Archives pour la catégorie Virus

Les virus font toujours autant parler d’eux. Ils sont de plus en plus performant et de plus en plus redoutable. Notre mission est de vous informer et de vous protéger des menaces du Web.

REvil : l’un des Ransomwares les plus dangereux

Aujourd’hui, en matière de cybercriminalité, les attaques aux rançongiciels ont le vent en poupe.

Marquées principalement par des assauts sur des systèmes d’information et l’exigence de paiement de rançons le plus souvent accompagnée des chantages de divulgation des données confidentielles. L’un des plus célèbre dans le domaine est REvil, un programme malveillant utilisé par un groupe de cybercriminels connu sur le nom de Sodinokibi.

Selon la société de sécurité informatique Coveware, le rançongiciel REvil est distribué principalement :

– A travers des sessions RDP compromises dans 65 % des cas

– Par phishing dans 16 % des cas ;

– Via des vulnérabilités logicielles dans 8 % des cas.

Notons que REvil est un ransomware-as-a-service. Il est utilisé par des cybercriminels qui depuis des années extorquent des sommes colossales à des organisations à travers le monde. Surtout au cours de l’année dernière. « Son nom – contraction de Ransomware Evil – a été inspiré par la série de jeux vidéo – adaptés en films – Resident Evil. » explique Lucian Constantin, CSO.

Cet article va aussi intéresser : Ransomwares : On ne récupère pas les données après avoir payé la rançon

Selon plusieurs sociétés de sécurité informatique, REvil est l’une des menaces les plus répandues dans le cadre des rançongiciels. Ce groupe de cybercriminels se sont illustrés à travers les extorsions et les chantages de divulgation de données.

Le groupe de pirates informatique Sodinokibi opérateur principal du logiciel a commencé ses activités officiellement à partir de 2019. Il a apparu précisément depuis que la cessation d’activité de GandCrab, un autre opérateur de rançongiciel. Au début des activités de REvil, le programme avait été identifié comme étant l’une des souches de GrandCrab. Évidemment plusieurs liens pouvaient être établie entre eux. D’ailleurs un membre de groupe a confirmé que le programme malveillant utilisé mais tu n’as pas quelque chose qui avait été conçu nouvellement. REvil aurait été conçu sur la base de notre programme malveillant qui existe déjà, et acquis par le groupe.

« Les développeurs derrière les opérations RaaS comptent sur d’autres cybercriminels comme étant des « affiliés » pour leur distribuer le ransomware. En fait, les développeurs de ransomwares gagnent entre 20% et 30% des revenus illégaux, le reste allant aux affiliés qui font les démarches pour accéder aux réseaux d’entreprise et déployer le malware. » explique Lucian Constantin. Plus une opération de rançongiciels réussi, cela est de nature à attirer plus d’affiliés. Et lorsque que les attaques ne fonctionnent pas le nombre d’affiliés diminue et se dirigent vers d’autres groupes. C’est exactement ce qui s’est passé dans le cas de GrandCrab et le groupe Maze récemment, dont les membres ont annoncé leur retraite et les affiliés se sont dirigés vers d’autres groupes de rançongiciels dont Egregor, connue également sous le nom de Sekhmet.

Selon l’équipe de réponse d’IBM Security X-Force, spécialisé dans les réponses en cas d’incident informatique, une attaque de rançongiciels sur 3 implique REvil / Sodinokibi. Le groupe a donc appelé les organisations a fait preuve de plus de prévention face à cette menace persistante. « La souche de ransomware que IBM Security X-Force a vue le plus fréquemment en 2020 est Sodinokibi, un modèle d’attaque de ransomware-as-a-service qui a capitalisé cette année sur les attaques mixtes de ransomware et d’extorsion », déclare les chercheurs d’IBM Security X-Force.

« Ce malware a été impliqué dans des attaques de ransomware et de vol de données et, dans certains cas, ses opérateurs ont volé et mis aux enchères des données sensibles sur Internet alors qu’ils n’étaient pas en mesure de contraindre les victimes à payer. Sodinokibi représente également 29% de tous les mobilisations de lutte contre les ransomwares d’IBM Security X-Force en 2020, ce qui suggère que les acteurs de Sodinokibi sont plus habiles à accéder aux réseaux de victimes que d’autres souches de ransomwares. », notent-ils.

Selon ces derniers, le groupe des cybercriminels derrière REvil aurait vers fin avril 2019, un total de 140 organisations dans différents secteurs aussi importants que l’autre. 60 % des victimes de ce groupe de ce groupe de cybercriminels, sont en particulier des entreprises américaines. Près d’un tiers des entreprises touchées par ces pirates informatiques en cédé et payé la rançon. La menace persiste toujours. Et le nombre de victimes en qui ne sont pas déclarés peut-être aussi grand.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Se protéger des attaques au rançongiciel

Il est de fait général, que les attaques basées sur les programmes de rançonnage se font de plus en plus constant.

Ces attaques se multiplient à vue d’œil. Il ne se passe pas une semaine sans qu’on ne détecte où ne signale un incident de ce genre. Les cibles privilégiées lors de ces cyberattaques sont des entreprises et les collectivités territoriales. Ces derniers mois, plus d’une dizaine de collectivités françaises, et une vingtaine d’entreprises ont été prises dans cette mêlée de cybermalveillance.

Cet article va aussi vous intéresser : Rançongiciels : payer ou ne pas payer ?

De quelle situation, marqué par une fréquence et une dangerosité progressive interpelle les acteurs de ces entités. Il est temps de penser à la stratégie de cybersécurité en terme de priorité. Pour cela, des ressources doivent être déployées, des stratégies mises en place et une bonne dose des bonnes sens pour se prémunir contre ce phénomène.

Sous un point de vue pratique, les programmes malveillants destiné au rançonnage prolifèrent. Et cela malgré le fonctionnement qui demeure pratiquement similaire, peu importe le groupe de cybercriminels qui l’initie. La base de cette pratique consiste à chiffrer tout simplement l’accès aux données au principal titulaire, exigeant le paiement d’une rançon déterminé pour la clé de déchiffrement. Avec la crise sanitaire à coronavirus qui a secoué le monde entier et pousser à l’adoption du télétravail à grande échelle, les cybercriminels ne pouvaient pas rêver mieux, pour accentuer sur leurs voies. Par ailleurs, « La numérisation de services et la dématérialisation s’accroissent dans les collectivités, donc les risques aussi, On veut numériser sans forcément prendre en compte les risques, c’est comme sauter d’un avion sans parachute. » note Jean-Jacques Latour, expert de la plateforme cybermalveillance.gouv.fr, service gouvernementale de sensibilisation aux risques informatiques.

Selon les autorités, les signalements des attaques aux rançongiciels ont littéralement explosé par rapport à l’année dernière. Ces incidents informatiques sont pour la plupart causés par des groupes de cybercriminels très bien organisés. « Ce n’est pas un groupe criminel unique qui contrôle tout. Les pirates sont en contact entre eux grâce aux réseaux sociaux et se complètent en mettant à la disposition des autres leurs savoir-faire : préparation du logiciel, envoi des messages, identification des failles, captation des données, blanchiment des données et de l’argent… » explique le directeur de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication, M François-Xavier Masson.

Pour permettre à d’autre aux entités de prendre les mesures idoines pour se protéger, plusieurs collectivités territoriales ont fait des témoignages et des retours d’expérience dans l’anonymat. « Nous voulons éviter de nous retrouver exposés et donc de donner des billes aux attaquants », explique le responsable des systèmes d’information (DSI) d’une collectivité territoriale, victime d’une attaquée il y a quelques mois de cela. Le plus souvent, les attaques informatiques débute soit le vendredi soir ou durant le week-end. « Une fois que les pirates ont réussi à entrer dans le réseau, ils restent des jours, voire des semaines. Ils repèrent les actifs, détruisent les sauvegardes s’ils y parviennent et choisissent le moment pour l’attaque : quand la pression est maximale. » Souligne Jean-Jacques Latour.

Les spécialistes en matière de sécurité informatique recommandent généralement comme première mesure à prendre, de faire la revue des dégâts causés par la cyberattaque. « Ils ont trouvé les serveurs de sauvegarde et les ont explosés », se souvient le responsable de système d’information précité. « On a perdu toutes nos données de travail, notre serveur de fichiers, les tableaux de bord. Heureusement, on a pu récupérer une partie des données chez nos prestataires », révélait de son côté un directeur général adjoint (DGA) d’une collectivité attaquée l’année dernière. Par ailleurs, il faudrait tout mettre en œuvre pour faciliter l’identification, des signaux que les cybercriminels pourraient laisser derrière eux, les transmettre par la suite à l’Agence nationale de sécurité des systèmes des formations et aux autorités auprès de qui il faudrait porter plainte. « Il faut récupérer un maximum d’informations et de journaux de connexion pour les analyser », témoignage un responsable de la sécurité informatique d’une métropole française.

On note cependant qu’aucune collectivité jusqu’à présent a payé une amende exigée par les cybercriminels. D’ailleurs, « Il est recommandé de ne jamais payer », précise l’Agence nationale de sécurité des systèmes d’information dans son guide sur le sujet. « En payant, vous alimentez le système criminel ; surtout, vous n’êtes pas garantis de retrouver vos données », ajoute François-Xavier Masson.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Ransomware : Campari Group victime de Ragnar Locker

Les pirates informatiques sont de plus en plus motivés par une situation qui facilite leurs activités.

Malheureusement ils ne font plus les tris entre les entreprises et ciblent n’importe quel secteur. Dans notre cas d’espèce, c’est une société spécialisée dans le commerce d’alcool qui a été cette fois-ci ciblée par une attaque au rançongiciel. Il s’agit de la société italienne Campari Group célèbre pour ses marques d’alcools populaires dont Campari, SKYY vodka, Frangelico, Epsolon, Grand Marnier, Wild Turkey.

Cet article va aussi vous intéresser : De plus en plus de collectivités touchées en France par les ransomwares

Selon les informations qui ont été divulguées sur cette situation, près de 2 to de données non cryptées aurait été volées par les pirates informatiques. Les cyberattaquants dont il s’agit ici sont ceux qui opèrent avec le rançongiciel Ragnar Locker. C’est dernier exigent le paiement d’une rançon de 15 millions de dollars. Campari Group est une société italienne. La cyberattaque remonte depuis le 1er novembre 2020. En clair le dimanche sur passé. Entreprise italienne face à cette situation publie le lundi, le lendemain de l’attaque informatique, un communiqué d’information où l’on peut lire :

« Campari Group informe que, vraisemblablement le 1er novembre 2020, il a fait l’objet d’une attaque de malware (virus informatique), qui a été rapidement identifiée. Le service informatique du Groupe, avec le soutien d’experts en sécurité informatique, a immédiatement pris des mesures pour limiter la propagation des logiciels malveillants dans les données et les systèmes. Par conséquent, la société a mis en place une suspension temporaire des services informatiques, car certains systèmes ont été isolés afin de permettre leur désinfection et leur redémarrage progressif dans des conditions de sécurité pour une restauration rapide des opérations ordinaires ».

Du côté des pirates informatiques, une autre de demande de rançon aurait été envoyé à la société. Une note d’information qui a été envoyée à l’entreprise italienne à cet effet. Nous avons pu prendre connaissance de cette note grâce à un chercheur en cybersécurité connu sous le pseudonyme de Pancak3. Dans cette dernière, les cybercriminels confirment avoir pu accéder et voler près de 2 to de données. Ce qui inclut des accords entre l’entreprise italienne et ses partenaires, des emails, des relevés bancaires… : « Nous avons BRISÉ votre périmètre de sécurité et avons accès à tous les serveurs du réseau de l’entreprise dans différents pays à travers tous vos bureaux internationaux. Nous avons donc téléchargé plus de 2 To de volume total de vos données PRIVÉES SENSIBLES, y compris :

– Fichiers comptables, relevés bancaires, lettres gouvernementales, certificats de licence ;

– Informations commerciales confidentielles et/ou exclusives, accords de célébrités, Informations personnelles des clients et employés (y compris les numéros de sécurité sociale, adresses, numéros de téléphone, etc.) ;

– Accords d’entreprise et contrats avec des distributeurs, importateurs, détaillants, accords de non-divulgation

Nous détenons également votre correspondance privée d’entreprise, vos courriels et vos classeurs, vos présentations marketing, vos rapports d’audit et beaucoup d’autres informations sensibles. » pouvait-on lire dans la note.

Les pirates informatiques ont fait des captures d’écran de centaines de données volées pour l’adjoindre à la note de sorte à prouver qu’ils avaient bel et bien ces informations en leur possession. Sur la capture d’écran, on peut constater que les cybercriminels en leur possession beaucoup de documents sensibles en l’occurrence des relevés bancaires, des passeports, des formulaires fiscaux W-4 de plusieurs employés américains, une feuille de calcul contenant un accord confidentiel.

Selon l’expert en sécurité informatique, le groupe de pirate informatique affirme en avoir attaqué les serveurs de la société italienne dans 24 pays. Pour les 15 millions exigés en guise de rançon, les cybercriminels promettent de laisser libre l’accès au serveur à la société, mais aussi d’effacer toutes les informations qu’ils possèdent.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Ransomware : Sopra Steria enfin libéré de son attaque informatique sans grand dommage

L’éditeur de solution informatique Sopra Steria a signifié récemment avoir réussi à bloquer le ransomware dont il était victime.

Il y a quelques semaines de cela, l’entreprise déclare publiquement avoir été touchée de plein fouet par un programme de rançonnage. Jusqu’à présent, elle avait réussi à s’en sortir malgré le blocage de certains de ses systèmes informatiques. Sopra Steria affirme désormais avoir réussi à bloquer le programme malveillant. L’éditeur a aussi signifié avoir réussir à s’en sortir sans subi de dommage. Cependant, n’y a t-il aucune conséquence ?

Cet article va aussi vous intéresser : La firme de la transformation numérique Sopra Steria a été victime d’une attaque

On attend que le directeur de l’Agence nationale de sécurité des systèmes d’information, Guillaume Poupard déclarait concernant cette affaire. « Ce n’est pas une attaque réussie ». Si l’éditeur réussi à échapper au piège du rançongiciel, alors à quel coût a-t-il réussi cela ? Quel a été le prix à payer pour permettre à Sopra Steria de bloquer l’attaque informatique. Selon les informations qui sont parvenues au public, l’éditeur a tout simplement réussi en isolant de prime abord de manière numérique toutes ces machines. L’entreprise a dû couper plusieurs de ses serveurs pour éviter que ces derniers ne soient infectés. Et bien sûr cela a eu un impact sur ses activités et sur son rendement.

L’attaque informatique a été détectée précisément le 21 octobre dernier. Elle aura commencé depuis la veille de ce jour le soir précisément. L’entreprise a identifié comme programme malveillant en charge de l’attaque le fameux rançongiciel Ryuk. « Il s’agit d’une nouvelle version du ransomware Ryuk. Elle était jusque-là inconnue des éditeurs d’antivirus et des agences de sécurité » souligne Sopra Steria. Apparemment c’était une nouvelle version du ransomware. Une fois les autorités compétentes contactée, à savoir l’agence nationale de sécurité des systèmes d’information, toutes les informations sur le programme malveillant leur a été délivrée. « La signature de cette nouvelle version du virus a donc pu être rapidement communiquée à tous les éditeurs d’antivirus pour mise à jour de leurs antivirus. Il a par ailleurs été établi que la cyberattaque avait été lancée quelques jours seulement avant sa détection » souligne l’entreprise.

Sopra Steria affirme n’avoir pas constaté une quelconque fuite de données ou dommages internes causés au système d’informations de celui de ses clients ou le siens. L’ensemble des activités visant à endiguer et à supprimer l’attaque informatique a débuté par rapport au calendrier à partir du 27 octobre. L’entreprise affirme un délai de quelques semaines pour que tout puisse entrer en ordre.

Sopra Steria déclare lors d’une annonce publique : « Les mesures de sécurité immédiatement mises en œuvre ont ainsi permis de contenir la propagation du virus à une partie limitée des installations du groupe et de préserver nos clients et nos partenaires » conclut la société. Si l’attaque a été stoppée, les conséquences risquent d’affecter pendant longtemps les activités de la société d’édition de solutions informatiques. On peut dire que de ce côté, l’éditeur a eu beaucoup de chance. Peu importe les conséquences qui seront en grandes parties financières, il en demeure pas moins, qu’il évite de justesse la catastrophe.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Le rançongiciel, la plus importante menace informatique

Nous sommes en 2020 et les attaques au rançongiciel sont de plus en plus imminentes et surtout croissantes.

Tous les secteurs ciblés et avec la pandémie à coronavirus, les pirates informatiques redoublent d’ardeur. Si 2019 avait été mentionné comme l’année des rançongiciels, il est clair qu’à cette allure, 2020 lui vont leur a clairement la vedette. C’est sûrement pour cette raison que plusieurs spécialistes de la sécurité informatique le considèrent comme étant la menace principale à craindre cette année.

Cet article va aussi vous intéresser : 4 idées reçues sur le rançongiciels

La vague d’attaque que subit les hôpitaux américain et canadien ainsi que les collectivités en France démontre clairement, que la situation est assez dramatique. Mais plusieurs situations ont peut-être favorisé ce contexte. « Pour moi, c’est lié à une transformation de cette menace, qui pendant un certain temps, touchait avant tout des particuliers pour de modiques sommes, et qui aujourd’hui frappe des entreprises avec des rançons qui atteignent des millions de dollars. L’impact économique est fort et oblige les entreprises à s’adapter et à réagir », explique Ivan Kwiatkowski, chercheur au sein de l’équipe GReAT de Kaspersky.

Si selon plusieurs approches la pandémie a coronavirus a facilité l’explosion des rançongiciel, les spécialistes de Kaspersky mentionnent que c’est totalement le contraire. Pour ce dernier, on peut plutôt observer une diminution des attaques informatiques. Seulement que « La pandémie a servi à être plus pertinent dans les attaques. » mentionne Tanguy de Coapont, le directeur de la filiale française de Kaspersky. « Face au chantage, une entreprise ne peut plus nier qu’il y a un incident » ajoute-il. De son côté, Ivan Kwiatkowski note : « En termes de volume, l’impact de la Covid n’a pas influé. Ce n’est pas parce qu’on est confinés ou que des entreprises se mettent en chômage partiel que tout à coup les attaquants se multiplient. Comme dans chaque crise économique et politique, le prétexte du virus se retrouve utilisé par les attaquants pour fabriquer des pièges qui auront plus de chances de toucher leurs victimes, du fait de l’inquiétude générale dans la population. ».

Toutefois l’évolution des attaques au rançongiciel doit être soulevé. En effet, les cybercriminels ne se contentent plus de chiffrer l’accès aux données des entreprises. Ils font du chantage. Lorsqu’une organisation leur résiste, ces derniers la menacent automatiquement de divulguer des informations sur internet. Des informations qui sont dans certaines conditions confidentielles, ou concernent des données personnelles des utilisateurs des entreprises. L’idée bien sûr et de mettre le maximum de pression sur ces dernières pour qu’elle cèdent face à la menace. « Le chantage appliqué aujourd’hui à ces entreprises vise à mettre une pression maximale sur la victime, de manière à faire en sorte qu’elle paye. L’une des techniques des attaquants est de voler des données internes, et de les mettre en pâture au public sur des sites dédiés avec l’épée de Damoclès de la rançon : si on ne paie pas, les informations seront livrées à tous. Une entreprise prise dans cette situation ne peut plus nier qu’il y a un incident, puisque ses données sont déjà affichées quelque part, même si elles ne sont pas encore déchiffrées. » souligne le responsable de Kaspersky en France.

Si la recommandation de manière générale est de ne jamais payer la rançon exigée, il faut malheureusement souligner que par rapport au contexte, respecter cette règle est du moins difficile. Pourtant, céder au chantage est bien sûr courir le risque d’être à nouveau attaquée par ces mêmes cybercriminels ou d’autres. Même si cela n’est pas le cas, payer les cyberattaquants est encourager la pratique. Et malheureusement c’est le cas aujourd’hui. Si les sommes d’argent exigées étaient modiques avant, aujourd’hui elles atteignent des records. « On peut dire deux choses là-dessus. D’abord, en termes de chiffres, l’université américaine de Temple a listé tous les cas de ransomware entre 2013 et 2020 qui ont été publiés dans la presse, avec à chaque fois le montant de la rançon, le secteur d’activité de l’entreprise, sa taille, la durée de l’incident et un paiement éventuel ou pas. Sur plus de 700 cas recensés, ils ont pu noter 200 entreprises qui ont officiellement payé. Le chiffre réel est donc certainement bien supérieur. Sur les impacts de payer la rançon : lorsqu’on est dans un système où la liste des victimes est publiée et qu’elle disparaît du jour au lendemain du site de l’attaquant si la rançon est versée, il est très facile pour les autres groupes de voir ce site et de savoir qui sont les bons et les mauvais clients, les bons et les mauvais payeurs », souligne Ivan Kwiatkowski.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage