Archives par mot-clé : ransomware.

Base de données, Chiffrement, Communiqué de presse, cryptage, Cybersécurité, Entreprise, Fuite de données, ransomware, Securite informatique

La France toujours sous le feu des ransomware

Une nouvelle étude sur les ransomwares montre que l’impact des attaques est toujours aussi important en France et coûte cher aux entreprises.

Les résultats de la deuxième édition d’une étude mondiale présentant les conséquences des ransomwares sur les entreprises, réalisée en février 2018 par le cabinet Vanson Bourne en France, Allemagne, Royaume Uni, États-Unis a de quoi inquiéter sur le comportement des entreprises face aux Ransomwares. Cette étude, mise en place par SentinelOne, spécialiste des solutions autonomes de protection des terminaux, montre qu’en France, le nombre d’attaques a progressé, passant de 52 % en 2016 à 59 % pour les entreprises qui admettent avoir subi une attaque par ransomware au cours des 12 derniers mois. Les entreprises touchées ont dû faire face à une moyenne de 4 attaques durant cette période. A noter que l’Allemagne a vécu une année particulièrement mouvementée avec 79 % des organisations qui ont été ciblées au moins une fois par un ransomware contre 51 % en 2016.

En France, si dans 53 % des cas, l’attaque la plus réussie a permis aux attaquants de chiffrer des fichiers, cela s’est révélé sans conséquence pour l’entreprise soit parce qu’elle disposait de sauvegardes pour remplacer les données corrompues, soit parce qu’elle a été en mesure de déchiffrer les fichiers. 7 % des victimes n’ont pas trouvé de solution pour récupérer leurs données et 3 % ont préféré payer la rançon pour déchiffrer les données. A titre compartif, aux Etats-Unis, les entreprises ont davantage tendance à payer la rançon (11 % des victimes).

Des conséquences financières et réputationnelles considérables

Le coût direct de l’attaque ainsi que le temps de remédiation ne sont pas négligeables. Ainsi, le coût moyen estimé par les répondants français suite aux attaques par ransomware est de près de 650 000 euros. Le nombre moyen d’heures consacrées au remplacement des données chiffrées par des données de sauvegarde ou à la tentative de déchiffrement des fichiers est estimé à 42 heures (contre 33 heures en 2016).

Les entreprises françaises figurent parmi celles qui ont payé le montant de rançon le plus bas : ceux qui choisissent de payer ont dépensé en moyenne 31 500 euros en rançon, contre une moyenne mondiale de 38 900 euros au cours des douze derniers mois. Ces montants sont en baisse puisqu’en 2016 le montant moyen pour la France était de 85 900 euros et de 51 500 euros au niveau global.

L’ensemble des répondants français s’accordent pour dire que les ransomware ont eu un impact sur leur organisation. La conséquence la plus importante a consisté en une augmentation des dépenses de sécurité informatique (54 %) ainsi qu’un changement de stratégie de sécurité pour se concentrer sur l’atténuation (34 %). En outre, plus d’un répondant sur cinq rapporte que son organisation a connu une publicité négative dans la presse et 34 % que cela à nuit à la réputation de l’entreprise.

« On aurait pu croire qu’après les récentes attaques et l’impact qu’ont eu les ransomware au cours de l’année écoulée les entreprises auraient pris davantage de mesures, or ce n’est pas le cas », déclare Frédéric Benichou, directeur régional Europe du Sud de SentinelOne. « Pourtant, au vu de l’impact que peuvent avoir les ransomware sur l’activité économique et l’image d’une entreprise, c’est un risque qu’il peut être dangereux de prendre. »

Quelles sont les données ciblées ?

En France, les données financières sont particulièrement ciblées (dans 46 % des attaques), suivie des données clients (38 %) et celles relatives aux produits (32 %). Au niveau informatique, les matériels les plus touchés sont avant tout les PC (68 %), les serveurs (56 %) et les terminaux mobiles (31 %).

La sensibilisation des employés reste négligée

Dans 58 % des cas, les professionnels de la sécurité français déclarent que les cybercriminels ont accédé au réseau de leur organisation par le biais d’emails de phishing ou via les réseaux sociaux. 42 % ont indiqué que l’accès avait été obtenu grâce à la technique du drive-by-download déclenché lorsque l’on clique sur un lien menant à un site web compromis, et 39 % ont déclaré que l’attaque est arrivée via un poste de travail faisant partie d’un botnet. La France semble quand même relativement mieux sensibilisée sur le phishing que les autres pays puisque le phishing a permis l’accès dans 69 % des cas en moyenne sur l’ensemble des pays couverts par l’étude.

La sensibilisation reste néanmoins largement perfectible puisque pour 34 % des répondants français, si l’attaque a été couronnée de succès, c’est à cause de la négligence d’un employé. 44 % reconnaissent néanmoins que la faute revient en premier à un antivirus traditionnel inccapable de stopper ce type d’attaque. Il n’en reste pas moins que 39 % des employés français ont quand même décidé de payer la rançon sans intervention ou accord préalable de leur département informatique/sécurité.

« Le problème des ransomware est là pour durer », conclu Frédéric Bénichou. « Il est plus que temps pour les entreprises de prendre les mesures nécessaires pour faire face à ces attaques récurrentes que ce soit au niveau technologique ou humain. Cela implique de mettre en œuvre des solutions de lutte contre les menaces de nouvelles génération et de prêter davantage de considération à la sensibilisation et la formation dispensée aux employés, un point clé trop souvent négligé. »

Android, Antivirus, Chiffrement, Cyber-attaque, Cybersécurité, escroquerie, ios, Logiciels, Particuliers, Piratage, Sécurité, Securite informatique, Smartphone, Vie privée, Virus, Windows phone

Sites pornographiques : Le Français, un chaud lapin 2.0

Selon une étude, 33 % des adultes français consultent des sites pornographiques au moins 1 fois par jour. 40% d’entre eux ont déjà été contaminés par un virus informatique en visitant des sites pour adultes.

Une étude, réalisée en octobre 2017, sur les cyber-risques associés à la consultation de sites pornographiques vient de produire ses chiffres. Réalisée auprès de 1000 Français, cette étude Kaspersky révèle que 33 % des adultes consultent des sites pornographiques au moins 1 fois par jour, et ce pour une durée moyenne de 22 minutes par visite… soit l’équivalent de 4 jours par an ! Et cette pratique n’est pas sans risque : 40% contaminés par un virus informatique en consultant ces sites. Parmi les autres chiffres, 17% ignoraient que les smartphones et tablettes s’infectaient. 18 % croient protéger leur ordinateur en effaçant leur historique de navigation. 20 % pris en flagrant délit de consultation d’un site pour adultes. 23 familles de malwares Android ont été identifiées comme exploitant la pornographie.

Vous retrouverez la liste complète à la fin de cette brève. 21 % des personnes interrogées accusent leurs proches pour ne pas avoir à en assumer la responsabilité. 18 % protégés en utilisant un navigateur web en mode privé. 22 % reconnaissent consulter des sites pornographiques au travail.

Top 10 des virus informatiques

1. Le cheval de Troie : Sous couvert d’un programme d’apparence inoffensive, il véhicule une charge malveillante.
2. Le téléchargement « drive-by » : Il s’agit d’une méthode courante de propagation de malware. Les cybercriminels recherchent des sites web non sécurisés afin d’implanter un script malveillant dans le code de leurs pages.
3. Le détournement de clic : Cette méthode consiste à inciter un utilisateur à cliquer sur un objet sur une page web tout en lui faisant croire qu’il clique sur un autre.
4. Les bots Tinder : Ces programmes automatiques se font passer pour de véritables utilisateurs sur les sites de rencontre.
5. Le chat-phishing : Des cybercriminels fréquentent des sites de rencontre ou des forums, y encourageant les utilisateurs à cliquer sur des liens vers des forums de live sex et autres sites pornographiques.

Ransomware et pornware

6. Le ransomware : Les cybercriminels utilisent des « bloqueurs » pour interdire à la victime l’accès à sa propre machine, invoquant souvent la présence de « contenu pornographique illicite » en misant sur le fait que quiconque ayant consulté des sites pour adultes est moins enclin à se plaindre aux autorités.
7. Le vers : Ce type de programme se reproduit sans écrire son code dans d’autres fichiers. Au lieu de cela, il s’installe une fois sur la machine d’une victime puis recherche un moyen de se propager à d’autres.
8. Le pornware : Il peut s’agir d’un programme authentique mais aussi d’un adware installé par un autre programme malveillant et conçu pour afficher du contenu inapproprié sur la machine de la victime.
9. Le spyware : Logiciel d’espionnage qui permet à un pirate d’obtenir subrepticement des informations sur les activités en ligne de la victime et de les exfiltrer de sa machine.
10. Le faux antivirus : De prétendus logiciels antivirus exploitent la crainte des utilisateurs. Des malwares dans votre machine pendant le visionnage de contenus pornographiques.

Base de données, Chiffrement, cryptage, cryptolocker, Cyber-attaque, Cybersécurité, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Leak, Logiciels, Particuliers, Piratage, ransomware, ransomware, Sauvegarde, Securite informatique, Vie privée

RGPD et Ransomware : des actions judiciaires à prévoir dès mai 2018 ?

Votre société a été touchée par un ransomware ? En mai 2018, des actions judiciaires lancées par vos clients pourraient rajouter une couche d’ennuis à votre entreprise.

RGPD et actions judiciaires ! Le 18 janvier 2018, la société américaine Allscripts était touchée par un ransomware. Classique attaque qui chiffre les fichiers des ordinateurs infiltrés. Une cyberattaque possible via le clic malheureux d’un employé sur un mail piégé. Une attaque qui a perturbé l’entreprise, mais aussi directement ses clients. Ces derniers ne pouvaient accéder à leurs dossiers de patients ou de facturation.

Bilan, une plainte de recours collectif (Class action) a été déposée contre Allscripts. Le fournisseur de dossiers de santé électroniques (DSE) va se retrouver devant la justice. Un de ses prestataires, Surfside Non-Surgical Orthopedics, basé en Floride, spécialisé dans la médecine sportive, a déposé une plainte contre DSE.

Actions judiciaires, rançongiciel …

En en raison de l’attaque, Surfside indique qu’il « ne pouvait plus accéder aux dossiers de ses patients ou prescrire électroniquement des médicaments« .  Bilan, rendez-vous annulé, pertes d’argent… Allscripts est l’un des fournisseurs de dossiers médicaux électroniques (DSE) les plus répandus dans le monde.

L’entreprise est toujours à travailler, plusieurs jours après cette « attaque », à restaurer certains de ses systèmes informatiques suite au rançongiciel.

Fait intéressant, le type de ransomware utilisé dans l’attaque [SamSam ransomware] était le même que celui utilisé dans une attaque contre Hancock Health, un autre système de santé basé dans l’Indiana, début janvier 2018. Dans ce cas, les responsables du système de santé ont fermé tout le réseau Hancock Health et ont finalement payé le pirate. Il aurait reçu 55 000 dollars en bitcoin.

SamSam a également été utilisé contre le système de santé intégré MedStar Health, en mars 2016. Bleeping Computer a noté que d’autres attaques ont signalées, impliquant SamSam, dans les machines de l’Adams Memorial Hospital (Indiana).

Les systèmes d’Allscripts desservent environ 180 000 médecins et 2 500 hôpitaux. Il n’est pas clair si la société a payé une rançon.

backdoor, Bitcoin, Chiffrement, Communiqué de presse, cryptage, Cyber-attaque, Cybersécurité, Leak, Piratage, ransomware, Securite informatique, Social engineering

FORTE PROGRESSION DES CYBERATTAQUES AVEC DEMANDE DE RANÇON

Les paiements intraçables en réponse aux demandes de rançon ont toutes les chances de séduire les pirates motivés par l’appât du gain alors que la valeur des crypto-monnaies continue d’augmenter.

La société Radware vient d’annoncer la publication de l’édition 2017-2018 de son rapport baptisé « Global Application and Network Security Report », qui révèle que le pourcentage des entreprises signalant des cyberattaques motivées par l’appât du gain a doublé en deux ans, avec 50% des entreprises sondées ayant reconnu avoir été victimes d’une cyberattaque avec demande de rançon au cours de l’année passée. Avec l’appréciation des crypto-monnaies, la forme de paiement préférée des pirates, le rançonnage est l’occasion d’encaisser d’importants profits. Et cela plusieurs mois après leur délit.

« Avec l’adoption rapide des crypto-monnaies, l’élévation consécutive de leur valeur séduit encore plus les hackers que la possibilité d’anonymat », explique Carl Herberger, vice-président en charge des solutions de sécurité chez Radware. « Le fait de payer un hacker dans ce contexte encourage d’autres attaques mais, surtout, cela apporte aux criminels les fonds dont ils ont besoin pour poursuivre leurs opérations. »

Demande de rançon, nouveau sport olympique sur le web

Le nombre des entreprises ayant signalé des attaques de ransomware, où les hackers utilisent des malwares pour chiffrer les données, systèmes et réseaux jusqu’au versement de la rançon, a nettement augmenté l’an dernier, et observe une hausse de 40% par rapport à l’enquête de 2016. Les entreprises ne prévoient pas de ralentissement de cette menace en 2018. Un dirigeant sur quatre (26%) considère que c’est la principale menace.

« Les criminels ont utilisé plusieurs vulnérabilités et tactiques de piratage cette année pour verrouiller l’accès à des systèmes vitaux, voler de la propriété intellectuelle et faire cesser les opérations des entreprises, en joignant chaque fois une demande de rançon », continue Herberger. « Entre les perturbations de service, les pannes ou le vol de propriété intellectuelle, les hackers laissent les entreprises démunies à la recherche de solutions a posteriori. Dès lors qu’ils emploient des méthodes de plus en plus automatisées, il est primordial que les entreprises adoptent une stratégie proactive de protection de leurs opérations. »

Voici quelques-unes des conclusions du rapport :

  • La protection des données est la préoccupation principale des entreprises frappées par une cyberattaque. Pour les sondés, la fuite de données est la crainte numéro 1. Elle est suivie par la dégradation de la réputation et l’inaccessibilité des services.
  • 24% signale des cyberattaques quotidiennes ou hebdomadaires. Elles sont près de 80% à ne pas avoir évalué le coût des attaques. Une sur trois n’a toujours pas de plan d’intervention en cas de cyberattaque.
  • Les sondés ne sont pas sûrs de savoir qui est responsable de la sécurité de l’Internet des objets (IoT). Les responsables de la sécurité ne parviennent pas à un consensus clair. Certains attribuent la responsabilité à l’organisation chargée de l’administration du réseau (35%). 34% au constructeur. 21% aux consommateurs qui utilisent ces équipements.
backdoor, Base de données, Chiffrement, cryptomonnaie, Cybersécurité, Entreprise, ransomware, Securite informatique

26 % des attaques de ransomwares auraient ciblées les entreprises en 2017

En 2017, 26,2 % des cibles du ransomware étaient des entreprises, contre 22,6 % en 2016. Cette augmentation est due en partie à trois attaques sans précédent contre des réseaux d’entreprise. Ces derniers, WannaCry, ExPetr, et BadRabbit, ont bouleversé à jamais le paysage autour de cette menace, de plus en plus virulente.

2017 marque l’année de l’évolution inattendue et spectaculaire de la menace du ransomware, avec des acteurs malveillants avancés. Ils ciblent des entreprises dans le monde entier au moyen de séries d’attaques destructives à base de vers autonomes, dont l’objectif ultime demeure un mystère. Les derniers en date, WannaCry le 12 mai, ExPetr le 27 juin et BadRabbit fin octobre. Toutes ont exploité des vulnérabilités afin d’infecter les réseaux des entreprises. Ces attaques ont également été visées par d’autres ransomwares. Kaspersky Lab a d’ailleurs bloqué des infections de ce type dans plus de 240 000 entreprises au total.

Globalement, un peu moins de 950 000 utilisateurs distincts ont été attaqués en 2017, contre environ 1,5 million en 2016, la différence s’expliquant dans une large mesure par la méthode de détection (par exemple, les downloaders souvent associés au cryptomalware sont désormais mieux détectés par les technologies heuristiques, par conséquent ils ne sont plus classés avec les verdicts de ransomware collectés par nos systèmes de télémétrie).

Ransomwares, un danger qui plane

Les trois principales attaques, ainsi que d’autres moins médiatisées, notamment AES-NI et Uiwix, ont exploité des vulnérabilités complexes ayant fuité en ligne au printemps 2017 à l’initiative du groupe Shadow Brokers. Le nombre de nouvelles familles de ransomware est en net recul (38 en 2017, contre 62 en 2016), contrebalancé par un accroissement des variantes de ransomwares existants (plus de 96 000 nouvelles versions détectées en 2017, contre 54 000 en 2016). Cette multiplication des modifications reflète peut-être les tentatives des auteurs d’attaques de masquer leur ransomware tandis que les solutions de sécurité deviennent plus performantes dans leur détection.

À partir du deuxième trimestre de 2017, un certain nombre de groupes ont mis fin à leurs activités dans le domaine du ransomware et ont publié les clés nécessaires de décryptage des fichiers. Il s’agit d’AES-NI, xdata, Petea / Mischa / GoldenEye et Crysis. Crysis est réapparu par la suite, peut-être ressuscité par un autre groupe. La tendance croissante à l’infection des entreprises par des systèmes de bureau distant s’est poursuivie en 2017, cette méthode de propagation étant devenue la plus courante pour plusieurs familles répandues, telles que Crysis, Purgen / GlobeImposter et Cryakl.

65 % des entreprises frappées par un ransomware en 2017 indiquent avoir perdu l’accès à une grande quantité voire à la totalité de leurs données. Une sur six parmi celles qui ont payé une rançon n’a jamais récupéré ses données. Ces chiffres n’ont pratiquement pas varié par rapport à 2016. Fort heureusement, l’initiative No More Ransom, lancée en juillet 2016, connaît un grand succès. Ce projet réunit des forces de police et des acteurs du secteur de la sécurité pour pister et démanteler les principales familles de ransomware, afin d’aider les particuliers à récupérer leurs données et de saper l’activité lucrative des criminels.

Argent, Chiffrement, cryptage, cryptomonnaie, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, hackathon, Particuliers, Piratage, ransomware, ransomware, Securite informatique

Prolifération d’un nouveau Locky agressif

Locky is back ? Les analystes de l’Advanced Technology Group de Barracuda Networks surveillent activement une nouvelle attaque par ransomware très agressive qui semble provenir majoritairement du Vietnam.

Comme j’ai pu vous l’indiquer sur Twitter aux premières minutes de l’attaque, ce nouveau Locky a trouvé le moyen de passer certains filtres antispams et touchés des entreprises et écoles Françaises. Une attaque qui serait parti du Vietnam. D’autres sources significatives de cette attaque comprennent l’Inde, la Colombie, la Turquie et la Grèce.

D’autres pays semblent aussi distribuer le même ransomware mais dans des volumes très faibles. Jusqu’à présent la société Barracuda a identifié environ 20 millions de ces attaques au cours des dernières 24 heures, et ce chiffre augmente rapidement. Chiffre tiré de ses sondes, chez ses clients.

Une variante du ransomware Locky

Les analystes de Barracuda ont confirmé que cette attaque utilise une variante du ransomware Locky avec un identifiant unique. L’identifiant permet à l’attaquant d’identifier la victime de sorte que lorsque cette dernière paie la rançon, l’attaquant peut lui envoyer l’outil permettant de décrypter ses données. Dans cette attaque, toutes les victimes ont le même identifiant, ce qui veut dire que les victimes qui paient la rançon ne recevront pas l’outil de décryptage car il sera impossible pour le criminel de les identifier.

Cette attaque vérifie également la langue employée par l’ordinateur de ses victimes, ce qui peut indiquer le déclenchement d’une version internationale de cette attaque dans l’avenir.

Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Piratage, ransomware, ransomware, Securite informatique, Social engineering

MacRansom, un ransomware pour Mac

La découverte de nouvelles variantes de ransomwares et de logiciels espions ciblant Mac OS n’est pas surprenante compte tenu de l’augmentation sur les forums de hacking des conversations relatives aux programmes ransomwares open-source et au développement de malwares sous licence.

MacRansom, la sale bête qui croque la pomme ! Malgré une plus petite base d’utilisateurs de Mac OS par rapport à Windows, rendant les souches de malwares ou de ransomwares moins rentables pour les cybercriminels, ce n’était qu’une question de temps avant que des variantes spécifiques à Mac n’émergent.

Comme cela semble être le cas ici avec le ransomware MacRansom, les auteurs du malware utilisent un modèle de type RaaS, Ransomware-as-a-service, permettant à ceux qui ne possèdent pas les compétences nécessaires en matière de codage de jouer aux cybercriminels. Cette démocratisation, associée à la possibilité d’acheter des malwares, a changé la donne. Les actes malveillants qui étaient isolés au départ font aujourd’hui partie d’une véritable économie souterraine et lucrative, les malwares étant devenus une source de revenus viable bien qu’étant illégale.

MacRansom, une alerte à prendre au sérieux

Les consommateurs doivent être conscients qu’il est faux de penser qu’il existe plus de vulnérabilités dans Windows que dans Mac OS, ce qui le rend moins sécurisé ! C’est plutôt sa plus petite base d’utilisateurs qui fait de Mac OS une cible moins attractive pour les développeurs de malwares. Néanmoins, il est indispensable que ses utilisateurs prennent les mêmes précautions que sur PC lorsqu’il s’agit de protéger leurs appareils, notamment via l’utilisation d’un antivirus fiable et performant. (Jean-Baptiste Souvestre, Software Engineer, chez Avast)

Antivirus, Chiffrement, cryptage, cryptolocker, Cybersécurité, Entreprise, Logiciels, ransomware

Vol de code : quand la rivalité entre pirates profite aux victimes de ransomwares

Un outil de déchiffrement pour des variantes du ransomware AES-NI grâce aux pirates eux-mêmes. Ils l’ont rendu public suite à la propagation d’un autre ransomware utilisant le même code.

Les clés de la variante A (Win32 / Filecoder.AESNI.A.) avaient déjà été publiées sur un forum d’aide aux victimes de ransomware, les auteurs ayant revendiqué être les développeurs du malware. Pour la variante B (Win32 / Filecoder.AESNI.B), les pirates l’ont diffusé sur Twitter. Quant à la variante C (Win32 / Filecoder.AESNI.C) connue sous le nom d’XData, un invité anonyme a posté la clé sur un forum quelques jours plus tard.

Comme le souligne BleepingComputer, le groupe de cybercriminels responsable de la propagation du ransomware AES-NI affirme que son code source a été volé et utilisé par le ransomware XData (détecté par ESET le 8 décembre 2016 sous Win32 / Filecoder.AESNI.C).

Piratage informatique dans le monde du ransomware ! À l’origine, le ransomware possède des restrictions empêchant les infections en Russie et dans la Communauté des États Indépendants (CEI). Cette technique est souvent utilisée par les cybercriminels russes qui évitent ainsi les poursuites intentées par leur gouvernement.

Après avoir volé le code source plus tôt cette année, les restrictions semblent avoir été levées pour cibler l’Ukraine et ses pays voisins :  entre le 17 et le 22 mai 2017, ce ransomware a été détecté à 96% en Ukraine.

Les victimes ayant des fichiers chiffrés peuvent télécharger l’outil de déchiffrement ESET en cliquant ici.

Comment se protéger

Pour ce cas précis, la séparation des comptes d’administration et d’utilisateur évite en grande partie les préjudices, car le ransomware XData se sert des mots de passe d’administration pour se propager. Sans les privilèges administrateurs, XData ne peut infecter qu’un seul ordinateur au lieu du réseau.

De manière générale, voici ce que vous pouvez faire pour vous protéger contre la plupart des ransomwares :

• utilisez une solution de sécurité fiable et multicouche ;

• mettez régulièrement à jour vos logiciels et patchez votre système d’exploitation ;

• sauvegardez vos fichiers sur un disque dur ou un emplacement distant non connecté au réseau ;

• ne cliquez jamais sur les pièces jointes et les liens des emails suspects ou dont vous ignorez la source.

 

Argent, Chiffrement, cryptage, Cybersécurité, Entreprise, escroquerie, Paiement en ligne, Particuliers, ransomware, Social engineering

La France, 4ème pays le plus touché par Wannacry

Malwarebytes dévoile un ranking des pays les plus touchés par la cyberattaque mondiale de mai. La France, cinquième pays le plus touché par WannaCry.

WannaCry s’est propagé globalement en l’espace de quelques heures en utilisant une vulnérabilité dans un protocole de transmission de données utilisé par Windows. On estime à environ 300 000 le nombre de machines qui ont été infectées, surtout en Europe et en particulier en Russie. Malwarebytes a examiné les données collectées à partir de ses produits déployés sur des millions de terminaux à travers le monde, et les a classées par pays. La France se classe en 4ème position mondiale alors que la presse, et certains « experts » indiquaient l’hexagone comme épargné.

Mise à jour : la société a contacté DataSecurityBreach.fr pour lui indiquer s’être trompée dans son mail précédent. Il s’agissait de la 4ème position, et non la5e.

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, ransomware, Social engineering

Les quatre secteurs d’activité visés par les ransomwares

77 % des ransomwares recensés se concentrent sur quatre secteurs d’activité – services aux entreprises, pouvoirs publics, santé et grande distribution.

Les ransomwares attaquent ! NTT Security, la branche sécurité du groupe NTT, vient de publier l’édition 2017 de son rapport sur l’état des menaces dans le monde (GTIR). Ces tendances mondiales proviennent de l’analyse des données de logs, d’événements, d’attaques, d’incidents et de vulnérabilités recensées entre le 1er octobre 2015 et le 31 septembre 2016. À partir de l’étude des contenus des unités opérationnelles du groupe NTT (NTT Security, Dimension Data, NTT Communications et NTT Data), ainsi que des données du centre mondial de cyberveille (GTIC, anciennement SERT), le rapport met en lumière les dernières tendances en matière de ransomware, de phishing et d’attaques DDoS, tout en démontrant l’impact des menaces actuelles sur les entreprises mondiales.

Dans un contexte de généralisation du phishing comme mécanisme de diffusion de ransomware – type de malware conçu pour bloquer les données ou appareils des victimes et les déverrouiller contre rançon – notre rapport révèle que 77 % des ransomwares détectés dans le monde se concentraient sur quatre secteurs d’activité : services aux entreprises (28 %), pouvoirs publics (19 %), santé (15 %) et grande distribution (15 %).

Certes, les attaques spectaculaires exploitant les dernières vulnérabilités tendent à faire les gros titres. Pourtant, les cas les plus fréquents sont souvent moins technique. Ainsi, selon le GTIR, les attaques de phishing ont causé près des trois quarts (73 %) des infections des entreprises par malware. Les pouvoirs publics (65 %) et les services aux entreprises (25 %) ont été les secteurs les plus touchés au niveau mondial. Le rapport révèle que les États-Unis (41 %), les Pays-Bas (38 %) et la France (5 %) sont les principaux pays d’origine des attaques de phishing.

D’autre part, le rapport révèle également que, l’année dernière, seuls 25 mots de passe ont servi dans près de 33 % des tentatives d’authentification sur les honeypots de NTT Security. Plus de 76 % de ces tentatives utilisaient un mot de passe connu pour son implémentation dans Mirai, un botnet composé d’appareils IoT compromis. Mirai a servi de rampe de lancement dans ce qui était à l’époque les plus grandes attaques de déni de service distribué (DDoS) jamais perpétrées.

Dans le monde, les DDoS ont représenté moins de 6 % des attaques recensées. Toutefois, elles constituaient encore plus de 16 % des attaques venues d’Asie, et 23 % en provenance d’Australie.

De son côté, la finance fut le secteur le plus ciblé au niveau planétaire, concentrant à elle seule 14 % de toutes les attaques détectées. Signe de cette prépondérance, ce secteur est le seul à figurer dans le Top 3 de toutes les zones géographiques analysées, suivie par le secteur industriel qui décroche une place sur ce sombre podium dans cinq régions sur six. La finance (14 %), les pouvoirs publics (14 %) et l’industrie (13 %) ont constitué le trio de tête du classement des secteurs les plus attaqués.

D’après Steven Bullitt, vice-président chargé de la cyberveille et des interventions sur incidents et du GTIC pour NTT Security : « Le GTIR se base sur l’analyse de milliers de milliards de logs de sécurité consignés l’an dernier, ce qui en fait le rapport le plus complet dans ce domaine. Sur les 12 mois étudiés, nous avons identifié plus de 6 milliards de tentatives d’attaques – soit environ 16 millions par jour – et suivi la trace de cybercriminels recourant à quasiment tous les types de méthodes. Nous avons assisté des entreprises victimes de violations de données, collecté et analysé les informations de cyberveille mondiales et effectué nos propres recherches de sécurité. Les recommandations de ce rapport se fondent sur les enseignements que nous en avons tirés. »

« Notre but ultime n’est pas de susciter la crainte, l’incertitude et le doute, ni de compliquer davantage le tableau actuel des menaces, mais plutôt de mettre la cybersécurité en valeur et de s’adresser non pas à un seul public d’initiés, mais à toutes celles et ceux qui doivent faire face aux risques d’une attaque. Nous souhaitons les sensibiliser afin qu’ils comprennent leur responsabilité dans la protection de leur entreprise et l’obligation de cette dernière de les accompagner dans cette démarche. »

Pour en savoir plus sur les principales menaces mondiales mais aussi sur les mesures que le management, les équipes techniques et les utilisateurs peuvent prendre pour réduire leur exposition aux risques de sécurité, rendez-vous sur la page de téléchargement du GTIR 2017 de NTT Security : http://www.nttsecurity.com/fr/GTIR2017