Archives pour la catégorie Virus

Les virus font toujours autant parler d’eux. Ils sont de plus en plus performant et de plus en plus redoutable. Notre mission est de vous informer et de vous protéger des menaces du Web.

REvil : Focus sur le rançongiciel le plus populaire du moment

Selon les chercheurs de IBM Security X-Force, plus de 140 organisations ont été touchés par des attaques initiées par le groupe REvil à travers le monde, et cela depuis avril 2019.

Pratiquement tous les secteurs d’activité ont été touchés par les cybercriminels.

Selon toujours les chercheurs IBM, la majorité des organisations victimes de ces cybercriminels sont des structures américaines (60%). De plus, une organisation sur 3 touchée par le gang REvil ont fini par céder et payer les rançons exigées. Parallèlement, un dixième de ces organisations victimes ont vu leurs informations sensibles vendues sur le marché noir du DarkWeb. Car il faut le préciser, un tiers des organisations attaquées par le groupe ont été des victimes de vols de données sensibles.

Cet article va aussi vous intéresser : REvil : l’un des Ransomwares les plus dangereux

Les demandes de rançons formulées généralement par ce groupe des cybercriminels varie selon les revenus annuels des structures visées. On constate alors que les exigences de rançon varient entre 1500 dollars et 42 millions de dollars américain. Une évaluation qui s’ouvre on peut aller jusqu’à 9 % du chiffre d’affaires de l’organisation ciblés par l’entreprise criminelle.

Les chercheurs de IBM ont réussi à établir une relation entre le groupe des cybercriminels REvil et un autre groupe du nom de FIN7, également connu sous la dénomination de Carbanak. Cela peut se faire par l’existence d’affiliés communs dans l’exercice de leur business. Par ailleurs, il a été estimé à hauteur de 95 millions de dollars, les revenus engrangés par les cybercriminels de REvil. Selon une interview réalisée par un blogueur russe avec un membre présumé du groupe connu sous le pseudo de Unknown semble confirmer l’information. Selon ce dernier, le groupe gagne près de 100 millions de dollars grâce à ses attaques aux rançongiciels. Durant le mois de septembre dernier, le groupe était en plein recrutement sur des forums de hackers pour recruter des pirates beaucoup plus qualifiés. Pour se faire, ils ont littéralement déposé près de 1 millions de dollars en bitcoin selon le site spécialisé BleepingComputer.

Selon une récente analyse de Coveware, une société spécialisée dans la sécurité informatique, précisément dans les réponses aux attaques aux rançongiciels, REvil, encore connu sous la dénomination de Sodinokibi, détient la plus grande part des attaques fondées sur les programmes dans le secteur de la cybercriminalité. 16 pourcents des attaques de ce genre serait due au groupe en question durant le troisième trimestre de 2020. « Près de la moitié de tous les cas de ransomwares étudiés par la société impliquaient également des menaces de divulgation de données exfiltrées, un nombre croissant de groupes adoptant cette technique. » note Lucian Constantin, CSO.

« Coveware estime que nous avons atteint un point de basculement avec la tactique d’exfiltration de données », a déclaré la l’entreprise de sécurité. « Bien que certaines entreprises aient choisi de payer les acteurs de la menace pour ne pas divulguer les données exfiltrées, l’éditeur a constaté l’effilochage des promesses des cybercriminels – si tel est le cas – pour supprimer les données ». Selon la société de sécurité, les victimes d’attaques qui ont accepté de payer la rançon au groupe arrêter un nouveau extorquer par la menace de divulgation des données collectées. Ce qui d’ailleurs n’est pas nouveau car plusieurs autres de cybercriminels ont tendance à ne pas respecter leurs promesses.

« Contrairement à la négociation d’une clé de décryptage, la négociation de la suppression des données volées n’a pas de fin déterminée », a souligné Coveware, « Une fois qu’une victime reçoit une clé de déchiffrement, elle ne peut pas être emportée et ne se dégrade pas avec le temps. Avec des données volées, un acteur malveillant peut revenir à la charge pour un deuxième paiement à tout moment. Si on manque encore de recul, les preuves que les méfaits se produisent de manière sélective sont déjà établies. Par conséquent, nous conseillons vivement à toutes les victimes d’exfiltration de données de prendre des mesures rigoureuses mais responsables. Celles-ci incluent obtenir les conseils d’avocats compétents en matière de protection de la vie privée, mener une enquête sur les données qui ont été collectées et effectuer les notifications nécessaires résultant de cette enquête et de l’avocat ». Conclut la société.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

REvil : l’un des Ransomwares les plus dangereux

Aujourd’hui, en matière de cybercriminalité, les attaques aux rançongiciels ont le vent en poupe.

Marquées principalement par des assauts sur des systèmes d’information et l’exigence de paiement de rançons le plus souvent accompagnée des chantages de divulgation des données confidentielles. L’un des plus célèbre dans le domaine est REvil, un programme malveillant utilisé par un groupe de cybercriminels connu sur le nom de Sodinokibi.

Selon la société de sécurité informatique Coveware, le rançongiciel REvil est distribué principalement :

– A travers des sessions RDP compromises dans 65 % des cas

– Par phishing dans 16 % des cas ;

– Via des vulnérabilités logicielles dans 8 % des cas.

Notons que REvil est un ransomware-as-a-service. Il est utilisé par des cybercriminels qui depuis des années extorquent des sommes colossales à des organisations à travers le monde. Surtout au cours de l’année dernière. « Son nom – contraction de Ransomware Evil – a été inspiré par la série de jeux vidéo – adaptés en films – Resident Evil. » explique Lucian Constantin, CSO.

Cet article va aussi intéresser : Ransomwares : On ne récupère pas les données après avoir payé la rançon

Selon plusieurs sociétés de sécurité informatique, REvil est l’une des menaces les plus répandues dans le cadre des rançongiciels. Ce groupe de cybercriminels se sont illustrés à travers les extorsions et les chantages de divulgation de données.

Le groupe de pirates informatique Sodinokibi opérateur principal du logiciel a commencé ses activités officiellement à partir de 2019. Il a apparu précisément depuis que la cessation d’activité de GandCrab, un autre opérateur de rançongiciel. Au début des activités de REvil, le programme avait été identifié comme étant l’une des souches de GrandCrab. Évidemment plusieurs liens pouvaient être établie entre eux. D’ailleurs un membre de groupe a confirmé que le programme malveillant utilisé mais tu n’as pas quelque chose qui avait été conçu nouvellement. REvil aurait été conçu sur la base de notre programme malveillant qui existe déjà, et acquis par le groupe.

« Les développeurs derrière les opérations RaaS comptent sur d’autres cybercriminels comme étant des « affiliés » pour leur distribuer le ransomware. En fait, les développeurs de ransomwares gagnent entre 20% et 30% des revenus illégaux, le reste allant aux affiliés qui font les démarches pour accéder aux réseaux d’entreprise et déployer le malware. » explique Lucian Constantin. Plus une opération de rançongiciels réussi, cela est de nature à attirer plus d’affiliés. Et lorsque que les attaques ne fonctionnent pas le nombre d’affiliés diminue et se dirigent vers d’autres groupes. C’est exactement ce qui s’est passé dans le cas de GrandCrab et le groupe Maze récemment, dont les membres ont annoncé leur retraite et les affiliés se sont dirigés vers d’autres groupes de rançongiciels dont Egregor, connue également sous le nom de Sekhmet.

Selon l’équipe de réponse d’IBM Security X-Force, spécialisé dans les réponses en cas d’incident informatique, une attaque de rançongiciels sur 3 implique REvil / Sodinokibi. Le groupe a donc appelé les organisations a fait preuve de plus de prévention face à cette menace persistante. « La souche de ransomware que IBM Security X-Force a vue le plus fréquemment en 2020 est Sodinokibi, un modèle d’attaque de ransomware-as-a-service qui a capitalisé cette année sur les attaques mixtes de ransomware et d’extorsion », déclare les chercheurs d’IBM Security X-Force.

« Ce malware a été impliqué dans des attaques de ransomware et de vol de données et, dans certains cas, ses opérateurs ont volé et mis aux enchères des données sensibles sur Internet alors qu’ils n’étaient pas en mesure de contraindre les victimes à payer. Sodinokibi représente également 29% de tous les mobilisations de lutte contre les ransomwares d’IBM Security X-Force en 2020, ce qui suggère que les acteurs de Sodinokibi sont plus habiles à accéder aux réseaux de victimes que d’autres souches de ransomwares. », notent-ils.

Selon ces derniers, le groupe des cybercriminels derrière REvil aurait vers fin avril 2019, un total de 140 organisations dans différents secteurs aussi importants que l’autre. 60 % des victimes de ce groupe de ce groupe de cybercriminels, sont en particulier des entreprises américaines. Près d’un tiers des entreprises touchées par ces pirates informatiques en cédé et payé la rançon. La menace persiste toujours. Et le nombre de victimes en qui ne sont pas déclarés peut-être aussi grand.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Se protéger des attaques au rançongiciel

Il est de fait général, que les attaques basées sur les programmes de rançonnage se font de plus en plus constant.

Ces attaques se multiplient à vue d’œil. Il ne se passe pas une semaine sans qu’on ne détecte où ne signale un incident de ce genre. Les cibles privilégiées lors de ces cyberattaques sont des entreprises et les collectivités territoriales. Ces derniers mois, plus d’une dizaine de collectivités françaises, et une vingtaine d’entreprises ont été prises dans cette mêlée de cybermalveillance.

Cet article va aussi vous intéresser : Rançongiciels : payer ou ne pas payer ?

De quelle situation, marqué par une fréquence et une dangerosité progressive interpelle les acteurs de ces entités. Il est temps de penser à la stratégie de cybersécurité en terme de priorité. Pour cela, des ressources doivent être déployées, des stratégies mises en place et une bonne dose des bonnes sens pour se prémunir contre ce phénomène.

Sous un point de vue pratique, les programmes malveillants destiné au rançonnage prolifèrent. Et cela malgré le fonctionnement qui demeure pratiquement similaire, peu importe le groupe de cybercriminels qui l’initie. La base de cette pratique consiste à chiffrer tout simplement l’accès aux données au principal titulaire, exigeant le paiement d’une rançon déterminé pour la clé de déchiffrement. Avec la crise sanitaire à coronavirus qui a secoué le monde entier et pousser à l’adoption du télétravail à grande échelle, les cybercriminels ne pouvaient pas rêver mieux, pour accentuer sur leurs voies. Par ailleurs, « La numérisation de services et la dématérialisation s’accroissent dans les collectivités, donc les risques aussi, On veut numériser sans forcément prendre en compte les risques, c’est comme sauter d’un avion sans parachute. » note Jean-Jacques Latour, expert de la plateforme cybermalveillance.gouv.fr, service gouvernementale de sensibilisation aux risques informatiques.

Selon les autorités, les signalements des attaques aux rançongiciels ont littéralement explosé par rapport à l’année dernière. Ces incidents informatiques sont pour la plupart causés par des groupes de cybercriminels très bien organisés. « Ce n’est pas un groupe criminel unique qui contrôle tout. Les pirates sont en contact entre eux grâce aux réseaux sociaux et se complètent en mettant à la disposition des autres leurs savoir-faire : préparation du logiciel, envoi des messages, identification des failles, captation des données, blanchiment des données et de l’argent… » explique le directeur de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication, M François-Xavier Masson.

Pour permettre à d’autre aux entités de prendre les mesures idoines pour se protéger, plusieurs collectivités territoriales ont fait des témoignages et des retours d’expérience dans l’anonymat. « Nous voulons éviter de nous retrouver exposés et donc de donner des billes aux attaquants », explique le responsable des systèmes d’information (DSI) d’une collectivité territoriale, victime d’une attaquée il y a quelques mois de cela. Le plus souvent, les attaques informatiques débute soit le vendredi soir ou durant le week-end. « Une fois que les pirates ont réussi à entrer dans le réseau, ils restent des jours, voire des semaines. Ils repèrent les actifs, détruisent les sauvegardes s’ils y parviennent et choisissent le moment pour l’attaque : quand la pression est maximale. » Souligne Jean-Jacques Latour.

Les spécialistes en matière de sécurité informatique recommandent généralement comme première mesure à prendre, de faire la revue des dégâts causés par la cyberattaque. « Ils ont trouvé les serveurs de sauvegarde et les ont explosés », se souvient le responsable de système d’information précité. « On a perdu toutes nos données de travail, notre serveur de fichiers, les tableaux de bord. Heureusement, on a pu récupérer une partie des données chez nos prestataires », révélait de son côté un directeur général adjoint (DGA) d’une collectivité attaquée l’année dernière. Par ailleurs, il faudrait tout mettre en œuvre pour faciliter l’identification, des signaux que les cybercriminels pourraient laisser derrière eux, les transmettre par la suite à l’Agence nationale de sécurité des systèmes des formations et aux autorités auprès de qui il faudrait porter plainte. « Il faut récupérer un maximum d’informations et de journaux de connexion pour les analyser », témoignage un responsable de la sécurité informatique d’une métropole française.

On note cependant qu’aucune collectivité jusqu’à présent a payé une amende exigée par les cybercriminels. D’ailleurs, « Il est recommandé de ne jamais payer », précise l’Agence nationale de sécurité des systèmes d’information dans son guide sur le sujet. « En payant, vous alimentez le système criminel ; surtout, vous n’êtes pas garantis de retrouver vos données », ajoute François-Xavier Masson.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Ransomware : Campari Group victime de Ragnar Locker

Les pirates informatiques sont de plus en plus motivés par une situation qui facilite leurs activités.

Malheureusement ils ne font plus les tris entre les entreprises et ciblent n’importe quel secteur. Dans notre cas d’espèce, c’est une société spécialisée dans le commerce d’alcool qui a été cette fois-ci ciblée par une attaque au rançongiciel. Il s’agit de la société italienne Campari Group célèbre pour ses marques d’alcools populaires dont Campari, SKYY vodka, Frangelico, Epsolon, Grand Marnier, Wild Turkey.

Cet article va aussi vous intéresser : De plus en plus de collectivités touchées en France par les ransomwares

Selon les informations qui ont été divulguées sur cette situation, près de 2 to de données non cryptées aurait été volées par les pirates informatiques. Les cyberattaquants dont il s’agit ici sont ceux qui opèrent avec le rançongiciel Ragnar Locker. C’est dernier exigent le paiement d’une rançon de 15 millions de dollars. Campari Group est une société italienne. La cyberattaque remonte depuis le 1er novembre 2020. En clair le dimanche sur passé. Entreprise italienne face à cette situation publie le lundi, le lendemain de l’attaque informatique, un communiqué d’information où l’on peut lire :

« Campari Group informe que, vraisemblablement le 1er novembre 2020, il a fait l’objet d’une attaque de malware (virus informatique), qui a été rapidement identifiée. Le service informatique du Groupe, avec le soutien d’experts en sécurité informatique, a immédiatement pris des mesures pour limiter la propagation des logiciels malveillants dans les données et les systèmes. Par conséquent, la société a mis en place une suspension temporaire des services informatiques, car certains systèmes ont été isolés afin de permettre leur désinfection et leur redémarrage progressif dans des conditions de sécurité pour une restauration rapide des opérations ordinaires ».

Du côté des pirates informatiques, une autre de demande de rançon aurait été envoyé à la société. Une note d’information qui a été envoyée à l’entreprise italienne à cet effet. Nous avons pu prendre connaissance de cette note grâce à un chercheur en cybersécurité connu sous le pseudonyme de Pancak3. Dans cette dernière, les cybercriminels confirment avoir pu accéder et voler près de 2 to de données. Ce qui inclut des accords entre l’entreprise italienne et ses partenaires, des emails, des relevés bancaires… : « Nous avons BRISÉ votre périmètre de sécurité et avons accès à tous les serveurs du réseau de l’entreprise dans différents pays à travers tous vos bureaux internationaux. Nous avons donc téléchargé plus de 2 To de volume total de vos données PRIVÉES SENSIBLES, y compris :

– Fichiers comptables, relevés bancaires, lettres gouvernementales, certificats de licence ;

– Informations commerciales confidentielles et/ou exclusives, accords de célébrités, Informations personnelles des clients et employés (y compris les numéros de sécurité sociale, adresses, numéros de téléphone, etc.) ;

– Accords d’entreprise et contrats avec des distributeurs, importateurs, détaillants, accords de non-divulgation

Nous détenons également votre correspondance privée d’entreprise, vos courriels et vos classeurs, vos présentations marketing, vos rapports d’audit et beaucoup d’autres informations sensibles. » pouvait-on lire dans la note.

Les pirates informatiques ont fait des captures d’écran de centaines de données volées pour l’adjoindre à la note de sorte à prouver qu’ils avaient bel et bien ces informations en leur possession. Sur la capture d’écran, on peut constater que les cybercriminels en leur possession beaucoup de documents sensibles en l’occurrence des relevés bancaires, des passeports, des formulaires fiscaux W-4 de plusieurs employés américains, une feuille de calcul contenant un accord confidentiel.

Selon l’expert en sécurité informatique, le groupe de pirate informatique affirme en avoir attaqué les serveurs de la société italienne dans 24 pays. Pour les 15 millions exigés en guise de rançon, les cybercriminels promettent de laisser libre l’accès au serveur à la société, mais aussi d’effacer toutes les informations qu’ils possèdent.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Ransomware : Sopra Steria enfin libéré de son attaque informatique sans grand dommage

L’éditeur de solution informatique Sopra Steria a signifié récemment avoir réussi à bloquer le ransomware dont il était victime.

Il y a quelques semaines de cela, l’entreprise déclare publiquement avoir été touchée de plein fouet par un programme de rançonnage. Jusqu’à présent, elle avait réussi à s’en sortir malgré le blocage de certains de ses systèmes informatiques. Sopra Steria affirme désormais avoir réussi à bloquer le programme malveillant. L’éditeur a aussi signifié avoir réussir à s’en sortir sans subi de dommage. Cependant, n’y a t-il aucune conséquence ?

Cet article va aussi vous intéresser : La firme de la transformation numérique Sopra Steria a été victime d’une attaque

On attend que le directeur de l’Agence nationale de sécurité des systèmes d’information, Guillaume Poupard déclarait concernant cette affaire. « Ce n’est pas une attaque réussie ». Si l’éditeur réussi à échapper au piège du rançongiciel, alors à quel coût a-t-il réussi cela ? Quel a été le prix à payer pour permettre à Sopra Steria de bloquer l’attaque informatique. Selon les informations qui sont parvenues au public, l’éditeur a tout simplement réussi en isolant de prime abord de manière numérique toutes ces machines. L’entreprise a dû couper plusieurs de ses serveurs pour éviter que ces derniers ne soient infectés. Et bien sûr cela a eu un impact sur ses activités et sur son rendement.

L’attaque informatique a été détectée précisément le 21 octobre dernier. Elle aura commencé depuis la veille de ce jour le soir précisément. L’entreprise a identifié comme programme malveillant en charge de l’attaque le fameux rançongiciel Ryuk. « Il s’agit d’une nouvelle version du ransomware Ryuk. Elle était jusque-là inconnue des éditeurs d’antivirus et des agences de sécurité » souligne Sopra Steria. Apparemment c’était une nouvelle version du ransomware. Une fois les autorités compétentes contactée, à savoir l’agence nationale de sécurité des systèmes d’information, toutes les informations sur le programme malveillant leur a été délivrée. « La signature de cette nouvelle version du virus a donc pu être rapidement communiquée à tous les éditeurs d’antivirus pour mise à jour de leurs antivirus. Il a par ailleurs été établi que la cyberattaque avait été lancée quelques jours seulement avant sa détection » souligne l’entreprise.

Sopra Steria affirme n’avoir pas constaté une quelconque fuite de données ou dommages internes causés au système d’informations de celui de ses clients ou le siens. L’ensemble des activités visant à endiguer et à supprimer l’attaque informatique a débuté par rapport au calendrier à partir du 27 octobre. L’entreprise affirme un délai de quelques semaines pour que tout puisse entrer en ordre.

Sopra Steria déclare lors d’une annonce publique : « Les mesures de sécurité immédiatement mises en œuvre ont ainsi permis de contenir la propagation du virus à une partie limitée des installations du groupe et de préserver nos clients et nos partenaires » conclut la société. Si l’attaque a été stoppée, les conséquences risquent d’affecter pendant longtemps les activités de la société d’édition de solutions informatiques. On peut dire que de ce côté, l’éditeur a eu beaucoup de chance. Peu importe les conséquences qui seront en grandes parties financières, il en demeure pas moins, qu’il évite de justesse la catastrophe.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage