Archives pour la catégorie Piratage

Nous traitons ici tous les sujets d’actualité lié au piratage. Vous serez informé des dernières nouvelles sur la sécurité informatique et nous donnerons à chaque fois une solution ou un conseil pour se protéger.

Ces cyberattaques qui effacent des bases de données

On parle de cyberattaques « Meow » qui sont essentiellement dirigées contre les entreprises privées.

Récemment des incidents informatiques ont causé la perte de de 4 000 bases de données non sécurisées. Les informations contenues dans ces bases de données ont été remplacées par le mot « meow » qui donne miaou en français, d’où la nomenclature de la cyberattaque. Les attaquants ne menacent point les victimes ni n’exigent de rançon.

Selon les observateurs de ce phénomène, ces cyberattaques semblent vouloir simplement punir les entreprises négligentes en fait concernant la prise de mesure idoine de cybersécurité.

Comme nous le mentionnons plus haut, des milliers des informations contenues sur plus de 4 000 bases de données ont été totalement effacées par des miaulements virtuels. Les entreprises victimes de cet incident n’ont malheureusement pu rien faire contre ce problème si ce n’est observé les dégâts.

Pourtant, un chercheur en sécurité informatique avait alerté la semaine dernière sur l’extension de ce problème. Cela après une brèche de sécurité touchant le réseau virtuel privé fourni par l’entreprise Hong Kongaises UFO VPN, qui est spécialisé en la matière. Bob Diachenko, le chercheur donc il s’agit qui est par ailleurs très connu dans le domaine pour la découverte de plusieurs brèches et fuites de données. Pour ce qui concerne cette entreprise basée à Hong Kong, UFO VPN, elle a plusieurs fois été pointé du doigt pour avoir laissé échapper plusieurs données appartement à ses clients en accès libre sur le web.

Plus précisément, le moteur de recherche spécialisé dans les fuites de données, Shodan, note que seulement 3 800 bases de données ont été de manière effective touchées par les cyberattaques « Meow ». « Ces attaques ne contiennent pas de demandes de rançon ou de menaces, uniquement le mot « meow » assorti d’une suite de chiffres aléatoires », a déclaré Bob Diachenko. En d’autres termes, les attaquants ne semblent pas être intéressés cette fois-ci, par l’appât du gain

« Ils s‘agit d’une cyberattaque différente de ce qu’on a connu ces derniers mois. Elle se présente plutôt comme une leçon, pour montrer comment il est facile de toucher des entreprises qui négligent leur sécurité informatique » Soulignent de leur côté l’avocat associé chez McDermott Will & Emery et spécialiste de la cybersécurité Romain Perray.

Sur ce coup, la punition est sévère si cela en est vraiment une. On ne peut pas appeler cela comme le pense beaucoup de spécialistes, un avertissement. Car les données qui ont été supprimées le semblent définitivement. Malheureusement qu’elles pourront peut-être un jour récupérer. Ce qui signifie que les entreprises à doit se préparer à subir les conséquences financières de ces cyberattaques. Sans oublier non plus, les effets juridiques qui pourrait en découler, si les informations suppriment y avait une certaine importance pour les activités des entreprises victimes.

Selon l’expert en sécurité informatique Romain Perray, Cette action peut se légitimer par le fait que les entreprises en trop longtemps été négligentes encore respect de leur somme légation dans le domaine de la sécurité informatique. « On constate que même quand elles adoptent certaines mesures de sécurité, ces dernières ne sont pas suffisantes et restent bien en deçà des recommandations de la CNIL et de l’ANSSI. Il y a parfois des manques au niveau le plus élémentaire, comme sur la robustesse des mots de passe et leur renouvellement » relève ce dernier. « On pense toujours que les attaques informatiques, c’est chez les autres. »

Selon l’avocat, si l’opinion générale croit que ce sont les mesures de travail à distance déployées dans le but de répondre au besoin du confinement général, dans la lutte contre le CoVid-19 est l’une des causes principales qui motive l’explosion des actes cybermalveillance, il faudrait souligner le fait, que la négligence particulière des entreprises concernant le respect des règles en matière de cybersécurité, est particulièrement nocive. En effet, il n’est pas assez rare que des personnes oublient de tout simplement protéger l’accès à des informations sensibles par de bons mots de passe.

On peut croire alors que les attaquants derrière ces derniers incidents cherchent particulièrement à dénoncer ces écarts de conduite. En l’espèce, on voit clairement que les bases de données qui ont été ciblées, n’étaient aucunement protégées même par la plus rudimentaire mesure qu’est le mot de passe. À ce stade les données étaient tout simplement explosées à toutes sortes de malveillance.

Pour le moment, ces actes de cybermalveillance n’ont pas encore été revendiqués. Les enquêtes qui sont en cours n’ont pas pu, du moins pour le moment, déterminer les responsables. Certains spécialistes de la cybersécurité espèrent néanmoins que les entreprises touchées par ces agissements changent leurs manies. Car « On pense toujours que les attaques informatiques, c’est chez les autres » note Romain Perray. « Il faut toujours un minimum de protection, même sur les données qui ne sont pas critiques. ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Fuite de données : Des milliers de données policières exposées

Touché par une faille de sécurité, un site américain, laisse fuiter des millions informations appartement à la police américaine.

Il s’agit ici de plusieurs profils ADN, concernant plusieurs individus impliqués dans des enquêtes menées ou en cours par les autorités policières.

Cet article va aussi vous intéresser : Les « BlueLeaks » : l’immense fuite de données de la police américaine

La faille de sécurité a été causée par une attaque informatique. C’est lors de la réactualisation des paramètres, GEDmatch, un site généalogique, malheureusement laissé l’accès libre au données de la police, en particulier les informations génétiques des utilisateurs, qui en majorité, n’ont pas consentis.

Les faits ont lieu le 20 juillet dernier. Les victimes de la fuite de données ont été contactées par la plate-forme, pour être informées du problème qui prévalait l’heure de la faille de sécurité. Comme il a été mentionné plus haut, les informations traitées par la plate-forme sont des natures assez sensibles. L’avantage offert par la plate-forme permet à ses clients après avoir défini un profil ADN de faire de recherche dans le but de pouvoir trouver d’autres profils correspondant à sa généalogie. Ce qui peut permettre de retrouver des familles, ou des parents que l’on a perdu de vue depuis des années. Ce qui sous-entend aussi que plusieurs milliers de profils ADN y sont compilés.

Et bien sûr c’est une plateforme qui a son intérêt pour les autorités policières, qui se sont déjà servies de ces informations lors d’une enquête en 2018 portant sur l’affaire du « tueur du Golden State ». Une aventure qui est dure près de quatre décennies, qui a vu les autorités policières enquêtent dans le but de trouver une personne responsable de plus de 13 meurtres. L’enquête a connu un tournant lorsque les données fournies par GEDmatch, un permis d’identifier un cousin lointain, ce qui a immédiatement permis de découvrir l’identité de l’individu recherché du nom de Joseph DeAngelo, qui alors était âgé de 72 ans. Il plaide coupable lors de son procès.

Après les événements qui ont concerné le meurtrier, la plateforme a introduit une nouvelle possibilité à ses clients de pouvoir permettre aux autorités policières ou non. Sur les 1,45 millions de personnes inscrites sur la plate-forme, seulement 280 000 clients ont donné leur consentement selon le rapport de BuzzFeed.

Cependant, le 19 juillet, la plateforme subit une attaque informatique, mettant ainsi en danger des milliers de données génétiques, mais aussi permettant à la police, d’en avoir accès sans autorisation des utilisateurs. « En conséquence de cette intrusion, tous les réglages utilisateurs ont été réinitialisés », souligne GEDmatch sur Facebook. « Cela a rendu tous les profils visibles à tous les utilisateurs. Cela a duré environ trois heures. Pendant cette période, les utilisateurs qui n’avaient pas activé la fonction qui permet à la police de comparer leurs données génétiques ont quand même vu leurs données être accessibles. ».

Pour le moment, l’étendue des données auxquelles la police américaine aurait pu accéder n’a pas encore été déterminée par la plateforme ni par la presse américaine. Mais il est sûr que cette dernière profitera au maximum de cette situation pour effectuer plusieurs comparaisons de profil génétique, qui est en réalité n’aurait jamais pu être accessible en temps normal. Cependant du côté de GEDmatch, on assure n’avoir observé rien d’inhabituel quand bien même que cela semble peu problème. Par la suite, précisément le 20 juillet, une autre attaque informatique frappait la plateforme. Mais les choses avaient changé, les données n’étaient plus accessibles à la police. Le site restera hors ligne durant toute la journée du 33 juillet. L’entreprise a mentionné un besoin de maintenance.

Mais ce n’est pas tout. En effet, selon L’héritage, un autre site de généalogie, avertissait ses clients qu’ils pourraient être ciblés par des campagnes d’hameçonnage, ce qui serait le cas aussi pour les clients de GEDmatch. En clair, les ennuis ne sont pas du tout finis. « Nous avons découvert après avoir parlé avec les personnes qui ont reçu cet e-mail que tous utilisent GEDmatch. Puisque GEDmatch a été victime d’une intrusion il y a deux jours, nous suspectons que c’est comme cela que les auteurs ont récupéré leurs adresses e-mail », avait noté m MyHeritage

Selon MyHeritage, seize personnes se seraient fait avoir par la campagne d’hameçonnage, sur les 105 personnes ciblées. La plateforme annonce avoir tenter de les contacter, pour leur demander de changer les mots de passe.

GEDmatch de son côté se défend, face aux accusations. La plateforme souligne n’avoir « aucune preuve qui laisse suggérer que cette campagne d’hameçonnage soit le résultat de l’intrusion de cette semaine ». Le 20 juillet déjà, l’entreprise affirme qu’« aucune donnée n’avait été téléchargée ou compromise ». Elle assure continuer ses enquêtes dans le but de déterminer si d’autres problèmes sont à observer et à y remédier.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Rançongiciel : Une Université américaine contrainte de payer la rançon pour récupérer ses données

Durant le mois de juin, un établissement d’enseignement supérieur basée en Californie aux États-Unis, à été frappé par une attaque informatique.

Plusieurs logiciels malveillants ont été découverts dans les systèmes informatique de cette université.  En effet le 1er juin, l’école de médecine l’UCSF, a été victime d’une attaque au rançongiciel. C’est lors de la tentative de récupération de système et de son isolation, que les spécialistes de la sécurité en découvert, un programme de rançonnage, s’était propagé tout au long du système. Même s’ils réussirent à freiner cette propagation, cela ne leur a pas empêché de subir les dommages de cette cyberattaque.

Cet article va aussi vous intéresser : L’Université de Toulouse impliqué dans data leak

En effet, si l’école de médecine a précisé le fait que l’attaque informatique n’a pas eu de conséquences directes sur leurs « prestations de soins aux patients, le réseau global du campus ou le travail sur la COVID-19. », cependant les serveurs de l’Université, qui étaient aussi utilisés par l’école de médecine, ont malheureusement été chiffrés par les cybercriminels.

Et comme on le sait, le mode opératoire classique des cybercriminels par rançongiciel, est très contraignant pour les victimes. En effet une fois en présentiel de ce programme malveillant, le contenu de l’ensemble des données contenues dans le serveur sont généralement chiffrées et rendu alors inaccessibles par les véritables administrateurs. Ce qui malheureusement contraint les victimes à faire un choix très difficile. Soit elles acceptent de payer la rançon exigée par les cybercriminels, soit se résigner à perdre potentiellement ces informations. Dans la majeure partie des cas, les cybercriminels en cette manière de fixer un délai dans le but d’accroître encore plus la pression sur leurs victimes souvent en profitant pour exiger des paiements supplémentaires.

Depuis un certain moment, avec l’explosion des attaques aux rançongiciels et la défaillance des entreprises et les organisations à ne pas payer les rançons, les rançons exigées peuvent s’élever aujourd’hui à des millions de dollars. Et c’est l’exemple de ce cas que nous soulevons. « Les agresseurs ont montré certaines données comme preuve de leur action, et les ont utilisés dans leur demande de paiement d’une rançon. », a déclaré lors d’un communiqué les autorités de l’université californienne. « Nous poursuivons notre enquête, mais nous ne pensons pas pour l’instant que les dossiers médicaux des patients aient été exposés. » ajoute-t-elle.

Généralement il est déconseillé aux victimes des attaques aux rançongiciels, de verser la rançon exigée par les cybercriminels de nature à ne pas les encourager à continuer. Malgré cela, l’université californienne se résigner, à prendre « la décision difficile de payer une partie de la rançon car certaines des informations stockées sur les serveurs sont importantes pour certains travaux universitaires que nous menons. ».

Selon les informations recueillies, le groupe 2 cybercriminels à l’origine de ce forfait serait les pirates de Netwalker. Selon la BBC, les négociations qui ont eu lieu entre l’Université et les cybercriminels se sont déroulés sur le darknet. La rançon exigée à l’origine était à hauteur de 3 millions de dollars. L’université de son côté avait proposé de verser 780 000 dollars en signifiant les difficultés financières rencontrées par l’établissement à cause de la pandémie du coronavirus.

Pour le moment, rien n’indique que l’université a bel et bien récupéré ses données qui étaient chiffrées.  Par ailleurs, l’établissement d’enseignement supérieur a mentionné avoir fait appel à des spécialistes de la cybersécurité pour mener une enquête bien plus approfondie sur l’incident de sécurité. Ces enquêteurs travaillent de connivence avec la police fédérale américaine qui elle aussi est sur la trace de ces cybercriminels. Mais si nous nous réferont aux écrits du site spécialisé Zdnet, les serveurs de l’université sont toujours hors service. « Nous continuons à coopérer avec les forces de l’ordre, et nous apprécions que chacun comprenne que nous sommes limités dans ce que nous pouvons partager pendant que nous poursuivons notre enquête. »  explique les autorités de l’université.

Concernant le groupe de cybercriminels Netwalker, ils sont spécialisés dans les attaques se fondant sur les failles de sécurité qui sont déjà connues, voire un rendues publiques, dans la correction a été négligée par les organisations touchées. C’est exactement de cette manière que le système Université californienne a été pris d’assaut. Il y a aussi une autre spécialité pour ces pirates informatiques : les attaques par force brute.

Selon une publication de la société de SophosLabs, ce groupe de cybercriminels utilise généralement plusieurs sortes d’outils, leur permettant d’avoir un équipement assez complet. En parle notamment de son Rançongiciel « Netwalker », mais aussi de « Zeppelin » et « Smaug », accompagné de certaines applications de reconnaissance Windows et les programmes d’attaque de force brute.

Pour les spécialistes de la sécurité, Netwalker s’en prend généralement aux grandes organisations et évite d’une certaine manière les cibles individuelles.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Ransomware : une hausse niveau des attaques des établissements de santé en 2019

Récemment publié, un rapport rédigé par l’agence du numérique en santé, fait cas d’une hausse non négligeable des attaques au rançongiciel dirigées contre les établissements de santé durant l’année 2019.

Le temps que le rapport fait suite à une étude réalisée par l’institution française sur « l’évolution des incidents de sécurité informatique affectant les établissements de santé ».

Cet article va aussi vous intéresser : Une évolution de 20 % des incidents de sécurité informatique au niveau des établissements de santé en France

En se référant au ligne rédigé par l’agence du numérique en santé, on peut simplement retenir, à l’instar du secteur privé au niveau des entreprises industrielles commerciales, la hausse des cyberattaques en particulier fondée sur le rançongiciel, a clairement affecté les structures sanitaires, beaucoup plus en 2019 que les années précédentes.

On verra quand même, de l’année précédente cette année 2019 n’aura rien à envier à 2020 qui malgré la crise sanitaire, n’a encore, autant mouvementée que 2019. Cependant la vigilance est de mise.

On rappelle que depuis 2017, les attaques de ce genre ne font que croître. C’est d’ailleurs pour cette raison que le ministère de la santé, avait expressément initié une cellule chargé de traiter les différents signalements des incidents de sécurité connu par les systèmes d’information des structures sanitaires. L’objectif en proposant ce dispositif est non seulement d’avoir une vision plus claire des problèmes qui surviennent dans ce secteur, mais aussi de proposer un accompagnement des établissements, ciblés par les attaques informatiques, ainsi que de proposer un observatoire portant sur l’état des menaces Cyber qui pèse sur le secteur de la santé.

Ledit observatoire publiait la semaine dernière déjà, son deuxième rapport annuel, qui décrivait les tendances en matière de sécurité informatique, pour le secteur sanitaire français.

En ce qui concerne l’actualité au niveau de la menace cyber en 2019, les rançongiciels sont largement en tête comme la menace la plus inquiétante pour le secteur. Non pas que les autres menaces soient à négliger. Cependant les attaques fondées sur les ransomwares ont été les plus marquantes. À ce titre on peut prendre pour exemple l’attaque du groupe Ramsay générale de la santé et celle du CHU de Rouen, dont les conséquences ont été terribles

Globalement, il a été comptabilisé par l’Observatoire près de 392 incidents déclarés pour seulement l’année 2019. 43 % de ces cyberattaques ont été qualifiés d’origine malveillante. Cela nous montre clairement, que l’Observatoire s’intéresse aussi aux accidents de sécurité, qui en plus être causés par des bugs lié à des applications ou même au coupure de réseau.

Il faut noter que les chiffres produits par l’Observatoire ont été ceux essentiellement fournis par les établissements de santé eux même. Car le rapport a bien mentionné, qu’il est au courant d’être confronté à « une sous-déclaration des incidents par les acteurs du privé ». En d’autres termes, les chiffres en fournis par l’Observatoire peuvent être un peu inférieurs à l’état véritable des incidents connu par les établissements de santé. Cependant, ils sont suffisants pour retracer certaines tendances dans le secteur de la cybersécurité.

« En 2019, le nombre d’incidents d’origine malveillante est en légère augmentation (43%), par rapport à 2018 (41%). On constate une croissance significative des attaques par rançongiciels (+40%) des structures de santé. Cette croissance n’est pas spécifique au secteur santé, mais concerne l’ensemble des secteurs d’activité » expliquent en ces termes les auteurs du rapport, qui signifient au passage que les attaques informatiques en 2019 « ont aussi visé de façon plus marquante en 2019 des établissements de grande taille, avec des impacts conséquents sur la continuité d’activité »

Par ailleurs, le rapport a précisé que les messages de phishing comprenaient non généralement des pièces jointes corrompues ou des liens vers des sites malveillants constitue à la base le vecteur d’infection primaire de ces attaques informatiques en 2019. Il n’empêche cependant, que certains nombres d’incidents, ont été causé par des failles de sécurité qui n’ont pas été corrigées, ou notamment par des accès à distance du système d’exploitation Windows, à cause de mot de passe très mal formuler, facilement piratable par les cybercriminels.

Une grande partie des rançongiciels déployés contre les établissements de santé en 2019, n’est pas véritablement méconnue par les spécialistes. En effet, le rapport met en évidence, des programmes malveillants assez célèbre dans le secteur tel que :

– Locky ;

– Dharma ;

– Gandcrab ;

– Phobos ;

– Emotet

Pour ce qui concerne en les rançons exigées. La moyenne est similaire à celle observée auprès des entreprises de secteur privé qui ont connu la même vague de cyberattaques. Ce qui pourrait s’élever « à plusieurs dizaines de milliers d’euros ». Le rapport précise « qu’à leur connaissance, seules deux structures du secteur privé ont payé la rançon demandée pour récupérer leurs données. »

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les sociétés d’entretien d’avion : les nouvelles cibles préférées des pirates informatiques

Dans le courant du mois de juillet, une société qui s’est spécialisée dans l’entretien des avions, Innotech-Execaire, a été la cible de cybercriminels.

L’attaque informatique qui s’est soldée par le vol de milliers de dossiers confidentiels, incluant malheureusement pour cette dernière, plusieurs secrets industriels et des informations personnelles sur les employés.

Selon ce qui a été révélé sur un site lié au groupe de cybercriminels, ce serait le logiciel de rançonnage « Maze » fut utilisé pour l’attaque informatique. À titre d’information, le rançongiciel permet aux cybercriminels d’extorquer leurs victimes, en cryptant l’accès aux systèmes informatiques de ces dernières, ou à leurs données. En cas de refus du versement de la rançon, les pirates informatiques menacent de publier des informations confidentielles de l’entreprise ciblée. Ils vont dans certains cas à publier un petit nombre d’informations de sorte à motiver ou forcer la main à la victime.

Dans notre cas ici présent, les cybercriminels ont déjà commencé à diffuser certaines informations, quelques la liste de clients et d’appareils sous contrat. Une liste de certains outils utilisés, de logiciels et même des tâches à réaliser pour certains appareils en particulier.

L’intention de cybercriminels se confirme nettement lorsque ces dernières demandes à l’entreprise d’entrer en contact avec eux dans le but de négocier. « Quand nous commencerons à publier, nous allons aussi aviser tous les partenaires, les clients et les régulateurs du client », pouvait-on lire dans le message des pirates.

L’entreprise d’entretien est alors confrontée à un dilemme sérieux. Soit accepter de perdre ses informations et voir ces mêmes informations diffusées au vu et au su de tous, soit payer la rançon exigée en cryptomonnaie et courir le risque d’être un nouveau ciblés par des cybercriminels.

« On était au courant qu’on a été “hackés” fin mars. On n’a pas été capables de déterminer s’il y avait de l’information qui a été compromise », déclarait Ivan Mosca, directeur des finances chez Innotech-Execaire, une filiale d’IMP Group Limited, de Halifax.

En tenant compte des informations qui ont déjà été publiées par les cybercriminels, les spécialistes estiment que le cyber piratage remonte depuis la fin du mois de juin, en particulier sur les plateformes twitter et Facebook de la société.

Jusqu’à présent l’entreprise se réserve de faire des déclarations plus détaillées sur le problème. Mais ce lundi, Michael Fedele, le président d’Innotech-Execaire, déclarait : « Nous sommes en train de travailler avec tous les départements à l’interne et les agences à l’externe concernant cette situation ».

Pour le moment, personne ne sait si la société a déposé plainte ou compte déposer plainte auprès des autorités. On ne sait toujours pas si elle a informé les personnes touchées par la fuite des données, en particulier Depuis la divulgation sur le web par les cybercriminels. On retient seulement avant que le site web ne soit totalement mi sous presse, il avait déjà comptabiliser près de 1800 visites.

Selon le directeur des finances de Innotech-Execaire, Ivan Mosca, aucune demande de rançon n’a été formulée en direction de l’entreprise. « Personne ne nous a contactés », note ce dernier.

Selon un professionnel de la traque des pirate informatique, Damien Bancal, par ailleurs directeur de la cyberintelligence chez 8Brains : « Généralement, le logiciel Maze affiche pourtant un fichier .txt avec les instructions pour le paiement », dit Damien Bancal, directeur de la cyberintelligence chez 8Brains. Ce dernier affirme ne pas comprendre comment cela se fait-il que Innotech n’arrive pas à trouver la demande de rançon. « Soit ils ne l’ont pas vue, soit ils l’ont effacée par mégarde », ajoute l’expert.

Cependant selon Patrick Mathieu, le cofondateur de Hackfest de Québec, il se peut qu’une raison particulière puisse expliquer la raison pour laquelle la demande de rançon n’a pas encore pu être trouvée par Innotec. Cela est possible si les cybercriminels ont infiltré, une sauvegarde qui n’est pas fréquemment consulté par l’entreprise. Mais cela ne les excuse pas pour autant car : « …mode investigation, tu es censé le retrouver… ».

Du côté des autorités, il y a un fort soupçon qui pèse sur le groupe Maze, qui aurait pu louer leur programme malveillant à d’autres cybercriminels. Ce groupe est largement réputé dans le secteur des attaques au rançongiciels, Damien Bancal notait à cet effet : « Maze fait trois à cinq nouvelles victimes par jour ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage