Archives par mot-clé : ransomware.

Base de données, Chiffrement, cryptolocker, Cyber-attaque, Cybersécurité, Entreprise, Espionnae, Leak, Piratage

Cyber-espionnage et ransomware en hausse

Le cyber-espionnage et les ransomwares sont en augmentation constante d’après le Data Breach Investigations Report 2017.

Le cyber-espionnage est désormais le type d’attaque le plus courant dont font l’objet l’industrie, le secteur public et même l’éducation, signale Verizon dans l’édition 2017 de son rapport Data Breach Investigations Report.  Ceci s’explique surtout par la prolifération des recherches de propriété intellectuelle, des prototypes et des données personnelles confidentielles, qui attirent tout particulièrement les cybercriminels. Sur près de 2 000 compromissions analysées cette année, le rapport compte 300 cas de cyber-espionnage (21%), dont beaucoup n’étaient à l’origine que des e-mails de phishing.

De plus, les organisations criminelles intensifient leur utilisation des ransomwares pour extorquer l’argent des victimes : le rapport fait état d’une augmentation de 50% des attaques de ransomwares par rapport à l’année précédente.  Malgré cette augmentation et la médiatisation autour de l’utilisation des ransomwares, de nombreuses entreprises utilisent toujours des solutions de sécurité qui ne sont plus au goût du jour et elles n’investissent pas suffisamment dans des précautions supplémentaires.  Elles honorent les demandes de rançon plutôt que d’investir dans des services de sécurité qui pourraient les protéger d’une cyberattaque.

« Les éclairages qu’apporte le rapport DBIR uniformisent les règles du jeu de la cybersécurité », déclare George Fischer, président de Verizon Enterprise Solutions. « Nous apportons aux états et aux entreprises l’information dont ils ont besoin pour se protéger contre les cyberattaques et mieux gérer le cyber-risque. En analysant les données de notre propre équipe dédiée à la sécurité et celles d’autres grands professionnels de la sécurité et institutionnels du monde entier, nous mettons à disposition de précieuses informations de veille pour aider à transformer le profil de risque d’une organisation. »

Le rapport DBIR de cette année, qui en est à sa 10ème édition, propose une analyse des actuelles problématiques de cybersécurité et des informations sectorielles afin de sensibiliser les entreprises et administrations pour qu’elles fassent de la sécurité leur priorité. Voici quelques-unes des conclusions du rapport :

•    L’importance croissante des malwares : 51% des cas de compromission de données analysés impliquaient des malwares. Le ransomware progresse à la cinquième place des malwares spécifiques les plus courants. Cette technologie d’extorsion de fonds aux victimes affiche une progression de 50% par rapport à l’édition précédente, et fait un énorme bond par rapport au rapport DBIR de 2014 où elle se classait à la 22ème place des types de malwares en circulation.

•    Le phishing a toujours du succès : Dans l’édition 2016 du rapport DBIR, Verizon signalait l’utilisation croissante des techniques de phishing liées à l’installation d’un logiciel sur le terminal d’un utilisateur. Cette année, le processus se retrouve dans 95% des attaques de phishing. Une technique de phishing est présente dans 43% des cas de compromission de données et la méthode sert autant pour le cyber-espionnage que pour les attaques à but lucratif.

•    Essor des tactiques de faux semblant (pretexting) : L’édition 2017 du rapport DBIR montre que la tactique en plein essor de pretexting cible de façon prédominante les salariés des services financiers, ceux qui détiennent les clés des procédures de transfert d’argent. L’e-mail est le premier vecteur de communication, utilisé dans 88% des cas de pretexting ayant un but lucratif, suivi en seconde position par les communications téléphoniques dans moins de 10% des cas.

•    Les petites entreprises sont aussi visées : 61% des victimes analysées étaient des entreprises de moins de 1 000 salariés.

Cyber-espionnage

« Les cyber-attaques ciblant le facteur humain sont toujours un gros problème », déclare Bryan Sartin, directeur exécutif de la branche Global Security Services de Verizon Enterprise Solutions. « Les cybercriminels se concentrent sur quatre éléments moteurs du comportement humain pour encourager les individus à révéler des informations : l’empressement, la distraction, la curiosité et l’incertitude. Et ça marche, puisque notre rapport fait étatd’une forte augmentation des cas de phishing et de pretexting cette année. »

Le rapport de cette année apporte des éclairages concernant certains secteurs spécifiques, et révèle les problématiques spécifiques de différents secteurs verticaux, en plus de répondre systématiquement aux questions « qui ? quoi ? pourquoi ? et comment ? ».
Voici quelques-unes des conclusions sectorielles :

•    Les trois secteurs d’industrie visés par les compromissions de données sont les services financiers (24%) ; la santé (15%) et le secteur public (12%).

•    Les entreprises du secteur de l’industrie sont les cibles les plus fréquentes des malwares adressés par e-mail.

•    68% des menaces visant le secteur de la santé sont perpétrées depuis l’intérieur de l’organisation.

« Les données du cybercrime varient beaucoup d’un secteur à un autre », commente Bryan Sartin. « Ce n’est qu’en comprenant les mécanismes fondamentaux de chaque secteur vertical que l’on peut apprécier les défis de cybersécurité de chacun et recommander des mesures appropriées. »

Sachant que dans 81% des cas de compromission, on retrouve des mots de passe volés et/ou peu sécurisés ou faciles à deviner, il demeure très important de poser des bases solides. Voici quelques recommandations à l’attention des entreprises et des individus :
1.    Restez vigilants : les fichiers journaux et les systèmes de gestion du changement peuvent être des indicateurs d’alerte précoce d’une compromission.
2.    Utilisez vos salariés comme première ligne de défense : formez-les pour qu’ils sachent détecter les signes d’alerte.
3.    Appliquez le principe de la nécessité absolue : seuls les salariés ayant besoin d’avoir accès aux systèmes pour travailler sont effectivement autorisés.
4.    Installez les correctifs dans les meilleurs délais : c’est le meilleur moyen de se protéger de très nombreuses attaques.
5.    Chiffrez les données sensibles : rendez vos données inexploitables en cas de vol.
6.    Utilisez la double authentification : vous limiterez l’ampleur des dégâts en cas d’identifiants perdus ou volés.
7.    Ne négligez pas la sécurité physique : tous les vols de données ne se produisent pas en ligne.

Base de données, Chiffrement, cryptage, cryptolocker, Cyber-attaque, Cybersécurité, Entreprise, Logiciels, Mise à jour, Patch, Piratage, Social engineering

Le business du chiffrement des données des entreprises

Publication d’un livre blanc sur la rentabilité de l’activité de chiffrement des données des entreprises par les cybercriminels.

Le ransomware, cybermenace la plus prolifique du moment, se propage au sein des entreprises via les réseaux de partage de fichiers, les pièces jointes, les liens malveillants ou encore les sites Internet compromis autorisant les téléchargements directs. Le premier trimestre 2016 a enregistré une croissance de 3 500% du nombre de domaines utilisés pour la diffusion de ransomwares, établissant au passage un nouveau record.

Principaux pays touchés par des ransomwares, sous Windows au premier semestre 2016

Les ransomwares ont généré plusieurs centaines de millions de d’euros de gains au moyen d’actes d’extorsion explique BitDefender. Au cours du premier semestre 2016, c’est aux États-Unis que le plus grand nombre d’attaques de ransomwares ont été recensées, avec 19,09% de l’ensemble des attaques de ransomwares déclarées dans le monde.

Le Royaume-Uni est arrivé en deuxième position, avec 11,89%, soit seulement 2,26 points de plus que l’Allemagne (9,63%), laquelle figurait à la troisième place de notre classement des pays les plus touchés par des attaques de ransomwares.

Principales familles de ransomwares sous Windows en France, premier semestre 2016

Teslacrypt arrive en tête avec 9,38% de l’ensemble des attaques de ransomwares déclarées, Locky se classe en seconde position avec 7,48% et Cryptolocker se hisse à la troisième place, avec 5,66%. Les écarts minimes qui séparent la France des Etats-Unis, de l’Allemagne et du Royaume-Uni semblent indiquer que les cybercriminels ont utilisé une large palette de techniques pour infecter leurs victimes. Si d’autres pays ont été plus particulièrement visés par des infections de ransomwares spécifiques, il semblerait qu’en France, les cybercriminels aient recouru à tout l’arsenal de techniques possibles pour diffuser des ransomwares…

Quelques actions utiles pour se protéger contre les ransomwares en milieu professionnel

– Sauvegarder régulièrement les données et contrôler l’intégrité de ces sauvegardes. Les sauvegardes sont essentielles en cas d’incidents liés à des ransomwares ; en cas d’infection, elles peuvent constituer le meilleur moyen de récupérer les données critiques.

– Sécuriser ses sauvegardes. Veiller à ce que les sauvegardes ne soient pas connectées aux ordinateurs et aux réseaux qu’elles sauvegardent. Faire des sauvegardes dans le Cloud ou les stocker sur un support physique hors ligne. Il convient de noter que certains ransomwares ont la capacité de verrouiller les sauvegardes basées dans le Cloud lorsque les systèmes réalisent en continu des sauvegardes en temps réel, une action également connue sous le nom de « synchronisation continue ».

– Examiner avec attention les liens contenus dans les e-mails et ne jamais ouvrir les documents joints à des e-mails non sollicités.

– Ne jamais télécharger des logiciels (en particulier gratuits) à partir de sites inconnus. Quand cela est possible, vérifier l’intégrité du logiciel au moyen d’une signature numérique, avant son exécution.

– Veiller à ce que les correctifs d’applications pour ses systèmes d’exploitation, logiciels et firmwares soient à jour, y compris Adobe Flash, Java, les navigateurs Web, etc.

– Veiller à ce que la solution antimalware soit paramétrée pour se mettre à jour automatiquement et pour effectuer des analyses régulièrement.

– Désactiver les scripts de macro des fichiers transmis par e-mail. Envisager d’utiliser le logiciel Office Viewer pour ouvrir les fichiers Microsoft Office transmis par e-mail plutôt que d’utiliser l’ensemble des applications de la suite Office.

– Mettre en place des restrictions logicielles ou d’autres contrôles afin d’empêcher l’exécution de programmes dans des emplacements couramment utilisés par les ransomwares, tels que les dossiers temporaires utilisés par les principaux navigateurs Internet ou les programmes de compression/décompression, y compris ceux qui se trouvent dans le dossier AppData/LocalAppData.

*Source : Bitdefender Labs. Auteurs : Liviu Arsene, et Răzvan Mureșan, Spécialistes Sécurité.

**Le livre blanc

Base de données, Chiffrement, cryptage, cryptolocker, Cyber-attaque, Cybersécurité, Entreprise, Logiciels, Piratage, ransomware, Social engineering

Les écoles bordelaises attaquées par un code malveillant

La moitié des écoles de Bordeaux victimes d’un étrange code malveillant.

Voilà qui est fâcheux ! Qui a cliqué sur le fichier joint qui a mis à mal l’informatique de quasiment la moitié des écoles de Bordeaux.  Une attaque « sans précédent » indique l’adjointe au maire en charge de l’éducation, Emmanuelle Cuny, dans les colonnes de Sud Ouest. A première vue, un ransomware qui s’est promené de machine en machine dans au moins 40 écoles sur les 101 du périmètres de la ville bordelaise.

Les données pédagogiques pourraient être perdues suite à cette infection selon le quotidien r. Espérons que le mot sauvegarde soit dans la bouche et le cahier des charges de la municipalité concernant les écoles maternelles et primaires de la ville.

A noter que l’Académie de Bordeaux a un contrat avec l’éditeur d’antivirus TrendMicro. Ce dernier  propose Internet Security dans « toutes les écoles du 1er degré, publiques et privées« . A première vue, tout le monde ne l’a pas installé. Une bonne formation ne fera pas de mal non plus !

Le site ZATAZ indiquait il y a peu des chantages informatiques ayant visé des écoles britanniques. Un pirate réclamait plus de 9000 euros à plusieurs établissements scolaires après avoir chiffré les données sauvegardées dans les ordinateurs des écoles.

Arnaque, Chiffrement, Cyber-attaque, Cybersécurité, escroquerie, Justice, Particuliers, Piratage, ransomware, Social engineering

désinfecter les machines Windows victimes du réseau criminel, Avalanche

Le 30 novembre, une enquête approfondie a été lancée sous le nom de code “Opération Avalanche“ et s’est concrétisée par un travail de grand nettoyage extrêmement complexe, trans-juridictionnel et interprofessionnel. Ce projet, coordonné par Europol et soutenu par des partenaires éditeurs de solutions de sécurité, a ciblé des familles de malwares qui ont fait des ravages ces dernières années, causant des dommages considérables à leurs victimes, dans le monde.

L’opération Avalanche cible vingt familles de programmes malveillants différents, qui sont d’anciens botnets (toujours en activité) tels que Goznym, Marcher, Dridex, Matsnu, URLZone, XSWKit, Pandabanker, mais aussi des menaces plus récentes et plus connues, comme les souches de ransomwares Cerber ou Teslacrypt. Bien que l’ampleur des dommages ne puisse être déterminée avec précision en raison du volume élevé d’opérations traitées par la plateforme Avalanche, ces malwares ont réussi à extorquer plusieurs centaines de millions d’euros dans le monde entier.

Dans le cadre de cette opération, Europol et ses partenaires internationaux ont saisi, neutralisé ou bloqué plus de 800 000 noms de domaines utilisés par les malwares, dans le but de confisquer plus de 30 serveurs et de mettre plus de 220 serveurs hors ligne via des protocoles de notification d’abus.

Tous ces efforts garantissent l’arrêt des mécanismes de commande et de contrôle des botnets ciblés, et les empêchent de recevoir de nouvelles instructions de leurs administrateurs.

En plus des procédures judiciaires en cours, le but de cette mobilisation massive est de procéder à un nettoyage complet des malwares ciblés, afin de garantir leur suppression totale des ordinateurs des victimes, après que les centres de commande et de contrôle (serveurs C&C) aient été bloqués.

Pourquoi le nettoyage est-il nécessaire ?

Une fois les centres de commande et de contrôle rendus inutilisables, les bots sur les ordinateurs infectés ne peuvent généralement plus causer de dommages directs. Cependant, leurs tentatives permanentes de communication avec ces centres pour d’autres instructions conduisent non seulement au gaspillage des cycles CPU précieux, mais génèrent aussi du trafic Internet indésirable. Dans certains cas, ces bots modifient la configuration de base de l’ordinateur, ce qui peut l’empêcher de se connecter à Internet ou d’accéder à des ressources spécifiques. Un exemple bien connu de ce comportement est le malware DNS-Changer qui a rendu impossible l’accès à Internet pour près de 25000 ordinateurs, suite à la fermeture de son centre de commande et de contrôle.

BitDefenser propose son outil.

Les tools d’Avast.

Bitcoin, Chiffrement, cryptage, cryptolocker, Cybersécurité, ransomware, Social engineering

Ransomware : 10 conseils pour les éviter

Le ransomware, une menace bien réelle. Une fois qu’ils ont infecté un ordinateur ou un réseau d’entreprise, ces malwares en cryptent toutes les données et exigent le paiement d’une rançon pour pouvoir récupérer la clé de cryptage.

Les victimes d’un ransomware sont souvent démunies face à cet arrêt brutal de leurs systèmes, et se tournent vers différentes sources pour chercher de l’aide, mais il est déjà bien trop tard.

Heureusement, il existe de nombreux moyens d’anticiper ce type d’attaques avancées afin réduire leur impact. La clé ? Une solution de sauvegarde éprouvée. Qu’il s’agisse de logiciels de demandes de rançons, les attaques informatiques ciblent tout le monde : particuliers, petites entreprises, ou encore grands groupes. Une attaque réussie peut être particulièrement onéreuse et nuire à la réputation de la marque.

C’est pourquoi il est important de prendre conscience du danger et suivre les 10 conseils suivants :

1. Comprendre le ransomware : il est courant de considérer – à tort – que les PME ne constituent pas des cibles d’attaque intéressantes. En fait, les faits suggèrent même le contraire. Tout le monde est une cible : aucune entreprise, aucun compte bancaire ne fait exception.

2. Sécuriser tous les vecteurs de menace : les attaques d’un ransomware exploitent plusieurs vecteurs, notamment le comportement des utilisateurs, les applications et les systèmes. Les six principaux vecteurs d’attaque sont les e-mails, les applications web, les utilisateurs à distance, les utilisateurs sur site, le périmètre réseau et l’accès à distance. Une sécurité complète doit englober tous ces vecteurs. Un pare-feu ne suffit plus.

3. Sécuriser tous les angles d’attaque : en raison de leurs nombreux avantages les réseaux hybrides sont de plus en lus nombreux. La sécurisation efficace des applications SaaS ou Cloud, comme Office 365, nécessite une solution complète, conçue pour gérer les réseaux hybrides de façon centralisée.

4. Éduquer les utilisateurs : le comportement des utilisateurs peut être la plus grande vulnérabilité d’une entreprise. Une bonne sécurité est une combinaison de mise en œuvre, de suivi et d’éducation des utilisateurs, particulièrement contre les menaces comme l’hameçonnage, le harponnage, le typosquatting et l’ingénierie sociale.

5. Ne pas oublier les télétravailleurs : la révolution mobile stimule la productivité, la collaboration et l’innovation, mais elle entraine aussi un taux plus élevé de travailleurs à distance se connectant sur des appareils souvent personnels. Cela peut créer une faille de sécurité importante si les terminaux et les flux ne sont pas sécurisés.

6. Maintenir les systèmes à jour : lorsque des vulnérabilités dans des plateformes, des systèmes d’exploitation et des applications sont découvertes, les éditeurs publient des mises à jour et des correctifs pour les éliminer. Il faut donc s’assurer de toujours installer les dernières mises à jour, et ne pas utiliser de logiciels obsolètes qui ne seraient plus supportés par l’éditeur.

7. Détecter les menaces latentes. Toute infrastructure contient un certain nombre de menaces latentes. Les boîtes de réception d’e-mails sont remplies de pièces jointes et de liens malveillants qui n’attendent qu’un clic pour entrer en action. De même, toutes les applications, qu’elles soient hébergées localement ou basées dans le Cloud, doivent être régulièrement scannées et mises à jour avec leurs correctifs, permettant ainsi de lutter contre d’éventuelles vulnérabilités.

8. Empêcher les nouvelles attaques : le domaine du piratage est en évolution permanente, des attaques sophistiquées, ciblées ou de type « zero day » se multiplient et cibleront, un jour ou l’autre, toutes les entreprises. Pour les arrêter, il faut mettre en place une protection dynamique et avancée, avec une analyse de sandbox et un accès précis à des renseignements internationaux sur les menaces.

9. Utiliser une bonne solution de sauvegarde : un simple système de sauvegarde fiable permet de se remettre de nombreuses attaques en quelques minutes ou quelques heures, pour un coût dérisoire. Si les données sont corrompues, chiffrées ou volées par un logiciel malveillant, il suffit de les restaurer à partir de la dernière sauvegarde. Cela permet à une entreprise de, rapidement, reprendre ses activités.

10. Préserver la simplicité de la gestion : comme la complexité des réseaux et des menaces augmente, il est facile de laisser la gestion de la sécurité devenir un fardeau majeur pour le personnel informatique. Cette gestion complexe et décousue ouvre la porte à davantage de négligences qui peuvent affaiblir la sécurité. Pour réduire les risques et les coûts au minimum, il est nécessaire de mettre en place une solution simple et complète offrant une administration de la sécurité centralisée et une visibilité sur l’ensemble de l’infrastructure. (Par Wieland Alge, VP et DG EMEA)

Chiffrement, cryptage, Cybersécurité, Entreprise, ransomware

Ransomware : la menace prend son envol

Aux États-Unis, le FBI a récemment publié un rapport affirmant que les victimes de ransomware auraient réglé plus de 209 millions de dollars sur le seul 1er trimestre 2016, contre 24 millions de dollars sur l’ensemble de 2015. Les chiffres s’envolent et le ransomware est rapidement devenu un logiciel malveillant à la mode ciblant de nombreux pays et profils d’utilisateurs. Le racket qui en découle est malheureusement une réalité de tous les jours pour nombre de victimes.

Le ransomware n’est guère nouveau et existe, selon certains experts, depuis 1989, avec l’apparition du cheval de troie « AIDS ». Cependant, il faut attendre 2005 pour voir une variante de ce logiciel malveillant utiliser un chiffrement asymétrique pour la première fois. Depuis, le ransomware est devenu une arme de prédilection pour les cybercriminels. Notons que depuis 2013, la généralisation du Bitcoin joue le rôle de catalyseur, en offrant aux cybercriminels le moyen de recevoir des fonds de manière parfaitement anonyme.

Parallèlement, c’est l’utilisation de Tor et de réseaux décentralisés similaires qui rend la tâche plus simple : les cybercriminels déploient des plateformes dédiées à des infections de masse, dans un modèle de type Ransomware-as-a-service (RaaS), et optimisent les gains détournés auprès de leurs victimes (même après redistribution de 20% ou plus des revenus aux affiliés qui participent aux campagnes RaaS). Le ransomware a ainsi évolué au fil du temps, et cette évolution donne certaines perspectives sur le futur de ce malware.

L’omniprésence annoncée des ransomware
Comme mentionné, il existe deux grandes familles de ransomware, mais on note que les différences tendent à s’estomper. À titre d’exemple, un crypto-ransomware récemment identifié empêche, s’il chiffre les données, également d’accéder à certains sites Web à partir du PC infecté, jusqu’au paiement de la rançon.

Le distinguo tend également à s’atténuer alors que les ransomware se veulent compatibles à de nouvelles plateformes, au-delà des PC, à savoir les dispositifs mobiles. Les ransomware ciblent ainsi le système d’exploitation Android, et nous avons identifié des variantes (comme FLocker) qui s’en prennent aux objets connectés comme les Smart TV. FLocker exige une carte cadeau iTunes d’une valeur de $200 avant de permettre au téléspectateur de pouvoir accéder à nouveau à sa TV et ses programmes.

Selon l’analyste Gartner, il y a aura 6,4 milliards d’objets connectés d’ici la fin de 2016, et 21 milliards d’entre eux à l’horizon fin 2020. Le nombre de victimes potentielles s’annonce ainsi considérable !

Le ransomware, à l’image d’une pandémie, évolue et trouve en permanence de nouveaux vecteurs d’infection et d’attaque. De nouvelles variantes apparaissent, toujours plus sophistiquées et réinventant les techniques d’infection. Le souci est que cette évolution ne marque aucun temps d’arrêt.

Pour les familles SamSam et ZCryptor par exemple, nous avons récemment identifié une propension à se propager de manière latérale, au sein du périmètre interne du réseau, reprenant ainsi à leur compte le comportement des vers pour proliférer sur un réseau.

Il faut dire que l’évolution du ransomware est, à vrai dire, plutôt proche de la théorie de Darwin sur le sujet ! Ainsi, un ransomware qui s’étend à partir d’une seule machine peut être vu comme un arthropode primaire qui émerge de la mer pour la première fois. Cette étape majeure est en réalité intervenue il n’y a que quelques mois, ce qui nous amène à nous interroger : mais comment le ransomware peut-il évoluer si rapidement ?!

En premier lieu, les victimes sont nombreuses à régler la rançon demandée (près d’un tiers des Français se disent prêt à payer cette rançon), ce qui encourage les cybercriminels à poursuivre leurs exactions et capitaliser sur un business toujours plus lucratif. Sans rentrer dans le débat de savoir s’il faut payer ou non, la récupération de certaines données critiques chiffrées plaide parfois en faveur de ce paiement. Mais attention, ce règlement n’est pas une garantie de pouvoir récupérer ses données. La valeur du Bitcoin étant particulièrement volatile, il semblerait, selon certains rapports, que des entreprises se soient procurées des bitcoins pour se préparer à une possible infection par ransomware. Il est intéressant de constater que la demande de bitcoins est à la hausse, avec un taux de change qui a presque doublé au cours des trois derniers mois, pour atteindre 768 dollars.

On imagine que les auteurs de ransomware gèrent leur business à l’image d’une entreprise classique, réinvestissant une part conséquente de leurs fonds détournés dans la recherche et développement. À l’instar d’un éditeur de logiciel, on imagine qu’ils disposent de chefs de projets, d’une roadmap produit et d’ingénieurs capables de restaurer les bugs ou d’enrichir le panel fonctionnel de leur ransomware.

Quelles sont les perspectives ?
Le ransomware est devenu tellement omniprésent qu’on peut s’interroger sur sa marge de progression. Et pourtant, de nouveaux territoires d’infection sont à envisager…

  • Systèmes de contrôle industriels / SCADA

Il reste encore un univers qui est, pour l’instant, à l’abri du ransomware : les systèmes de contrôle industriels au sein des environnements de production : usine chimique, centrales nucléaires, centrales électriques, etc. Ces systèmes sont pourtant des proies idéales pour le ransomware.

Aucune information, tout du moins publique, ne permet à ce jour de conclure à l’existence de cas d’infection au sein des environnements industriels. Cependant, la question est légitime car toute stratégie de sécurité est susceptible de présenter des lacunes…

Ces systèmes industriels sont peu protégés et plutôt fragiles. C’est un fait connu. Certaines variantes actuelles de ransomware pourraient donc se contenter de frapper à la bonne porte, ce qui laisse penser qu’il est probable que la menace émergera tôt ou tard au sein de ces environnements industriels. Nous constatons déjà que le ransomware cible certains profils de victimes, comme les acteurs de soins de santé, qui doivent s’acquitter d’une rançon élevée car nombre de ces acteurs ont déjà accepté, dans le passé, de payer la rançon. Quid des gouvernements ? Seraient–ils prêts à céder au chantage pour prévenir toute problématique au sein d’une centrale nucléaire ?

C’est pour répondre à ces défis que Fortinet a imaginé son architecture ISFW (Internal Segmentation Firewall) qui empêche les assaillants de se mouvoir latéralement au sein des réseaux industriels ou d’entreprise.

  • CLOUD

Face à un ransomware qui prolifère presque à sa guise, quelles sont les perspectives ?

Compte tenu de son historique, on imagine facilement que le ransomware continuera à proliférer. Car pour survivre et se développer, le ransomware suit les données où qu’elles se trouvent. Les données migrent vers le cloud, qui devient ainsi un terrain particulièrement fertile pour les ransomware.

Apple a récemment annoncé que son service gratuit icloud passait de 20 à 150 Go de stockage, faisant du stockage de données privées et personnelles dans le cloud la nouvelle norme. Les cybercriminels pourraient tirer parti d’une API pour chiffrer des données stockées en ligne. Car, après tout, le Cloud repose sur des systèmes appartenant à une personne ou entité.

Plus que jamais, il est essentiel que des sauvegardes soient réalisées de manière régulière, quelle que soit la plateforme cloud utilisée. Pour mieux accompagner les organisations, Fortinet étudie en permanence les menaces liées au ransomware et repense les approches capables de neutraliser les nouveaux vecteurs et variantes. Nous renforçons notre capacité à détecter et neutraliser les menaces, et à concevoir des mesures de rétorsion en se focalisant sur des nouveaux modèles de prévention.

  • LES HUMAINS

Sans verser dans la science-fiction, on est néanmoins en droit de s’interroger : compte tenu des risques associés à l’Internet des Objets, est-il possible le fait que le ransomware passe un jour du monde numérique vers nos systèmes biologiques ?

Que se passerait-il si un ransomware vous empêchait d’utiliser votre prothèse de bras ou vos dispositifs et implants médicaux (pacemaker par exemple ?). Ces risques ne doivent pas être écartés !

Fort heureusement, il s’agit encore à ce jour de spéculation, mais, pour autant, sommes-nous si loin de la réalité ? La science-fiction a nourri nombre de nos inventions … L’évolution étant un processus permanent, nous pouvons nous attendre à l’émergence de nouveaux vecteurs et cibles. Et si, demain, les ransomware implantaient des modules de contrôle au sein de votre voiture sans conducteur, venaient perturber une opération chirurgicale assistée par robot ou vous empêchaient d’accéder à votre propre maison connectée ? Et que dire des dispositifs infectés capables de déployer et gérer d’autres dispositifs ? Sommes-nous vraiment si éloignés d’une situation, aujourd’hui encore fictive, avec des machines qui prendrait le contrôle sur les humains ? Nous sommes particulièrement enthousiastes face aux promesses que nous dévoile le futur. Mais nous devons être encore plus enthousiastes à protéger ce monde à venir. (Par David Maciejak, expert sécurité chez Fortinet)

Bitcoin, Chiffrement, Cyber-attaque, Cybersécurité, Piratage

Un ransomware écrit en GO

Le langage GO de Google voit débarquer son premier code malveillant. Un ransomware qui chiffre votre disque dur et vérifie votre solde en bitcoins.

Les ransomwares, il y en a pour tous les goûts, toutes les bourses. DrWeb, éditeur de solutions de sécurité informatique vient de mettre la main sur une nouvelle version de ce type de logiciel malveillant. Baptisé Trojan.Encoder.6491, ce logiciel de rançonnage agit comme ses cousins, il chiffre les disques durs et demande de l’argent en échange du déchiffrement. Dans le cas de Trojan.Encoder.6491, 25 dollars à payer en Bitcoin. Originalité de cette attaque ?

Trojan.Encoder.6491 est codé en GO, le langage de programmation de Google. A son lancement, Trojan.Encoder.6491 s’installe dans le système sous le nom de Windows_Security.exe.

Puis le Trojan se met à chiffrer les fichiers, comme un ransomware de base, se trouvant sur les disques avec l’algorithme AES. Ce microbe chiffre 140 types de fichiers différents (.doc, .jpg, etc.). Ce logiciel pirate contrôle le solde du portefeuille Bitcoin de la victime pour s’assurer du transfert de l’argent. Le virement constaté, le ransomware déchiffre automatiquement les fichiers pris en otage.

Argent, Arnaque, Base de données, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fuite de données, Leak, Mise à jour, Particuliers, Patch, Piratage, ransomware, Sauvegarde

Locky and co ! Le ransomware est maintenant la première menace en Europe

Locky a encore de l’avenir ! L’agence européenne de police, Interpol, estime dans le rapport annuel sur la cybercriminalité qu’elle vient de rendre public, que « le ransomware est maintenant la première menace en Europe » tout en ajoutant que cela allait empirer dans les mois et années à venir.

Locky et ses amis n’ont pas fini de perturber les boites mails ! Vade Secure, l’éditeur français spécialisé dans les solutions de protection des boites de messagerie (300 millions de boîtes protégées à travers le monde) alerte depuis longtemps sur la montée en puissance des ransomware.

Florian Coulmier, Responsable Production et Cybercriminalité de Vade Secure commente : « Nous, comme de nombreux experts, avions prédit que l’année 2016 serait l’année du ransomware. Et effectivement, les vagues de ransomware sont progressivement montées en puissance et ont très largement ciblé les entreprises, notamment en France, le désormais célèbre Locky en tête. Preuve de cette tendance, le nombre de variantes de ransomware a fortement augmenté, et l’on en décompte pas moins de 120 aujourd’hui. Le niveau de technicité de ces attaques augmente également et les hackers les font évoluer très rapidement dans le temps pour trouver de nouvelles parades aux outils de détection : Satana était une évolution de Locky qui était lui-même une évolution de Petya, lui-même une évolution de Dridex, etc. »

En France, Locky reste de loin le ransomware le plus présent. Vade Secure a identifié des vagues de Locky particulièrement extraordinaires à différentes périodes cette année, avec des pics à plus de 1,2 millions de Locky bloqués en 24h, en mars. Alors qu’en période « normale », la solution de filtrage des emails dans le Cloud de Vade Secure (Vade Secure Cloud) détecte en moyenne 25 000 malwares par jour. Et les vagues de Locky continuent d’ère massivement diffusées (notamment via le botnet Necurs), avec des pics fin août/début septembre. Le business Locky reste donc très lucratif pour les cybercriminels, notamment auprès des TPE/PME clairement les cibles principales du ransomware du fait de leur niveau de sécurisation moindre face à ce type d’attaques.

Ces derniers mois, une tendance est apparue, celle des ransomware tentant de se faire passer pour Locky pour faire peur aux cibles visées et leur faire croire qu’elles sont obligées de payer, sans autre solution. En réalité, ces souches de ransomware (Bart ou PowerWare par exemple) sont beaucoup moins dangereuses car le cryptage peut être cassé, même avec des outils gratuits. Il faut désormais savoir distinguer le vrai Locky, de ces imitations ».

« Nous avons également identifié des nouvelles tendances cette année et qui sont clairement vouées à se développer,  indique Régis Benard. C’est le cas du ransomware-as-a-service (RaaS) avec des premiers cas tels que Cerber. Pour maximiser leurs impacts et leurs revenus, les cybercriminels proposent, en communiquant très simplement sur Internet, à des volontaires de diffuser leurs ransomware dans leur propre pays. »

Cela traduit réellement une professionnalisation du marketing du ransomware et nous voyons même apparaître aujourd’hui de véritables services après–vente qui proposent d’accueillir les victimes pour les aider à payer la rançon… Nous sommes clairement aujourd’hui de plus en plus loin des attaques de malware artisanales.

Et pour compléter le tableau, nous pouvons ajouter l’apparition cette année de la nouvelle menace du ransomware-as-a-Freeware (RaaF) pour lequel un développement rapide est à prévoir. Les RaaF tels que Shark, sont distribués en freeware avec une exigence : la remise d’une partie des gains mal acquis à ses créateurs. La valeur ajoutée du RaaS et du RaaF et leur dangerosité, c’est que ces types de ransomware nécessitent un minimum d’efforts pour un maximum de résultats .

Enfin, les chiffres montrent que depuis la rentrée les attaques de ransomware sont régulières, massives, et que le ransomware représente en effet la quasi-totalité des attaques. Nous allons continuer à entendre parler majoritairement de Locky (car les fichiers sont renommés en .locky) mais de plus en plus de Zepto et de Odin, les petits derniers probablement issus de la même souche virale.

Chiffrement, cryptage, Cybersécurité, IOT, ransomware

Objets connectés : prise d’otage possible

Deux chercheurs démontrent que les prochaines prises d’otage numérique pourraient toucher nos objets connectés.

Objets connectés dangereux ? Je vous racontais, l’année dernière, comment des routeurs et des répartiteurs Wifi avaient été pris en otage par des pirates informatiques. Une méthode simple qui permet d’utiliser le matériel infiltré pour d’autres attaques. Les caméras de vidéo surveillance, des bouilloires ou encore des congélateurs connectés avaient pu être utilisés dans ce genre de malveillance. Heureusement, dans la plupart des cas, des démonstrations de chercheurs.

Lors du Defcon de Las vegas, Andrew Tierney et Ken Munro, deux chercheurs en sécurité informatique se sont amusés à démontrer que les objets connectés, comme par exemple des thermostats connectés, pouvaient être pris en otage par un ransomware. Des pirates pourraient réclamer quelques euros aux propriétaires piégés par leur thermostat bloqué.

Pour les deux ingénieurs, mais cela devient une lapalissade que de le dire, encore trop de créateurs de périphériques connectés ne prennent pas de précautions dans la sécurité de leurs objets, mettant en danger les utilisateurs. « Nous ne disposons de quasdiment aucun contrôle sur nos appareils, soulignent les deux britanniques à Mother board, et nous ne savons pas vraiment ce qu’ils font et comment ils le font« .

Chiffrement, cryptage, Cybersécurité, IOT, ransomware

Ransomware : les entreprises refusent de payer… sauf quand elles sont victimes

L’étude « 2016 Executive Application & Network Security» de Radware montre que l’essentiel des craintes en matière de sécurité informatique se cristallisent autour du télétravail, de l’Internet des objets, du ransomware et des « wearables »

Combien d’entreprises sont prêtes à verser une rançon en cas d’attaque informatique au « ransomware » ? Aux Etats-Unis et au Royaume-Uni, parmi les directeurs et responsables informatiques qui n’ont pas encore été confrontés à ces attaques, 84% déclarent qu’ils ne paieraient pas. Pourtant 43% des entreprises victimes ont fini par payer. C’est ce que révèle l’étude 2016 de Radware « Executive Application & Network Security».

Radware, spécialiste de la disponibilité applicative et de la sécurisation des centres de données et des applications, a interrogé plus de 200 dirigeants d’entreprises et DSI aux Etats-Unis et au Royaume-Uni. Il en ressort que les entreprises américaines admettent plus volontiers qu’elles accepteraient de payer une rançon. 23% des dirigeants d’entreprises américaines n’ayant jamais été victimes d’une telle attaque se disent prêts à verser une rançon contre 9% seulement au Royaume-Uni. En moyenne, les entreprises ont versé des rançons de l’ordre de 7 500 dollars aux Etats-Unis et de 22 000 livres sterling au Royaume-Uni.

« C’est un exemple marquant des nouvelles décisions que les dirigeants et DSI sont amenés à prendre dans le domaine de la sécurité », déclare Carl Herberger, vice-président des Solutions de Sécurité de Radware. « Il est facile de dire qu’on ne paiera pas tant que le système n’est pas bloqué est rendu inaccessible. Les entreprises qui prennent des mesures de sécurité proactives réduisent les risques de devoir faire face à de telles décisions. »

L’étude « 2016 Executive Application & Network Security» révèle également quelles sont les menaces informatiques qui préoccupent le plus les dirigeants d’entreprises et les membres de la direction. Rien de mieux que d’anciens pirates pour mener la garde : les dirigeants considèrent que des pirates expérimentés sont les mieux placés pour mettre leurs systèmes à l’épreuve. 59% des sondés ont recruté ou envisagent de recruter d’anciens hackers pour les aider à renforcer leur sécurité. L’un d’eux a résumé : « Il n’y a pas meilleur garde-chasse qu’un ancien braconnier ».

Le télétravail expose à des risques supplémentaires : l’étude a révélé que l’organisation du télétravail dans les entreprises est en train d’être revue. 41% des sondés déclarent avoir modifié les règlements internes ces deux dernières années pour mieux encadrer ces pratiques. Il convient de mieux encadrer l’utilisation des wearables : une entreprise sur trois environ a mis en place des règles de sécurité appliquées aux wearables ces deux dernières années. Pourtant 41% des sondés reconnaissent n’appliquer aucune règle sur ce type de terminaux si bien qu’ils représentent une vulnérabilité croissante. Ceci s’explique peut-être par le fait que les wearables ne sont pas considérés comme une cible principale. 18% seulement des sondés les désignent comme des vecteurs d’attaques privilégiés par les hackers dans les années à venir.

Les nouveaux objets connectés, prochaine frontière de la sécurité : loin devant les wearables, de nombreux dirigeants estiment que l’Internet des objets pourrait poser de sérieux problèmes de sécurité. 29% considèrent en effet que les objets connectés sont des vecteurs extrêmement probables d’attaques, dans des proportions équivalentes à l’infrastructure réseau (31% des réponses).

Se remettre d’une cyberattaque peut coûter cher : plus d’un tiers des sondés aux Etats-Unis ont révélé avoir perdu plus d’1 million de dollars suite à une cyberattaque, plus de 10 millions de dollars pour 5% d’entre eux. Au Royaume-Uni, la facture est en moyenne moins salée, puisqu’ils sont 63% à déclarer avoir perdu moins de 351 245 livres sterling (environ 500 000 dollars), et 6% plus de 7 millions de livres sterling.

Le risque ransomware pour la sécurité s’étend à toute l’activité : que les attaques soient motivées par l’appât du gain ou pas, elles ont de graves répercussions sur les finances et sur la réputation des entreprises victimes. Interrogés sur les conséquences des cyberattaques qu’ils craignent avant tout, les dirigeants ont répondu majoritairement (34%) le préjudice sur la réputation. La perte d’exploitation (31%), le manque à gagner (30%), la baisse de productivité (24%) et la chute du cours des actions (18%) viennent ensuite.

Méthodologie de l’étude
A la demande de Radware, Merrill Research a interrogé 205 dirigeants et DSI (104 aux Etats-Unis, 101 au Royaume-Uni) en avril et mai 2016. Pour être éligibles à cette étude, intitulée « 2016 Executive Application & Network Security », les sondés devaient représenter une entreprise avec un chiffre d’affaires d’au moins 50 millions de dollars (ou équivalent) et occuper le poste de vice-président senior ou un poste de direction plus élevé encore dans la hiérarchie. Autant de hauts dirigeants et de vice-présidents seniors ont été interrogés. La moitié environ des entreprises ayant participé à l’étude ont entre 1 000 et 9 999 salariés, 3 800 en moyenne.