Archives par mot-clé : ransomware.

Cybersécurité, loi

L’AUSTRALIE REVISE SA STRATÉGIE CYBERSÉCURITÉ SANS INTERDIRE LES PAIEMENTS DE RANÇONS

Le gouvernement australien a choisi de ne pas interdire les paiements de rançon dans le cadre de sa nouvelle stratégie nationale de cybersécurité, contrairement à ce qui avait été initialement envisagé.

Annoncée il y a quelques jours, la nouvelle stratégie de l’Australie face aux rançongiciels met l’accent sur une obligation de déclaration obligatoire des incidents de ransomware. L’idée, tout comme en France ou encore aux USA, alerter les autorités et ne rien cacher des infiltrations liées à une cyberattaque, dont les ransomwares. Bilan, le gouvernement australien ne souhaite plus interdire le paiement de rançon, mais contrôler au mieux.

Cette révision stratégique, dévoilée presque un an après que la ministre de l’Intérieur et de la Cybersécurité, Clare O’Neil, ait proposé de criminaliser les paiements de rançon, fait suite à plusieurs incidents majeurs affectant des entreprises australiennes. Dotée d’un budget de 587 millions de dollars australiens sur sept ans, soit plus de 350 millions d’euros, cette stratégie vise à atténuer l’impact des ransomwares, estimé à 3 milliards de dollars australiens de dommages annuels [1,8 milliard d’euros] pour l’économie du pays.

Le gouvernement australien va donc introduire une obligation pour les entreprises de signaler les attaques de ransomware. Cette mesure vise à combler le manque d’informations sur l’impact réel de ces incidents sur l’économie nationale. Le gouvernement envisage de partager des rapports anonymisés sur les tendances des ransomwares et de la cyberextorsion avec l’industrie et la communauté pour renforcer la résilience nationale contre la cybercriminalité.

L’attaque contre Medibank, l’un des plus grands fournisseurs d’assurance maladie du pays, est l’un des incidents les plus médiatisés, ayant abouti à la publication en ligne de données sensibles sur environ 480 000 personnes. O’Neil a exprimé sa préférence pour une interdiction totale des paiements de rançon afin de saper le modèle économique des cybercriminels, mais a reconnu que ce n’était pas le bon moment pour une telle mesure. Le gouvernement reconsidérera cette possibilité dans deux ans. En réponse aux attaques, le gouvernement australien a lancé l’Opération Aquila, une collaboration entre la police fédérale australienne et l’agence nationale de cyber-intelligence, pour combattre la cybercriminalité en utilisant des capacités offensives.

Parallèlement, le projet REDSPICE bénéficiera d’un financement accru pour renforcer les cybercapacités offensives du pays. Ces capacités resteront confidentielles. L’Australie, comme de nombreux autres pays, s’est engagée à ne pas payer de rançons en cas d’attaque de ses réseaux. Une annonce faîte, en novembre 2023, lors de la réunion spéciale « Ransomware » organisée par la Maison Blanche.

Cybersécurité, Justice, loi, Securite informatique

Ransomware : partage d’informations et suivi des paiements

Une coalition mondiale de dirigeants gouvernementaux en matière de cybersécurité annoncent des efforts visant à renforcer le partage d’informations sur les menaces numériques et à s’attaquer aux paiements en cryptomonnaies des chantages numériques.

Lors de sa réunion à Washington, la Maison Blanche a décidé de mettre les bouchées doubles à l’encontre des rançongiciels et maîtres-chanteurs adeptes de ransomware. L’administration Biden a accueilli des responsables de 47 pays pour son Initiative internationale de lutte contre les ransomwares –  (International Counter Ransomware Initiative – CRI), au cours de laquelle les participants ont dévoilé un certain nombre d’actions.

La Maison Blanche a exhorté, ce 31 octobre, les gouvernements participants à prendre un engagement politique commun annonçant qu’ils ne paieraient pas de rançon aux cybercriminels. « Nous n’en sommes pas encore là, avec 50 pays, ce sera de la haute voltige« , a déclaré Anne Neuberger, conseillère adjointe à la sécurité nationale pour la cybersécurité et les technologies émergentes. Bref, une posture politique déjà prise en octobre 2021.

International Counter Ransomware Initiative

De son côté, le Conseil de sécurité nationale des États-Unis (NSC) exhorte les gouvernements de tous les pays participant à l’Initiative internationale de lutte contre les ransomwares (CRI) à publier une déclaration commune annonçant qu’ils ne paieront pas de rançon aux cybercriminels. La France, via l’ANSSI, l’Agence Nationale de Sécurité des Systèmes d’Information, a été l’une des premiéres structures à rappeler ce fait : ne payez pas !

Il faut dire aussi qu’il n’existe pas de norme mondiale sur la question suivante : Le paiement d’une rançon doit-il être effectué lors d’une cyberattaque ? Une plateforme de partage d’informations doit être mise en place « où les pays pourront s’engager à partager rapidement des informations après un incident majeur ». Une plate-forme gérée par les Émirats arabes unis.

L’argent des pirates, le nerfs de la guerre !

Les américains non jamais partagé auparavant des portefeuilles pirates, ni d’informations concernant les portefeuilles de la blockchain qui déplacent des fonds illicites liés aux ransomwares. D’ici peu, ces données seraient partagées avec les départements du Trésor du monde entier.

Le CRI a été lancé en 2021 avec 31 membres Australie, Brésil, Bulgarie, Canada, République tchèque, République dominicaine, Estonie, Union européenne, France, Allemagne, Inde, Irlande, Israël, Italie, Japon, Kenya, Lituanie, Mexique, Pays-Bas, Nouvelle-Zélande, Nigéria, Pologne, République de Corée, Roumanie, Singapour, Afrique du Sud, Suède, Suisse, Ukraine, Émirats arabes unis, Royaume-Uni et États-Unis) et en a ajouté d’autres à mesure que les ransomware gagnaient du terrain, comme le gouvernement du Costa Rica.

Le pays avait été paralysé après avoir refusé de payer une rançon de 20 millions de dollars aux pirates du groupe CONTI, le 16 avril 2022. L’expérience du Costa Rica montre que la politique peut également jouer un rôle dans la décision d’un gouvernement. Lors d’une comparution au Centre d’études stratégiques et internationales (CSIS) à la fin du mois de septembre, le président costaricien Rodrigo Chaves a déclaré que même si le paiement d’une rançon aurait nécessité une législation, il ne l’aurait pas fait même s’il en avait eu la possibilité.

A noter que cette demande de ne pas payer ne concerne que les Pays. Les paiements de rançons améliorent non seulement les capacités des groupes de cybercriminalité, mais qu’ils peuvent également financer d’autres actions malveillantes ou des Etats-nation aux intérêts criminels et/ou terroristes. Bien qu’aucun gouvernement national n’ait publiquement reconnu avoir payé une rançon, rien n’empêche de penser que certains ont payé le silence des pirates, comme ont pu le faire des milliers d’entreprises privées de part le monde.

cyberattaque, Entreprise

Les sauvegardes, une source lucrative pour les cybercriminels

Les ransomwares se sont avérés être une source lucrative pour les cybercriminels, avec des sauvegardes souvent insuffisamment protégées pour éviter les dommages ou le versement d’une rançon. De plus, le paiement ne garantit pas toujours une récupération réussie des données.

D’après une enquête menée par Veeam et présentée dans le Ransomware Trends Report, 40% des entreprises mondiales adoptent une politique de non-paiement en cas d’attaque de ransomware. Cependant, plus de 80% finissent par payer la rançon demandée par les pirates informatiques suite à une attaque. L’étude a interrogé environ 1 200 organisations et analysé 3 000 cyberattaques survenues l’année dernière.

L’enquête a révélé des informations précieuses sur la récupération après une attaque de ransomware. Dans 59% des cas, l’entreprise concernée a pu récupérer ses données après avoir payé la rançon. Dans 4% des cas, aucune rançon n’a été exigée. Par ailleurs, 16% des entreprises ont réussi à récupérer leurs données cryptées sans payer de rançon.

Cependant, 21% des organisations qui ont payé une rançon n’ont pas réussi à récupérer leurs données. Selon Veeam, cela inclut des situations où la clé de déchiffrement n’a pas été fournie ou ne fonctionnait pas.

Une attaque paralyse également les applications

Il est important de noter que la récupération des données ou l’empêchement de leur propagation ne résout pas l’intégralité du problème. Souvent, une attaque paralyse également les applications et les services numériques, nécessitant des réparations approfondies et une meilleure mise en place de la sécurité après l’attaque.

Par exemple, après l’attaque par ransomware de décembre dernier, la ville d’Anvers n’a pu restaurer ses principaux services numériques qu’un mois et demi plus tard, et six mois après l’attaque, tout n’était toujours pas rétabli. L’administration communale a admis cette semaine à Data News que de nombreux processus étaient complexes et nécessitaient une révision pour prévenir de futures attaques.

Veeam a également souligné que dans 93% des attaques, les cybercriminels tentent également de compromettre les sauvegardes, rendant la récupération des données plus difficile sans payer de rançon. Dans 75% des cas, les criminels ont réussi à entraver la récupération des données. L’entreprise recommande donc d’utiliser des sauvegardes inaltérables et d’intégrer des ‘air gaps’ (trous d’air) pour séparer la sauvegarde d’Internet et la protéger contre les attaques de ransomware.

Assurance en cybersécurité

L’impact du succès des ransomwares se fait également sentir dans le secteur de l’assurance en cybersécurité. 21% des répondants à l’enquête ont indiqué que leur assurance n’incluait pas le risque de ransomware. Trois quarts des participants ont constaté une augmentation de leur prime d’assurance l’année dernière, 43% ont fait état d’exigences accrues de la part de l’assureur, tandis que 10% ont déclaré être moins couverts qu’auparavant.

Cette tendance souligne l’importance de mettre en place des mesures de sécurité robustes pour protéger les données et les systèmes d’information contre les attaques de ransomware. Les entreprises doivent également se préparer à faire face à des augmentations de primes d’assurance en cybersécurité et à des exigences plus strictes de la part des assureurs, car le risque de cyberattaques continue de croître.

En conclusion, bien que le paiement d’une rançon puisse parfois permettre de récupérer des données, les entreprises doivent prendre conscience que cela ne garantit pas une récupération complète et peut également encourager davantage d’activités criminelles. Par conséquent, des mesures préventives, telles que l’amélioration de la sécurité des sauvegardes et le renforcement de la protection contre les ransomwares, doivent être prioritaires pour les organisations.

Chiffrement, cyberattaque

Ransomware : 4 entreprises sur 10 ne récupèrent pas toutes leurs données

Plus de 4 entreprises sur 10 ne récupèrent pas toutes leurs données après le versement d’une rançon. Plus d’un tiers des entreprises ayant payé une rançon ont été visées une seconde fois par des cybercriminels.

En complément de son Rapport 2022 sur la gestion des cyber risques, Hiscox, assureur spécialiste de la protection cyber pour les petites et moyennes entreprises, a dévoilé un nouveau focus dédié aux ransomwares. Pour rappel, le business des assurances cyber s’est vue renforcée, en décembre, avec la possibilité pour les entreprises impactées par un ransomware (ou une cyber attaque) d’être remboursée par leur assureur. L’assureur Hiscox met en évidence les limites du paiement des rançons par les entreprises : 59% des entreprises ayant payé une rançon à des cybercriminels n’ont pas réussi à récupérer toutes leurs données.

Les statistiques montrent que le paiement des rançons ne résout pas tous les problèmes. Il n’est, par exemple, souvent pas possible de restaurer pleinement son système informatique ou d’éviter une fuite des données. Le rapport montre qu’il est plus efficace d’investir dans la mise en œuvre d’une cyber défense solide – en maintenant les logiciels à jours, en organisant des formations internes régulières, en sauvegardant fréquemment ses données – ainsi que dans la préparation d’une réponse appropriée en cas d’attaque, plutôt que de payer systématiquement les cybercriminels.

Un chiffre est particulièrement éloquent : plus d’un quart (26%) des entreprises qui ont payé une rançon dans l’espoir de récupérer leurs données l’ont fait parce qu’elles n’avaient pas de sauvegardes.

Outre la perte de données, une part significative des entreprises ayant payé les rançons a été confrontée à d’autres problèmes :
43 % ont dû reconstruire leurs systèmes, alors même qu’elles avaient reçu la clé de déchiffrement
36 % ont subi une autre attaque par la suite
29 % ont vu leurs données divulguées
Dans 19 % des cas, le pirate a ensuite exigé plus d’argent
Dans 15 % des cas, la clé de déchiffrement n’a pas fonctionné
Plus d’un quart (26 %) a estimé que l’attaque avait eu un impact financier important, menaçant la solvabilité et la viabilité de leur entreprise.

Cybersécurité, Entreprise, Mise à jour

70% des cyber-incidents dus à l’hameçonnage et aux vulnérabilités logicielles

Un rapport sur la réponses aux incidents révèle les tendances et les implications futures et propose des recommandations basées sur les données recueillies au cours d’une année entière d’enquêtes. 7 cas sur 10 de cyber attaques dus à l’hameçonnage et aux vulnérabilités logicielles.

Selon un nouveau rapport de Palo Alto Networks, l’utilisation intensive des vulnérabilités logicielles est le reflet du comportement opportuniste des acteurs de la menace, qui écument l’Internet à la recherche de failles et de points faibles à exploiter. Le rapport 2022 des équipes de l’Unit 42 offre un très large éventail d’informations extraites du travail sur la réponse aux incidents. S’appuyant sur un échantillon de plus de 600 cas de réponse aux incidents étudiés, le rapport a pour but d’aider les RSSI et les équipes de sécurité à comprendre les principaux risques de sécurité auxquels ils sont confrontés, et à déterminer les domaines auxquels affecter en priorité des ressources pour limiter ces risques.

Dans ce rapport, les secteurs de la finance et de l’immobilier figuraient parmi ceux qui recevaient les montants moyens de demandes de rançon les plus élevés : en moyenne, environ 8 millions et 5,2 millions de dollars, respectivement. Dans l’ensemble, les ransomware et la compromission des emails professionnels (BEC) ont été les deux principaux types d’incidents que l’équipe de réponse aux incidents a dû gérer au cours des 12 derniers mois. Ils représentent environ 70 % des cas de réponse aux incidents.

« A l’heure actuelle, la cybercriminalité est une activité dans laquelle il est facile de se lancer, en raison de son faible coût et de sa rentabilité souvent élevée. Dans ce contexte, des acteurs de la menace novices et non qualifiés peuvent très bien se lancer grâce à des outils tels que le hacking-as-a-service (piratage en tant que service), qui connaissent une popularité grandissante et sont disponibles sur le dark web, explique Wendi Whitmore, responsable de l’Unit 42. Les auteurs des attaques par ransomware ont en outre perfectionné leur organisation, en proposant un service client et des enquêtes de satisfaction lorsqu’ils interagissent avec les cybercriminels et les organisations victimes. »

Ransomware

Le nom d’une nouvelle victime des ransomware est publié sur les sites de fuite toutes les quatre heures. Il est vital pour les entreprises d’identifier très tôt l’activité des ransomwares. En général, les acteurs des ransomwares ne sont découverts qu’après le chiffrement des fichiers, l’entreprise victime recevant alors une demande de paiement de rançon. L’Unit 42 a constaté que le temps d’infiltration médian – c’est-à-dire le temps que les acteurs de la menace passent dans l’environnement ciblé avant d’être détectés – observé pour les attaques par ransomware était de 28 jours. Les demandes de rançon ont atteint jusqu’à 30 millions de dollars et le montant record des paiements effectivement réalisés par les victimes est de 8 millions de dollars, soit une augmentation constante par rapport aux conclusions du rapport 2022 de l’Unit 42 sur les ransomware. De plus en plus souvent, les entreprises touchées peuvent également s’attendre à ce que les acteurs de la menace utilisent la double extorsion, en menaçant de diffuser publiquement leurs informations sensibles si elles refusent de payer la rançon.

BEC (Compromission des emails professionnels)

Les cybercriminels ont utilisé toute une variété de techniques pour compromettre les emails des entreprises dans le cadre de fraude par courrier et de fraude électronique. Les formes d’ingénierie sociale, telles que le hameçonnage, sont un moyen facile et rentable de se procurer un accès secret, avec un faible risque d’être détecté. Selon le rapport, dans de nombreux cas, les cybercriminels se contentent de demander à leurs cibles involontaires de leur communiquer leurs informations d’identification, ce qu’elles font. Une fois l’accès obtenu, la durée médiane d’infiltration des attaques de type BEC est de 38 jours, et le montant moyen dérobé est de 286 000 dollars.

Les secteurs touchés

Les attaquants ciblent les secteurs d’activité lucratifs. Néanmoins, de nombreux attaquants sont des opportunistes et scrutent tout simplement l’Internet à la recherche de systèmes leur permettant d’exploiter des vulnérabilités connues. L’Unit 42 a identifié les secteurs les plus touchés parmi ses cas de réponse aux incidents : finance, services professionnels et juridiques, fabrication, soins de santé, haute technologie, commerce de gros et de détail. Les organisations de ces secteurs stockent, transmettent et traitent de gros volumes d’informations sensibles et monnayables qui attirent les acteurs de la menace.

Chiffrement, Cybersécurité

Ransomware : la rançon moyenne est de 925 162 dollars

Le montant moyen des paiements de rançons suit à une cyberattaque approche rapidement le million de dollars alors que la crise des rançongiciels continue de faire des ravages dans les organisations de toutes tailles à travers le monde.

Les rançons ne cessent d’augmenter à la fois en ce qui concerne les demandes que les paiements. Parmi les cas de réponse aux incidents en 2021, qui se trouvaient principalement aux États-Unis, la rançon moyenne demandée était d’environ 2,2 millions de dollars. Cela représente une augmentation d’environ 144 % par rapport à la demande moyenne de 900 000 $ des cas traités en 2020 par les consultants de l’Unit 42. Le paiement moyen des dossiers traités par les experts de l’Unit 42 ont grimpé à 541 010 $, soit 78 % de plus que l’année précédente.

Il semble que personne ne soit à l’abri des attaques de ransomwares comme le montre le blog ZATAZ. Les organisations dans presque tous les pays et secteurs ont été ciblées en 2021. L’analyse des sites de fuite de ransomwares a identifié la région des Amériques comme la plus touchée – 60 % des victimes recensées sont identifiés dans cette région, tandis que 31 % des victimes sont attribuées à l’Europe, au Moyen-Orient et à l’Afrique (EMEA) et 9% à l’Asie-Pacifique. Les services professionnels et juridiques, suivis de la construction, ont été les secteurs les plus ciblés, avec respectivement 1 100 et 600 victimes recensées sur les sites de fuite.

Les effets à long terme d’une attaque par rançongiciel peuvent représenter un défi pour les organisations. Parmi les entreprises touchées par les ransomwares, une majorité (58 %) des décideurs informatiques déclarent que leur l’organisation a payé la rançon, 14 % déclarant que leur organisation a payé plus d’une fois. Sans parler de celle qui ne souhaite pas que cela se sache et son prêt à menacer les lanceurs d’alertes.

Le rapport indique que, bien que 41 % des entreprises touchées par une attaque par ransomware aient pu récupérer en moins d’un mois, 58% ont pris plus d’un mois. 29% des entreprises interrogées attaquées par des ransomwares ont pris plus de trois mois, et 9 % ont dit qu’il leur a fallu plus de cinq à six mois pour revenir à la normale.

Les tactiques employées par ces cybercriminels reflètent la sophistication croissante et maturité du paysage des rançongiciels.

Multi-extorsion en hausse

Techniques de multi-extorsion où non seulement les attaquants chiffrent les dossiers d’une organisation, mais pratiquent aussi le « name and shame » (chantage aux victimes et/ou menacer de lancer d’autres attaques (par exemple, l’attaque DDoS) pour inciter les victimes à payer plus rapidement. En 2021, les noms et preuve de compromis pour 2 566 victimes ont été affichés publiquement sur sites de fuite de ransomware, marquant une augmentation de 85% par rapport à 2020.
​​​​
La prolifération des RaaS (Ransomware as a Services) avec la mise à disposition de « kits » et services de soutien aux cybercriminels qui réduisent leurs barrières techniques et leur permettent d’accélérer et multiplier leurs attaques.

Les principaux gangs de rançongiciels ont rapidement exploité la vulnérabilité CVE-2021-44228, communément appelée Log4Shell.

Il est fort probable que tant que les organisations ne parviendront pas à appliquer les correctifs connus pour ces vulnérabilités critiques, les attaquants continueront à les exploiter à leur avantage.

cyberattaque

Payer la rançon : le meilleur moyen d’être attaqué une seconde fois…

Les résultats d’une étude mondiale sur le ransomware menée en avril 2021 auprès de 1263 professionnels de la sécurité (aux États-Unis, en Allemagne, Espagne, Royaume-Uni, à Singapour et aux Émirats Arabes Unis, et comptant 150 professionnels français) affiche que la moitié des organisations interrogées au niveau mondial ont été victimes d’un ransomware lors des deux dernières années. L’étude démontre surtout que payer la rançon n’est pas la meilleure voie à suivre.

Dans la très grande majorité des cas, les entreprises ayant payé ont été attaquées une seconde fois : c’est le cas pour 60% des entreprises en France et 80% dans le monde.

Dans de nombreux cas les données ont tout de même été compromises, malgré le paiement : 53% des entreprises françaises estiment que leurs données ont été compromises, et sont donc toujours exposées, malgré le paiement de la rançon (45% au niveau mondial).

« Le paiement d’une rançon ne garantit en effet pas une reprise réussie. Et surtout cela ne fait qu’exacerber le problème en encourageant de nouvelles attaques. Il faut encourager les entreprises à prendre les devants sur la menace en sensibilisant et en s’équipant en solutions de sécurité axée sur la prévention » déclare Lior Div, directeur général et cofondateur de Cybereason.

Autre élément d’intérêt : les 3 pays (de l’étude) les plus ciblés par les ransomwares sont aussi ceux qui payent le moins les rançons !

Avec 70% d’entreprises ciblées au cours des 24 derniers mois, la France est bien plus ciblée par les ransomwares que les États-Unis par exemple, où environ 30% des entreprises ont dû affronter ces acteurs malveillants. L’Espagne (72%) et l’Allemagne (70%) sont les deux autres nations analysées dans le cadre de l’étude ayant été les plus ciblées.

En revanche, contrairement aux idées reçues, les pays les plus ciblés ne sont pas forcément ceux qui payent le plus : plus de 80% des entreprises américaines ont déclaré avoir accepté de payer la rançon, plus de 73% au Royaume-Uni, alors qu’elles sont moins de 50% en France (environ 43% en Espagne et 40% en Allemagne).

Les entreprises subissent des conséquences sur le long terme

  • 39% des organisations françaises ont fait état d’une perte significative de revenus à la suite d’une attaque par ransomware. Elles sont 44% au niveau mondial.
  • En France, 19% des organisations ont déclaré la démission de cadres dirigeants suite à une attaque (45% au Royaume-Unis et 50% aux Émirats arabes unis)
  • Pire, 22% des entreprises attaquées par rançongiciel ont été contraintes de cesser leur activité (c’est environ 26% au niveau mondial).

Le rapport complet mis à disposition de la presse par Cybereason révèle également dans quelles mesures les pertes subies par l’entreprise peuvent être couvertes par une cyberassurance, dans quelles mesures les organisations sont préparées à faire face aux menaces de ransomware avec des politiques de sécurité et des ressources adaptées, et des informations plus détaillées sur l’impact des attaques par ransomware par région, taille d’entreprise et secteur vertical.

En outre, le rapport fournit des données exploitables sur les types de solutions de sécurité que les organisations avaient en place avant une attaque, ainsi que sur les solutions les plus souvent mises en œuvre par les organisations après avoir subi une attaque par ransomware.

Hacking

Que faire pour éviter « l’après-ransomware » ?

Retenez une chose, pendant l’attaque, pendant qu’ils sont en train de chiffrer tous vos fichiers, les pirates continuent  leur travail. Dans de plus en plus de cas aujourd’hui, l’activité principale d’une attaque de ransomware se passe avant et après l’attaque.

Les pirates ne se contentent pas de juste infiltrer votre machine, ils analysent ensuite tous vos documents volés. Lorsqu’on parle de ransomware aujourd’hui, il ne s’agit plus du simple chiffrement des informations, il s’agit d’un accès pour ensuite tout autoriser. Les opérateurs de ransomwares  sont devenus maître de votre machine et ils comptent bien vous faire chanter.

Comme le rappelle IS Decisions, il y a un état d’esprit marketing flagrant face à la malveillance mise en place. La première étape consiste à prendre en otages les machines et les fichiers par chiffrement puis à vous demander de payer le déchiffrement de ces fichiers.

La deuxième étape consiste à menacer de divulguer les informations volées pour alerter les autorités. Avec les réglementations de type RGPD et la possibilité de lourdes amendes pour non-divulgation d’attaques, cette deuxième étape est de plus en plus courante.

La troisième étape consiste à vendre aux enchères les données volées pour les entreprises qui n’ont pas payé aux deux premières tentatives de chantage.

Comment se protéger ? La sécurité informatique à 100% n’existe malheureusement pas. C’est pourquoi il faut être organisé à l’avance afin d’être prêt pour le jour où ce genre de catastrophe se produit. Que faut-il faire ? Que ne faut-il surtout pas faire ? Il faut mettre en place des mesures préventives et proactives clés afin de fournir des couches supplémentaires de défense contre les attaques de ransomwares.

A découvrir ici.

Chiffrement, Cybersécurité

La menace cyber la plus présente pour les MSP

Les rançongiciels, la menace cyber la plus présente pour les PME. Les décideurs MSP qui gèrent les systèmes informatiques des petites et moyennes entreprises face à un danger très présent.

Un ransomware (ou rançongiciel en français) est un logiciel informatique malveillant qui prend en otage les données et/ou fichiers. Ce logiciel chiffre et bloque les fichiers que contiennent un ordinateur et demande une rançon en échange d’une clé qui permet de les déchiffrer.

Les PME, une cible de choix pour les pirates informatiques

En général, les grandes entreprises ont des systèmes de sécurité plus avancés, alors que les petites entreprises n’ont pas les moyens et les ressources pour sérieusement sécuriser leur parc informatique. Et les hackers l’ont bien compris.

Le nombre d’attaques de rançongiciels contre les PME est en augmentation. Quatre-vingt-cinq pour cent des MSP ont signalé des attaques contre des PME en 2019, contre 79 pour cent des MSP qui ont signalé la même chose en 2018.

De plus, il existe une réelle déconnexion sur l’importance des ransomwares en tant que menace. 89% des MSP indiquent que les PME devraient être très préoccupées par la menace des ransomwares. Cependant, seulement 28% des MSP déclarent que les PME sont très préoccupées par la menace.

Les MSP également dans le viseur

Les MSP sont également une cible privilégiée des attaques de ransomwares. Quatre MSP sur cinq déclarent être de plus en plus ciblés par des attaquants.

Cependant, seulement la moitié des MSP ont une expertise externe disponible pour les aider en cas d’attaque à grande échelle contre eux ou leurs clients.

«Les MSP doivent donner le ton à leurs clients PME lorsqu’il s’agit de se préparer et de répondre aux attaques de ransomwares», a déclaré Ryan Weeks, directeur de la sécurité de l’information chez Datto.

Comment s’en protéger ?

Il existe de nombreuses recommandations pour diminuer le risque d’attaque telles que former les employés aux risques de cybersécurité, mettre à jour les systèmes, renforcer les politiques de mots de passe etc. Cependant, et surtout en sécurité informatique, le risque zéro n’existe pas.

Il existe trois scenarios de défense pour ce type d’attaque :

  • Atténuation des risques: Il s’agit de mettre en place des solutions pour diminuer le risque d’attaque. L’authentification multifacteur est l’un des contrôles les plus efficaces pour se protéger contre les accès non autorisés.
  • Préparation d’un processus de récupération: Ici, il s’agit de se préparer en cas d’attaque et de réagir après l’attaque. Il ne faut surtout pas payer la rançon car vous n’êtes pas sûrs de récupérer vos données. Votre plus belle arme est d’effectuer une sauvegarde régulière de vos données afin de s’assurer de récupérer l’intégralité de vos données.
  • Détection et approche proactive: Cette approche consiste à détecter et arrêter l’attaque avant que tout dommage ne soit causé. Si vous avez en place un système pour détecter les attaques de ransomware, vous pouvez y mettre un stop avant le chiffrement de vos données.

En savoir plus…

Pour en savoir plus sur ce sujet, n’hésitez pas à vous inscrire gratuitement à la conférence en ligne organisée par BeMSP puis à participer à la session animée par FileAudit le 7 juillet à 14h30 : « Sécuriser simplement les PME contre les activités malveillantes en mode MSP ».

Intervenants :

backdoor, Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Justice, Paiement en ligne, ransomware, Securite informatique

Des experts en sécurité paient les ransomwares et facturent leurs clients

Des experts en sécurité informatique annonçaient posséder une technologie pour déchiffrer le ransomware SamSam. Il s’avère qu’ils payaient les maîtres chanteurs pour récupérer les fichiers. Ils facturaient ensuite les clients piégés.

Deux entreprises spécialisées dans la sécurité informatique annonçaient posséder une technologie capable de déchiffrer les fichiers pris en otage par le ransomware SamSam.

Il s’avère que ces experts de la cybersécurité payaient les auteurs du rançonnage. Les sociétés facturaient ensuite les clients piégés.

C’est ProPublica qui a mené une enquête sur ce phénomène. Les entreprises, Proven Data Recovery et MonsterCloud, annonçaient être capable de déchiffrer les fichiers pris en otage par le ransomwate SamSam.

Samsam, une attaque informatique qui avait perturbé le port de San Diego ou encore les ville d’Atlanta (11 millions de dollars), de Newark, des hôpitaux (dont celui d’Epinal en France) … Au USA, le Hollywood Presbyterian Medical Center avait avoué avoir payé pour récupérer ses données.

SamSam (MSIL/Samas) s’attaque aux serveurs  JBoss obsolète. Pour déchiffrer une machine, cela coute 1.7 Bitcoin (BTC). Samsam aurait été créé par deux pirates Iraniens.

Payer pour mieux déchiffrer ?

De nombreuses sociétés agissent de la sorte, l’indiquent à leurs clients. Elles agissent de la sorte par facilité et permettre de retrouver les données ! Pour MonsterCloud et Proven Data Recovery, c’est différent. Elles affirmaient avoir la technologie pour déchiffrer les informations prises en otage. Proven Data Recovery indique que cela était nécessaire, quand par exemple la santé/vie de patients pouvaient être mis en danger.

Comme l’indiquait en mars 2019 l’ANSSI, SamSam cible des entreprises estimées très rentables, appartenant à des secteurs d’activités variés, ainsi que des entités publiques à même de payer un montant conséquent en guise de rançon.

Les deux pirates Iraniens ne peuvent plus être payés par bitcoin, du moins via une entreprise américaine. L’Oncle Sam a mis sous embargo le moindre commerce avec ce pays et des entreprises américaines ou basées aux USA, faisant commerce avec les Etats-Unis. Bilan, plus possible de payer !