées les entreprises en 2017

En 2017, 26,2 % des cibles du ransomware étaient des entreprises, contre 22,6 % en 2016. Cette augmentation est due en partie à trois attaques sans précédent contre des réseaux d’entreprise. Ces derniers, WannaCry, ExPetr, et BadRabbit, ont bouleversé à jamais le paysage autour de cette menace, de plus en plus virulente.

2017 marque l’année de l’évolution inattendue et spectaculaire de la menace du ransomware, avec des acteurs malveillants avancés. Ils ciblent des entreprises dans le monde entier au moyen de séries d’attaques destructives à base de vers autonomes, dont l’objectif ultime demeure un mystère. Les derniers en date, WannaCry le 12 mai, ExPetr le 27 juin et BadRabbit fin octobre. Toutes ont exploité des vulnérabilités afin d’infecter les réseaux des entreprises. Ces attaques ont également été visées par d’autres ransomwares. Kaspersky Lab a d’ailleurs bloqué des infections de ce type dans plus de 240 000 entreprises au total.

Globalement, un peu moins de 950 000 utilisateurs distincts ont été attaqués en 2017, contre environ 1,5 million en 2016, la différence s’expliquant dans une large mesure par la méthode de détection (par exemple, les downloaders souvent associés au cryptomalware sont désormais mieux détectés par les technologies heuristiques, par conséquent ils ne sont plus classés avec les verdicts de ransomware collectés par nos systèmes de télémétrie).

Ransomwares, un danger qui plane

Les trois principales attaques, ainsi que d’autres moins médiatisées, notamment AES-NI et Uiwix, ont exploité des vulnérabilités complexes ayant fuité en ligne au printemps 2017 à l’initiative du groupe Shadow Brokers. Le nombre de nouvelles familles de ransomware est en net recul (38 en 2017, contre 62 en 2016), contrebalancé par un accroissement des variantes de ransomwares existants (plus de 96 000 nouvelles versions détectées en 2017, contre 54 000 en 2016). Cette multiplication des modifications reflète peut-être les tentatives des auteurs d’attaques de masquer leur ransomware tandis que les solutions de sécurité deviennent plus performantes dans leur détection.

À partir du deuxième trimestre de 2017, un certain nombre de groupes ont mis fin à leurs activités dans le domaine du ransomware et ont publié les clés nécessaires de décryptage des fichiers. Il s’agit d’AES-NI, xdata, Petea / Mischa / GoldenEye et Crysis. Crysis est réapparu par la suite, peut-être ressuscité par un autre groupe. La tendance croissante à l’infection des entreprises par des systèmes de bureau distant s’est poursuivie en 2017, cette méthode de propagation étant devenue la plus courante pour plusieurs familles répandues, telles que Crysis, Purgen / GlobeImposter et Cryakl.

65 % des entreprises frappées par un ransomware en 2017 indiquent avoir perdu l’accès à une grande quantité voire à la totalité de leurs données. Une sur six parmi celles qui ont payé une rançon n’a jamais récupéré ses données. Ces chiffres n’ont pratiquement pas varié par rapport à 2016. Fort heureusement, l’initiative No More Ransom, lancée en juillet 2016, connaît un grand succès. Ce projet réunit des forces de police et des acteurs du secteur de la sécurité pour pister et démanteler les principales familles de ransomware, afin d’aider les particuliers à récupérer leurs données et de saper l’activité lucrative des criminels.

Prolifération d’un nouveau Locky agressif

Locky is back ? Les analystes de l’Advanced Technology Group de Barracuda Networks surveillent activement une nouvelle attaque par ransomware très agressive qui semble provenir majoritairement du Vietnam.

Comme j’ai pu vous l’indiquer sur Twitter aux premières minutes de l’attaque, ce nouveau Locky a trouvé le moyen de passer certains filtres antispams et touchés des entreprises et écoles Françaises. Une attaque qui serait parti du Vietnam. D’autres sources significatives de cette attaque comprennent l’Inde, la Colombie, la Turquie et la Grèce.

D’autres pays semblent aussi distribuer le même ransomware mais dans des volumes très faibles. Jusqu’à présent la société Barracuda a identifié environ 20 millions de ces attaques au cours des dernières 24 heures, et ce chiffre augmente rapidement. Chiffre tiré de ses sondes, chez ses clients.

Une variante du ransomware Locky

Les analystes de Barracuda ont confirmé que cette attaque utilise une variante du ransomware Locky avec un identifiant unique. L’identifiant permet à l’attaquant d’identifier la victime de sorte que lorsque cette dernière paie la rançon, l’attaquant peut lui envoyer l’outil permettant de décrypter ses données. Dans cette attaque, toutes les victimes ont le même identifiant, ce qui veut dire que les victimes qui paient la rançon ne recevront pas l’outil de décryptage car il sera impossible pour le criminel de les identifier.

Cette attaque vérifie également la langue employée par l’ordinateur de ses victimes, ce qui peut indiquer le déclenchement d’une version internationale de cette attaque dans l’avenir.

La cyberattaque Petya attribuée au groupe TeleBots

La cyberattaque dite « Petya » pourrait être attribuée au groupe TeleBots. Il existe des similitudes entre les nombreuses campagnes menées contre l’Ukraine, l’amélioration des outils utilisés par le cyber-groupe entre décembre 2016 et mars 2017 et la menace Diskoder.C (Petya).

Petya ne serait pas un ransomware mais une attaque du groupe TeleBots à l’encontre de l’Ukraine ! « La cyberattaque de 2016 menée contre les institutions financières ainsi que le développement d’une version Linux du malware KillDisk par TeleBots, ont attiré l’attention des chercheurs. En parallèle, le nombre croissant d’attaques contre les systèmes informatiques que connaît l’Ukraine nous ont fait pointer du doigt le groupe TeleBots, » déclare Anton Cherepanov, Senior malware researcher chez ESET.

Le mode opératoire du groupe TeleBots est l’utilisation systématique du malware KillDisk qui réécrit les extensions de fichiers des victimes. L’obtention d’une rançon n’est donc pas leur objectif principal, car les fichiers cibles ne sont pas chiffrés, mais réécrit. Si l’évolution du malware contient de nouvelles fonctions, comme le chiffrement ou l’ajout de leurs coordonnées, l’objectif de KillDisk n’est toujours pas de récolter de l’argent.

Entre janvier et mars 2017, TeleBots a compromis une société d’édition de logiciels en Ukraine, utilisant alors des tunnels VPN pour accéder aux réseaux internes de plusieurs institutions financières. Au cours de cette campagne, les cybercriminels ont utilisé tout un arsenal d’outils en Python, SysInternals PsExec et des logins de session Windows volés pour déployer un nouveau ransomware. Il fut détecté comme Win32/Filecoder.NKH et fut suivi par une version pour Linux, détecté comme Python/Filecoder.R.

TeleBots a ensuite lancé un nouveau malware le 18 mai 2017 : Win32/Filecoder.AESNI.C (également appelée XData). Ce ransomware s’est principalement diffusé en Ukraine via une mise à jour du logiciel financier M.E.Doc, largement utilisé en Ukraine.

Le malware se déploie juste après l’exécution du logiciel, ce qui lui permet de se répandre automatiquement à l’intérieur d’un réseau compromis. Bien qu’ESET ait mis à la disposition un outil de déchiffrement pour la plateforme Windows, cette attaque ne fut pas très médiatisée.

Le 27 juin 2017, l’épidémie de ransomwares de type Petya (Diskoder.C) ayant compromis de nombreux systèmes notamment en Ukraine, a permis de montrer la capacité du malware à remplacer le MBR par son propre code malveillant, code qui a été emprunté au ransomware Win32/Diskoder.Petya : c’est pourquoi certains chercheurs ont nommé cette menace ExPetr, PetrWrap, Petya ou NotPetya.

Cependant, contrairement au ransomware original Petya, les auteurs de Diskcoder.C ont modifié le code MBR de telle sorte que la récupération de fichiers ne soit pas possible, malgré l’affichage des instructions de paiement. Une fois le malware exécuté, il tente de se propager à l’aide de l’exploit Eternablue, en s’aidant de la backdoor DoublePulsar. Il s’agit de la même méthode utilisée par le ransomware WannaCry.

Le malware est également capable de se diffuser de la même manière que le ransomware Win32/Filecoder.AESNI.C (XData), en utilisant Mimikatz, pour obtenir des mots de passe, puis en exécutant SysInternals PsExec. En outre, les attaquants ont mis en place une troisième méthode de diffusion à l’aide d’un mécanisme WMI.

Ces trois méthodes ont été utilisées pour diffuser les ransomwares, cependant et contrairement à WannaCry, l’exploit EternalBlue utilisé par le malware Diskoder.C cible uniquement des ordinateurs ayant un adressage interne.

Lier TeleBots à cette activité permet de comprendre pourquoi les infections se sont étendues à d’autres pays que l’Ukraine. ESET a analysé les connexions VPN entre les employés, les clients et les partenaires mondiaux de l’éditeur ainsi que le système interne de messagerie et d’échange de documents. Tout cela a permis aux cybercriminels d’envoyer des messages aux victimes (spearphishing). Les pirates ayant eu accès au serveur légitime de mise à jour ont diffusé des mises à jour malveillantes automatiquement (aucune interaction avec l’utilisateur ne fut nécessaire).

« Avec une infiltration si poussée dans l’infrastructure de l’éditeur du logiciel M.E.Doc et de sa clientèle, les pirates disposaient des ressources nécessaires pour diffuser Diskoder.C. Bien qu’il y eut des dommages collatéraux, cette attaque a permis de démontrer la connaissance approfondie de leur cible par les pirates. D’autre part, l’amélioration du kit d’exploit EternalBlue le rend encore plus sophistiqué, ce à quoi devront faire face les acteurs de la cybersécurité dans les prochaines années, » conclut Anton Cherepanov.

 

Failles de sécurité : responsables de la sécurité des systèmes d’information, pourquoi faire l’aveugle ?

Selon une enquête réalisée par ServiceNow, 90 % des responsables de la sécurité des systèmes d’information français déclarent que les failles de données dont ils ont connaissance ne sont pas traitées. Les RSSI augmentent l’efficacité de leur réponse aux incidents de sécurité en automatisant les tâches de sécurité et en hiérarchisant les menaces en fonction du risque pour l’entreprise.

Une nouvelle enquête menée par ServiceNow, the enterprise Cloud company, auprès de 300 responsables de la sécurité des systèmes d’information (RSSI — Chief Information Security Officer, CISO) du monde entier souligne la nécessité d’adopter une nouvelle approche pour répondre à l’augmentation du nombre de menaces qui pèsent sur la sécurité des données, ainsi qu’à la hausse de leur coût. Selon cette étude intitulée « The Global RSSI Study: How Leading Organizations Respond to Security Threats and Keep Data Safe », 90 % des RSSI français indiquent que les failles de données détectées ne sont pas traitées (80 % au niveau mondial) et 68 % déclarent pour leur part éprouver des difficultés à hiérarchiser les menaces en fonction du risque qu’elles représentent pour l’entreprise.

Ces lacunes ont un coût : 14 % des RSSI français (13 % au plan mondial) déclarent avoir vécu au cours des trois dernières années une importante faille de sécurité ayant eu un impact important sur l’image ou les finances de leur entreprise. Les processus manuels, le manque de ressources et de talents, ainsi que l’impossibilité de hiérarchiser les menaces grèvent l’efficacité de la réponse aux incidents de sécurité. Résultat, les RSSI augmentent l’automatisation des tâches de sécurité pour répondre et remédier aux failles de sécurité avec une plus grande efficacité.

« En France, les RSSI consacrent de plus en plus de temps à prévenir et détecter des failles de sécurité, mais notre étude souligne que c’est sur la réponse à apporter qu’ils devraient se concentrer », a déclaré Matthieu de Montvallon, Directeur Technique de ServiceNow France. « L’automatisation et l’orchestration de la réponse aux incidents de sécurité constituent le chaînon manquant qui empêche les RSSI d’accroitre de façon significative l’efficacité de leurs programmes de sécurité ».

Principales conclusions de l’étude menée en France via la réponse de responsables de la sécurité des systèmes d’information

· seulement 18 % des RSSI interrogés considèrent que leur entreprise lutte très efficacement contre les failles de sécurité (19 % à l’échelle mondiale) ;

· ce sont les clients qui souffrent le plus de ces lacunes : seulement 38 % des RSSI — en France et dans le monde — pensent protéger les données de leurs clients de façon très efficace contre les failles de sécurité ;

· environ un cinquième des RSSI français (22 %) déclare que les processus manuels entravent la capacité de leur entreprise à détecter des failles de sécurité et à y faire face ; 26 % d’entre eux imputent cette difficulté au manque de ressources ;

· seulement 4 % des RSSI français estiment que leurs employés disposent des compétences nécessaires pour hiérarchiser avec succès les menaces qui pèsent sur la sécurité, contre 7 % au plan mondial.

Au sein du panel couvert par cette enquête, un petit groupe (11 % à l’échelle mondiale et 14 % en France) de « leaders dans la lutte contre les incidents de sécurité » affiche une tendance différente en ce sens où ils souhaitent :

· automatiser un pourcentage supérieur d’activités de sécurité, en incluant des tâches plus avancées telles que les rapports de tendances ;

· hiérarchiser les réponses aux alertes de sécurité en fonction du niveau de risque pour l’entreprise ;

· et nouer des relations plus étroites avec la DSI et autres services de l’entreprise.

MacRansom, un ransomware pour Mac

La découverte de nouvelles variantes de ransomwares et de logiciels espions ciblant Mac OS n’est pas surprenante compte tenu de l’augmentation sur les forums de hacking des conversations relatives aux programmes ransomwares open-source et au développement de malwares sous licence.

MacRansom, la sale bête qui croque la pomme ! Malgré une plus petite base d’utilisateurs de Mac OS par rapport à Windows, rendant les souches de malwares ou de ransomwares moins rentables pour les cybercriminels, ce n’était qu’une question de temps avant que des variantes spécifiques à Mac n’émergent.

Comme cela semble être le cas ici avec le ransomware MacRansom, les auteurs du malware utilisent un modèle de type RaaS, Ransomware-as-a-service, permettant à ceux qui ne possèdent pas les compétences nécessaires en matière de codage de jouer aux cybercriminels. Cette démocratisation, associée à la possibilité d’acheter des malwares, a changé la donne. Les actes malveillants qui étaient isolés au départ font aujourd’hui partie d’une véritable économie souterraine et lucrative, les malwares étant devenus une source de revenus viable bien qu’étant illégale.

MacRansom, une alerte à prendre au sérieux

Les consommateurs doivent être conscients qu’il est faux de penser qu’il existe plus de vulnérabilités dans Windows que dans Mac OS, ce qui le rend moins sécurisé ! C’est plutôt sa plus petite base d’utilisateurs qui fait de Mac OS une cible moins attractive pour les développeurs de malwares. Néanmoins, il est indispensable que ses utilisateurs prennent les mêmes précautions que sur PC lorsqu’il s’agit de protéger leurs appareils, notamment via l’utilisation d’un antivirus fiable et performant. (Jean-Baptiste Souvestre, Software Engineer, chez Avast)

Vol de code : quand la rivalité entre pirates profite aux victimes de ransomwares

Un outil de déchiffrement pour des variantes du ransomware AES-NI grâce aux pirates eux-mêmes. Ils l’ont rendu public suite à la propagation d’un autre ransomware utilisant le même code.

Les clés de la variante A (Win32 / Filecoder.AESNI.A.) avaient déjà été publiées sur un forum d’aide aux victimes de ransomware, les auteurs ayant revendiqué être les développeurs du malware. Pour la variante B (Win32 / Filecoder.AESNI.B), les pirates l’ont diffusé sur Twitter. Quant à la variante C (Win32 / Filecoder.AESNI.C) connue sous le nom d’XData, un invité anonyme a posté la clé sur un forum quelques jours plus tard.

Comme le souligne BleepingComputer, le groupe de cybercriminels responsable de la propagation du ransomware AES-NI affirme que son code source a été volé et utilisé par le ransomware XData (détecté par ESET le 8 décembre 2016 sous Win32 / Filecoder.AESNI.C).

Piratage informatique dans le monde du ransomware ! À l’origine, le ransomware possède des restrictions empêchant les infections en Russie et dans la Communauté des États Indépendants (CEI). Cette technique est souvent utilisée par les cybercriminels russes qui évitent ainsi les poursuites intentées par leur gouvernement.

Après avoir volé le code source plus tôt cette année, les restrictions semblent avoir été levées pour cibler l’Ukraine et ses pays voisins :  entre le 17 et le 22 mai 2017, ce ransomware a été détecté à 96% en Ukraine.

Les victimes ayant des fichiers chiffrés peuvent télécharger l’outil de déchiffrement ESET en cliquant ici.

Comment se protéger

Pour ce cas précis, la séparation des comptes d’administration et d’utilisateur évite en grande partie les préjudices, car le ransomware XData se sert des mots de passe d’administration pour se propager. Sans les privilèges administrateurs, XData ne peut infecter qu’un seul ordinateur au lieu du réseau.

De manière générale, voici ce que vous pouvez faire pour vous protéger contre la plupart des ransomwares :

• utilisez une solution de sécurité fiable et multicouche ;

• mettez régulièrement à jour vos logiciels et patchez votre système d’exploitation ;

• sauvegardez vos fichiers sur un disque dur ou un emplacement distant non connecté au réseau ;

• ne cliquez jamais sur les pièces jointes et les liens des emails suspects ou dont vous ignorez la source.

 

La France, 4ème pays le plus touché par Wannacry

Malwarebytes dévoile un ranking des pays les plus touchés par la cyberattaque mondiale de mai. La France, cinquième pays le plus touché par WannaCry.

WannaCry s’est propagé globalement en l’espace de quelques heures en utilisant une vulnérabilité dans un protocole de transmission de données utilisé par Windows. On estime à environ 300 000 le nombre de machines qui ont été infectées, surtout en Europe et en particulier en Russie. Malwarebytes a examiné les données collectées à partir de ses produits déployés sur des millions de terminaux à travers le monde, et les a classées par pays. La France se classe en 4ème position mondiale alors que la presse, et certains « experts » indiquaient l’hexagone comme épargné.

Mise à jour : la société a contacté DataSecurityBreach.fr pour lui indiquer s’être trompée dans son mail précédent. Il s’agissait de la 4ème position, et non la5e.

Les quatre secteurs d’activité visés par les ransomwares

77 % des ransomwares recensés se concentrent sur quatre secteurs d’activité – services aux entreprises, pouvoirs publics, santé et grande distribution.

Les ransomwares attaquent ! NTT Security, la branche sécurité du groupe NTT, vient de publier l’édition 2017 de son rapport sur l’état des menaces dans le monde (GTIR). Ces tendances mondiales proviennent de l’analyse des données de logs, d’événements, d’attaques, d’incidents et de vulnérabilités recensées entre le 1er octobre 2015 et le 31 septembre 2016. À partir de l’étude des contenus des unités opérationnelles du groupe NTT (NTT Security, Dimension Data, NTT Communications et NTT Data), ainsi que des données du centre mondial de cyberveille (GTIC, anciennement SERT), le rapport met en lumière les dernières tendances en matière de ransomware, de phishing et d’attaques DDoS, tout en démontrant l’impact des menaces actuelles sur les entreprises mondiales.

Dans un contexte de généralisation du phishing comme mécanisme de diffusion de ransomware – type de malware conçu pour bloquer les données ou appareils des victimes et les déverrouiller contre rançon – notre rapport révèle que 77 % des ransomwares détectés dans le monde se concentraient sur quatre secteurs d’activité : services aux entreprises (28 %), pouvoirs publics (19 %), santé (15 %) et grande distribution (15 %).

Certes, les attaques spectaculaires exploitant les dernières vulnérabilités tendent à faire les gros titres. Pourtant, les cas les plus fréquents sont souvent moins technique. Ainsi, selon le GTIR, les attaques de phishing ont causé près des trois quarts (73 %) des infections des entreprises par malware. Les pouvoirs publics (65 %) et les services aux entreprises (25 %) ont été les secteurs les plus touchés au niveau mondial. Le rapport révèle que les États-Unis (41 %), les Pays-Bas (38 %) et la France (5 %) sont les principaux pays d’origine des attaques de phishing.

D’autre part, le rapport révèle également que, l’année dernière, seuls 25 mots de passe ont servi dans près de 33 % des tentatives d’authentification sur les honeypots de NTT Security. Plus de 76 % de ces tentatives utilisaient un mot de passe connu pour son implémentation dans Mirai, un botnet composé d’appareils IoT compromis. Mirai a servi de rampe de lancement dans ce qui était à l’époque les plus grandes attaques de déni de service distribué (DDoS) jamais perpétrées.

Dans le monde, les DDoS ont représenté moins de 6 % des attaques recensées. Toutefois, elles constituaient encore plus de 16 % des attaques venues d’Asie, et 23 % en provenance d’Australie.

De son côté, la finance fut le secteur le plus ciblé au niveau planétaire, concentrant à elle seule 14 % de toutes les attaques détectées. Signe de cette prépondérance, ce secteur est le seul à figurer dans le Top 3 de toutes les zones géographiques analysées, suivie par le secteur industriel qui décroche une place sur ce sombre podium dans cinq régions sur six. La finance (14 %), les pouvoirs publics (14 %) et l’industrie (13 %) ont constitué le trio de tête du classement des secteurs les plus attaqués.

D’après Steven Bullitt, vice-président chargé de la cyberveille et des interventions sur incidents et du GTIC pour NTT Security : « Le GTIR se base sur l’analyse de milliers de milliards de logs de sécurité consignés l’an dernier, ce qui en fait le rapport le plus complet dans ce domaine. Sur les 12 mois étudiés, nous avons identifié plus de 6 milliards de tentatives d’attaques – soit environ 16 millions par jour – et suivi la trace de cybercriminels recourant à quasiment tous les types de méthodes. Nous avons assisté des entreprises victimes de violations de données, collecté et analysé les informations de cyberveille mondiales et effectué nos propres recherches de sécurité. Les recommandations de ce rapport se fondent sur les enseignements que nous en avons tirés. »

« Notre but ultime n’est pas de susciter la crainte, l’incertitude et le doute, ni de compliquer davantage le tableau actuel des menaces, mais plutôt de mettre la cybersécurité en valeur et de s’adresser non pas à un seul public d’initiés, mais à toutes celles et ceux qui doivent faire face aux risques d’une attaque. Nous souhaitons les sensibiliser afin qu’ils comprennent leur responsabilité dans la protection de leur entreprise et l’obligation de cette dernière de les accompagner dans cette démarche. »

Pour en savoir plus sur les principales menaces mondiales mais aussi sur les mesures que le management, les équipes techniques et les utilisateurs peuvent prendre pour réduire leur exposition aux risques de sécurité, rendez-vous sur la page de téléchargement du GTIR 2017 de NTT Security : http://www.nttsecurity.com/fr/GTIR2017

Les écoles bordelaises attaquées par un code malveillant

La moitié des écoles de Bordeaux victimes d’un étrange code malveillant.

Voilà qui est fâcheux ! Qui a cliqué sur le fichier joint qui a mis à mal l’informatique de quasiment la moitié des écoles de Bordeaux.  Une attaque « sans précédent » indique l’adjointe au maire en charge de l’éducation, Emmanuelle Cuny, dans les colonnes de Sud Ouest. A première vue, un ransomware qui s’est promené de machine en machine dans au moins 40 écoles sur les 101 du périmètres de la ville bordelaise.

Les données pédagogiques pourraient être perdues suite à cette infection selon le quotidien r. Espérons que le mot sauvegarde soit dans la bouche et le cahier des charges de la municipalité concernant les écoles maternelles et primaires de la ville.

A noter que l’Académie de Bordeaux a un contrat avec l’éditeur d’antivirus TrendMicro. Ce dernier  propose Internet Security dans « toutes les écoles du 1er degré, publiques et privées« . A première vue, tout le monde ne l’a pas installé. Une bonne formation ne fera pas de mal non plus !

Le site ZATAZ indiquait il y a peu des chantages informatiques ayant visé des écoles britanniques. Un pirate réclamait plus de 9000 euros à plusieurs établissements scolaires après avoir chiffré les données sauvegardées dans les ordinateurs des écoles.

désinfecter les machines Windows victimes du réseau criminel, Avalanche

Le 30 novembre, une enquête approfondie a été lancée sous le nom de code “Opération Avalanche“ et s’est concrétisée par un travail de grand nettoyage extrêmement complexe, trans-juridictionnel et interprofessionnel. Ce projet, coordonné par Europol et soutenu par des partenaires éditeurs de solutions de sécurité, a ciblé des familles de malwares qui ont fait des ravages ces dernières années, causant des dommages considérables à leurs victimes, dans le monde.

L’opération Avalanche cible vingt familles de programmes malveillants différents, qui sont d’anciens botnets (toujours en activité) tels que Goznym, Marcher, Dridex, Matsnu, URLZone, XSWKit, Pandabanker, mais aussi des menaces plus récentes et plus connues, comme les souches de ransomwares Cerber ou Teslacrypt. Bien que l’ampleur des dommages ne puisse être déterminée avec précision en raison du volume élevé d’opérations traitées par la plateforme Avalanche, ces malwares ont réussi à extorquer plusieurs centaines de millions d’euros dans le monde entier.

Dans le cadre de cette opération, Europol et ses partenaires internationaux ont saisi, neutralisé ou bloqué plus de 800 000 noms de domaines utilisés par les malwares, dans le but de confisquer plus de 30 serveurs et de mettre plus de 220 serveurs hors ligne via des protocoles de notification d’abus.

Tous ces efforts garantissent l’arrêt des mécanismes de commande et de contrôle des botnets ciblés, et les empêchent de recevoir de nouvelles instructions de leurs administrateurs.

En plus des procédures judiciaires en cours, le but de cette mobilisation massive est de procéder à un nettoyage complet des malwares ciblés, afin de garantir leur suppression totale des ordinateurs des victimes, après que les centres de commande et de contrôle (serveurs C&C) aient été bloqués.

Pourquoi le nettoyage est-il nécessaire ?

Une fois les centres de commande et de contrôle rendus inutilisables, les bots sur les ordinateurs infectés ne peuvent généralement plus causer de dommages directs. Cependant, leurs tentatives permanentes de communication avec ces centres pour d’autres instructions conduisent non seulement au gaspillage des cycles CPU précieux, mais génèrent aussi du trafic Internet indésirable. Dans certains cas, ces bots modifient la configuration de base de l’ordinateur, ce qui peut l’empêcher de se connecter à Internet ou d’accéder à des ressources spécifiques. Un exemple bien connu de ce comportement est le malware DNS-Changer qui a rendu impossible l’accès à Internet pour près de 25000 ordinateurs, suite à la fermeture de son centre de commande et de contrôle.

BitDefenser propose son outil.

Les tools d’Avast.

Un cheval de Troie a leurré les clients de 18 banques françaises

Les Français sont de plus en plus mobiles et veulent pouvoir effectuer certaines activités quotidiennes où qu’ils se trouvent. Par exemple, selon un récent sondage du Conseil Supérieur de l’Audiovisuel (CSA), 92 % des personnes possédant un téléphone portable l’utilisent pour consulter leurs comptes bancaires. Bien que ces applications soient utiles à de nombreux égards, elles représentent aussi des portes dérobées pour les hackers à l’affût de données sensibles.

D’ailleurs, une déclinaison du cheval de Troie GM Bot, appelé aussi Acecard, Slembunk et Bankosy, vise actuellement les clients de plus de 50 banques dans le monde, dont 18 en France, y compris BNP Paribas, la Société Générale ou encore Le Crédit Agricole. Rien que le trimestre dernier, GM Bot a pris pour cible des centaines de milliers d’utilisateurs de portables. Nikolaos Chrysaidos, Responsable des menaces et de la sécurité mobile chez Avast, revient sur les procédés de ce malware nuisible et sur les façons de s’en protéger : « GM Bot est un cheval de Troie qui ressemble, à première vue, à une application inoffensive. Il est surtout téléchargeable sur des plateformes tierces de téléchargement d’applications qui disposent de contrôles de sécurité bien moins pointus que sur ceux des stores d’Apple et de Google. GM Bot se déguise souvent en une application dont le contenu est réservé aux adultes ou à un plug in, comme Flash ».

Une fois téléchargée, l’icône de l’application disparait de la page d’accueil de l’appareil, mais cela ne signifie pas pour autant que le programme malveillant a quitté le terminal. L’application demande alors constamment des identifiants de connexion divers et variés. S’il parvient à se les procurer, le malware peut rapidement causer de sérieux dégâts.

Doté des identifiants de connexion, GM Bot peut contrôler tout ce qui se passe sur l’appareil infecté. Le malware s’active quand une application préalablement listée s’ouvre, liste comprenant principalement des services bancaires. Lorsque l’utilisateur ouvre l’une de ces applications, GM Bot affiche un cache ressemblant à la page d’accueil au lieu d’ouvrir la page de l’appli légitime. Berné, la victime rentre ses identifiants sur ce cache, et ses informations sont directement envoyées aux cybercriminels. Cette technique d’ingénierie sociale est très souvent utilisée pour tromper l’utilisateur et l’inciter à révéler ses données personnelles.

Pire encore ! GM Bot peut intercepter les SMS et est donc en mesure de voler les codes d’authentification à deux facteurs lors d’une transaction sans que le propriétaire ne s’en rendre compte. Ainsi, le malware récupère et partage des informations tels que le cryptogramme de sécurité au verso de la carte bancaire, les codes reçus par SMS, ou encore les numéros de téléphones.

Le code source du cheval de Troie GM Bot a fuité en décembre 2015, il est donc désormais à la portée de n’importe qui possédant quelques notions d’informatique.  Les cybercriminels peuvent même aller plus loin et ajuster le code du malware afin d’obtenir plus d’informations. Cela signifie que de nouvelles versions aux capacités changeantes sont constamment créées. Dans certains cas, par exemple, les hackers infiltrés demandent aux victimes d’envoyer les scans recto-verso de leur carte d’identité.

Heureusement, il existe des solutions efficaces qui détectent et bloquent le cheval de Troie et tout type de logiciel malveillant avant que celui-ci ne compromette l’appareil de l’utilisateur. Toutefois, il est également crucial de télécharger toutes ses applications depuis des plateformes sûres et sécurisées, telles que l’App Store d’Apple et le Play Store de Google. Les autres sources proposent certes des applications qu’on ne trouve pas toujours sur les plateformes de confiance ou offrent des applis habituellement payantes, mais cela est bien souvent trop beau pour être vrai. Enfin, les utilisateurs doivent être vigilants et ne pas donner les droits administrateurs de leurs applis à n’importe qui. Cette mesure est capitale car la personne qui détient ces droits est alors en mesure de contrôler l’appareil via l’appli en question.

Ransomware : 10 conseils pour les éviter

Le ransomware, une menace bien réelle. Une fois qu’ils ont infecté un ordinateur ou un réseau d’entreprise, ces malwares en cryptent toutes les données et exigent le paiement d’une rançon pour pouvoir récupérer la clé de cryptage.

Les victimes d’un ransomware sont souvent démunies face à cet arrêt brutal de leurs systèmes, et se tournent vers différentes sources pour chercher de l’aide, mais il est déjà bien trop tard.

Heureusement, il existe de nombreux moyens d’anticiper ce type d’attaques avancées afin réduire leur impact. La clé ? Une solution de sauvegarde éprouvée. Qu’il s’agisse de logiciels de demandes de rançons, les attaques informatiques ciblent tout le monde : particuliers, petites entreprises, ou encore grands groupes. Une attaque réussie peut être particulièrement onéreuse et nuire à la réputation de la marque.

C’est pourquoi il est important de prendre conscience du danger et suivre les 10 conseils suivants :

1. Comprendre le ransomware : il est courant de considérer – à tort – que les PME ne constituent pas des cibles d’attaque intéressantes. En fait, les faits suggèrent même le contraire. Tout le monde est une cible : aucune entreprise, aucun compte bancaire ne fait exception.

2. Sécuriser tous les vecteurs de menace : les attaques d’un ransomware exploitent plusieurs vecteurs, notamment le comportement des utilisateurs, les applications et les systèmes. Les six principaux vecteurs d’attaque sont les e-mails, les applications web, les utilisateurs à distance, les utilisateurs sur site, le périmètre réseau et l’accès à distance. Une sécurité complète doit englober tous ces vecteurs. Un pare-feu ne suffit plus.

3. Sécuriser tous les angles d’attaque : en raison de leurs nombreux avantages les réseaux hybrides sont de plus en lus nombreux. La sécurisation efficace des applications SaaS ou Cloud, comme Office 365, nécessite une solution complète, conçue pour gérer les réseaux hybrides de façon centralisée.

4. Éduquer les utilisateurs : le comportement des utilisateurs peut être la plus grande vulnérabilité d’une entreprise. Une bonne sécurité est une combinaison de mise en œuvre, de suivi et d’éducation des utilisateurs, particulièrement contre les menaces comme l’hameçonnage, le harponnage, le typosquatting et l’ingénierie sociale.

5. Ne pas oublier les télétravailleurs : la révolution mobile stimule la productivité, la collaboration et l’innovation, mais elle entraine aussi un taux plus élevé de travailleurs à distance se connectant sur des appareils souvent personnels. Cela peut créer une faille de sécurité importante si les terminaux et les flux ne sont pas sécurisés.

6. Maintenir les systèmes à jour : lorsque des vulnérabilités dans des plateformes, des systèmes d’exploitation et des applications sont découvertes, les éditeurs publient des mises à jour et des correctifs pour les éliminer. Il faut donc s’assurer de toujours installer les dernières mises à jour, et ne pas utiliser de logiciels obsolètes qui ne seraient plus supportés par l’éditeur.

7. Détecter les menaces latentes. Toute infrastructure contient un certain nombre de menaces latentes. Les boîtes de réception d’e-mails sont remplies de pièces jointes et de liens malveillants qui n’attendent qu’un clic pour entrer en action. De même, toutes les applications, qu’elles soient hébergées localement ou basées dans le Cloud, doivent être régulièrement scannées et mises à jour avec leurs correctifs, permettant ainsi de lutter contre d’éventuelles vulnérabilités.

8. Empêcher les nouvelles attaques : le domaine du piratage est en évolution permanente, des attaques sophistiquées, ciblées ou de type « zero day » se multiplient et cibleront, un jour ou l’autre, toutes les entreprises. Pour les arrêter, il faut mettre en place une protection dynamique et avancée, avec une analyse de sandbox et un accès précis à des renseignements internationaux sur les menaces.

9. Utiliser une bonne solution de sauvegarde : un simple système de sauvegarde fiable permet de se remettre de nombreuses attaques en quelques minutes ou quelques heures, pour un coût dérisoire. Si les données sont corrompues, chiffrées ou volées par un logiciel malveillant, il suffit de les restaurer à partir de la dernière sauvegarde. Cela permet à une entreprise de, rapidement, reprendre ses activités.

10. Préserver la simplicité de la gestion : comme la complexité des réseaux et des menaces augmente, il est facile de laisser la gestion de la sécurité devenir un fardeau majeur pour le personnel informatique. Cette gestion complexe et décousue ouvre la porte à davantage de négligences qui peuvent affaiblir la sécurité. Pour réduire les risques et les coûts au minimum, il est nécessaire de mettre en place une solution simple et complète offrant une administration de la sécurité centralisée et une visibilité sur l’ensemble de l’infrastructure. (Par Wieland Alge, VP et DG EMEA)

Ransomware : la menace prend son envol

Aux États-Unis, le FBI a récemment publié un rapport affirmant que les victimes de ransomware auraient réglé plus de 209 millions de dollars sur le seul 1er trimestre 2016, contre 24 millions de dollars sur l’ensemble de 2015. Les chiffres s’envolent et le ransomware est rapidement devenu un logiciel malveillant à la mode ciblant de nombreux pays et profils d’utilisateurs. Le racket qui en découle est malheureusement une réalité de tous les jours pour nombre de victimes.

Le ransomware n’est guère nouveau et existe, selon certains experts, depuis 1989, avec l’apparition du cheval de troie « AIDS ». Cependant, il faut attendre 2005 pour voir une variante de ce logiciel malveillant utiliser un chiffrement asymétrique pour la première fois. Depuis, le ransomware est devenu une arme de prédilection pour les cybercriminels. Notons que depuis 2013, la généralisation du Bitcoin joue le rôle de catalyseur, en offrant aux cybercriminels le moyen de recevoir des fonds de manière parfaitement anonyme.

Parallèlement, c’est l’utilisation de Tor et de réseaux décentralisés similaires qui rend la tâche plus simple : les cybercriminels déploient des plateformes dédiées à des infections de masse, dans un modèle de type Ransomware-as-a-service (RaaS), et optimisent les gains détournés auprès de leurs victimes (même après redistribution de 20% ou plus des revenus aux affiliés qui participent aux campagnes RaaS). Le ransomware a ainsi évolué au fil du temps, et cette évolution donne certaines perspectives sur le futur de ce malware.

L’omniprésence annoncée des ransomware
Comme mentionné, il existe deux grandes familles de ransomware, mais on note que les différences tendent à s’estomper. À titre d’exemple, un crypto-ransomware récemment identifié empêche, s’il chiffre les données, également d’accéder à certains sites Web à partir du PC infecté, jusqu’au paiement de la rançon.

Le distinguo tend également à s’atténuer alors que les ransomware se veulent compatibles à de nouvelles plateformes, au-delà des PC, à savoir les dispositifs mobiles. Les ransomware ciblent ainsi le système d’exploitation Android, et nous avons identifié des variantes (comme FLocker) qui s’en prennent aux objets connectés comme les Smart TV. FLocker exige une carte cadeau iTunes d’une valeur de $200 avant de permettre au téléspectateur de pouvoir accéder à nouveau à sa TV et ses programmes.

Selon l’analyste Gartner, il y a aura 6,4 milliards d’objets connectés d’ici la fin de 2016, et 21 milliards d’entre eux à l’horizon fin 2020. Le nombre de victimes potentielles s’annonce ainsi considérable !

Le ransomware, à l’image d’une pandémie, évolue et trouve en permanence de nouveaux vecteurs d’infection et d’attaque. De nouvelles variantes apparaissent, toujours plus sophistiquées et réinventant les techniques d’infection. Le souci est que cette évolution ne marque aucun temps d’arrêt.

Pour les familles SamSam et ZCryptor par exemple, nous avons récemment identifié une propension à se propager de manière latérale, au sein du périmètre interne du réseau, reprenant ainsi à leur compte le comportement des vers pour proliférer sur un réseau.

Il faut dire que l’évolution du ransomware est, à vrai dire, plutôt proche de la théorie de Darwin sur le sujet ! Ainsi, un ransomware qui s’étend à partir d’une seule machine peut être vu comme un arthropode primaire qui émerge de la mer pour la première fois. Cette étape majeure est en réalité intervenue il n’y a que quelques mois, ce qui nous amène à nous interroger : mais comment le ransomware peut-il évoluer si rapidement ?!

En premier lieu, les victimes sont nombreuses à régler la rançon demandée (près d’un tiers des Français se disent prêt à payer cette rançon), ce qui encourage les cybercriminels à poursuivre leurs exactions et capitaliser sur un business toujours plus lucratif. Sans rentrer dans le débat de savoir s’il faut payer ou non, la récupération de certaines données critiques chiffrées plaide parfois en faveur de ce paiement. Mais attention, ce règlement n’est pas une garantie de pouvoir récupérer ses données. La valeur du Bitcoin étant particulièrement volatile, il semblerait, selon certains rapports, que des entreprises se soient procurées des bitcoins pour se préparer à une possible infection par ransomware. Il est intéressant de constater que la demande de bitcoins est à la hausse, avec un taux de change qui a presque doublé au cours des trois derniers mois, pour atteindre 768 dollars.

On imagine que les auteurs de ransomware gèrent leur business à l’image d’une entreprise classique, réinvestissant une part conséquente de leurs fonds détournés dans la recherche et développement. À l’instar d’un éditeur de logiciel, on imagine qu’ils disposent de chefs de projets, d’une roadmap produit et d’ingénieurs capables de restaurer les bugs ou d’enrichir le panel fonctionnel de leur ransomware.

Quelles sont les perspectives ?
Le ransomware est devenu tellement omniprésent qu’on peut s’interroger sur sa marge de progression. Et pourtant, de nouveaux territoires d’infection sont à envisager…

  • Systèmes de contrôle industriels / SCADA

Il reste encore un univers qui est, pour l’instant, à l’abri du ransomware : les systèmes de contrôle industriels au sein des environnements de production : usine chimique, centrales nucléaires, centrales électriques, etc. Ces systèmes sont pourtant des proies idéales pour le ransomware.

Aucune information, tout du moins publique, ne permet à ce jour de conclure à l’existence de cas d’infection au sein des environnements industriels. Cependant, la question est légitime car toute stratégie de sécurité est susceptible de présenter des lacunes…

Ces systèmes industriels sont peu protégés et plutôt fragiles. C’est un fait connu. Certaines variantes actuelles de ransomware pourraient donc se contenter de frapper à la bonne porte, ce qui laisse penser qu’il est probable que la menace émergera tôt ou tard au sein de ces environnements industriels. Nous constatons déjà que le ransomware cible certains profils de victimes, comme les acteurs de soins de santé, qui doivent s’acquitter d’une rançon élevée car nombre de ces acteurs ont déjà accepté, dans le passé, de payer la rançon. Quid des gouvernements ? Seraient–ils prêts à céder au chantage pour prévenir toute problématique au sein d’une centrale nucléaire ?

C’est pour répondre à ces défis que Fortinet a imaginé son architecture ISFW (Internal Segmentation Firewall) qui empêche les assaillants de se mouvoir latéralement au sein des réseaux industriels ou d’entreprise.

  • CLOUD

Face à un ransomware qui prolifère presque à sa guise, quelles sont les perspectives ?

Compte tenu de son historique, on imagine facilement que le ransomware continuera à proliférer. Car pour survivre et se développer, le ransomware suit les données où qu’elles se trouvent. Les données migrent vers le cloud, qui devient ainsi un terrain particulièrement fertile pour les ransomware.

Apple a récemment annoncé que son service gratuit icloud passait de 20 à 150 Go de stockage, faisant du stockage de données privées et personnelles dans le cloud la nouvelle norme. Les cybercriminels pourraient tirer parti d’une API pour chiffrer des données stockées en ligne. Car, après tout, le Cloud repose sur des systèmes appartenant à une personne ou entité.

Plus que jamais, il est essentiel que des sauvegardes soient réalisées de manière régulière, quelle que soit la plateforme cloud utilisée. Pour mieux accompagner les organisations, Fortinet étudie en permanence les menaces liées au ransomware et repense les approches capables de neutraliser les nouveaux vecteurs et variantes. Nous renforçons notre capacité à détecter et neutraliser les menaces, et à concevoir des mesures de rétorsion en se focalisant sur des nouveaux modèles de prévention.

  • LES HUMAINS

Sans verser dans la science-fiction, on est néanmoins en droit de s’interroger : compte tenu des risques associés à l’Internet des Objets, est-il possible le fait que le ransomware passe un jour du monde numérique vers nos systèmes biologiques ?

Que se passerait-il si un ransomware vous empêchait d’utiliser votre prothèse de bras ou vos dispositifs et implants médicaux (pacemaker par exemple ?). Ces risques ne doivent pas être écartés !

Fort heureusement, il s’agit encore à ce jour de spéculation, mais, pour autant, sommes-nous si loin de la réalité ? La science-fiction a nourri nombre de nos inventions … L’évolution étant un processus permanent, nous pouvons nous attendre à l’émergence de nouveaux vecteurs et cibles. Et si, demain, les ransomware implantaient des modules de contrôle au sein de votre voiture sans conducteur, venaient perturber une opération chirurgicale assistée par robot ou vous empêchaient d’accéder à votre propre maison connectée ? Et que dire des dispositifs infectés capables de déployer et gérer d’autres dispositifs ? Sommes-nous vraiment si éloignés d’une situation, aujourd’hui encore fictive, avec des machines qui prendrait le contrôle sur les humains ? Nous sommes particulièrement enthousiastes face aux promesses que nous dévoile le futur. Mais nous devons être encore plus enthousiastes à protéger ce monde à venir. (Par David Maciejak, expert sécurité chez Fortinet)

Locky and co ! Le ransomware est maintenant la première menace en Europe

Locky a encore de l’avenir ! L’agence européenne de police, Interpol, estime dans le rapport annuel sur la cybercriminalité qu’elle vient de rendre public, que « le ransomware est maintenant la première menace en Europe » tout en ajoutant que cela allait empirer dans les mois et années à venir.

Locky et ses amis n’ont pas fini de perturber les boites mails ! Vade Secure, l’éditeur français spécialisé dans les solutions de protection des boites de messagerie (300 millions de boîtes protégées à travers le monde) alerte depuis longtemps sur la montée en puissance des ransomware.

Florian Coulmier, Responsable Production et Cybercriminalité de Vade Secure commente : « Nous, comme de nombreux experts, avions prédit que l’année 2016 serait l’année du ransomware. Et effectivement, les vagues de ransomware sont progressivement montées en puissance et ont très largement ciblé les entreprises, notamment en France, le désormais célèbre Locky en tête. Preuve de cette tendance, le nombre de variantes de ransomware a fortement augmenté, et l’on en décompte pas moins de 120 aujourd’hui. Le niveau de technicité de ces attaques augmente également et les hackers les font évoluer très rapidement dans le temps pour trouver de nouvelles parades aux outils de détection : Satana était une évolution de Locky qui était lui-même une évolution de Petya, lui-même une évolution de Dridex, etc. »

En France, Locky reste de loin le ransomware le plus présent. Vade Secure a identifié des vagues de Locky particulièrement extraordinaires à différentes périodes cette année, avec des pics à plus de 1,2 millions de Locky bloqués en 24h, en mars. Alors qu’en période « normale », la solution de filtrage des emails dans le Cloud de Vade Secure (Vade Secure Cloud) détecte en moyenne 25 000 malwares par jour. Et les vagues de Locky continuent d’ère massivement diffusées (notamment via le botnet Necurs), avec des pics fin août/début septembre. Le business Locky reste donc très lucratif pour les cybercriminels, notamment auprès des TPE/PME clairement les cibles principales du ransomware du fait de leur niveau de sécurisation moindre face à ce type d’attaques.

Ces derniers mois, une tendance est apparue, celle des ransomware tentant de se faire passer pour Locky pour faire peur aux cibles visées et leur faire croire qu’elles sont obligées de payer, sans autre solution. En réalité, ces souches de ransomware (Bart ou PowerWare par exemple) sont beaucoup moins dangereuses car le cryptage peut être cassé, même avec des outils gratuits. Il faut désormais savoir distinguer le vrai Locky, de ces imitations ».

« Nous avons également identifié des nouvelles tendances cette année et qui sont clairement vouées à se développer,  indique Régis Benard. C’est le cas du ransomware-as-a-service (RaaS) avec des premiers cas tels que Cerber. Pour maximiser leurs impacts et leurs revenus, les cybercriminels proposent, en communiquant très simplement sur Internet, à des volontaires de diffuser leurs ransomware dans leur propre pays. »

Cela traduit réellement une professionnalisation du marketing du ransomware et nous voyons même apparaître aujourd’hui de véritables services après–vente qui proposent d’accueillir les victimes pour les aider à payer la rançon… Nous sommes clairement aujourd’hui de plus en plus loin des attaques de malware artisanales.

Et pour compléter le tableau, nous pouvons ajouter l’apparition cette année de la nouvelle menace du ransomware-as-a-Freeware (RaaF) pour lequel un développement rapide est à prévoir. Les RaaF tels que Shark, sont distribués en freeware avec une exigence : la remise d’une partie des gains mal acquis à ses créateurs. La valeur ajoutée du RaaS et du RaaF et leur dangerosité, c’est que ces types de ransomware nécessitent un minimum d’efforts pour un maximum de résultats .

Enfin, les chiffres montrent que depuis la rentrée les attaques de ransomware sont régulières, massives, et que le ransomware représente en effet la quasi-totalité des attaques. Nous allons continuer à entendre parler majoritairement de Locky (car les fichiers sont renommés en .locky) mais de plus en plus de Zepto et de Odin, les petits derniers probablement issus de la même souche virale.