Archives par mot-clé : entreprise

Rançongiciels : L’histoire une entreprise qui refuse de payer la rançon des cybercriminels

Comme nous le savons déjà, les entreprises sont soumises à une grosse pression de la part des cybercriminels.

Notamment à cause des logiciels de rançon qui circulent trop ces temps-ci. À tout moment une organisation privée peut être victime d’une attaque aura son logiciel. C’est d’ailleurs c’est qui est arrivé à une entreprise basée en Australie du nom de Langs Building Supplies. Cependant l’histoire de cette entreprise australienne est totalement différente.

Cet article va aussi vous intéresser : Rançongiciels : pourquoi les forces de l’ordre ont toujours du mal à mesurer l’ampleur du phénomène

Le fait débute à partir du 20 mai 2021, lorsqu’il est sur le point de partir en vacances, le directeur des systèmes d’information Matthew Day, observe qu’une situation peu évidente vient de se produire.

« J’allais partir en vacances. Mais j’ai reçu un coup de fil à quatre heures du matin, me disant en gros : Je ne peux pas me connecter, que se passe-t-il ? », raconte ce dernier. Ce dernier décide alors de se rendre à son bureau situé à Brisbane. Précisément au siège de l’entreprise qui s’est spécialisée dans la fourniture de matériaux de construction. Sur le trajet ce dernier a plutôt cru à une panne ou une défaillance imprévue. Malheureusement pour lui les choses étaient pire. Ils vont apparaître sur les écrans des ordinateurs de son entreprise l’expression suivante. : « Vous avez été piraté. ». Son entreprise est victime d’une attaque au rançongiciel. Le programme de rançon utilisé ici est Lorenz. Il a chiffré l’accès à plusieurs serveurs et à des milliers de fichiers.

Les cybercriminels exigent alors le paiement d’une rançon de 15 million de dollars en bitcoin. Et ce n’est pas tout, ces derniers menacent de publier les informations confidentielles si l’entreprise n’est cédée pas au paiement de la rançon.

 « En réalité, c’est une proposition plutôt effrayante, mais nous avons rapidement pu isoler l’attaque et la déconnecter du réseau », note Matthew Day.

Selon le DSI, cette attaque au rançongiciel s’inscrit certainement dans un objectif beaucoup plus détendu que de l’argent. Il croit que les pirates informatiques on a gym ici à cause du secteur d’activité de l’entreprise. En effet, à la période où l’attaque a été observé, l’Australie était sous confinement. Le gouvernement mettait tout en place pour que certains secteurs tels que la construction et le commerce puissent continuer à fonctionner correctement. Par conséquent, si une entreprise tel que Langs se trouve être dans l’incapacité de fonctionner correctement, c’est toute l’industrie de la région qui serait de près ou de loin affectée.

« C’est un événement de grande ampleur qui ne se limite pas à Langs, car si nous ne pouvons pas fournir les marchandises à un constructeur parce que nous sommes hors ligne, il ne peut pas construire cette maison. Cela ne fait qu’accentuer la pression », Souligne Matthew Day.

Malgré cela l’entreprise n’envisage pas de payer la rançon. Tout d’abord parce qu’elle dispose de plusieurs logiciels qui leurs permettaient de récupérer certaines données mais aussi d’analyser les informations qui ont été chiffrées au modifier sur le réseau en se référant au domicile déjà stockées, en dehors même du réseau principal. Tout ceci était possible en seulement quelques heures.

« J’étais assez confiant quant à l’aspect des données – nous utilisons Rubrik. Nous nous assurons qu’il y a une authentification multifactorielle et qu’il n’y a pas d’informations d’identification partagées, c’est un jardin clos », rapport Matthew Day. « Ces personnes veulent immédiatement s’en prendre à vos sauvegardes car cela fait monter la pression, donc s’ils ne peuvent pas accéder à vos sauvegardes, vous êtes dans une bonne position. », ajoute ce dernier.

Malgré cela les cybercriminels ont quand même essayé d’extorquer de l’argent à l’entreprise. Pour cela ils ont envoyé des mails à l’ensemble du personnel en leur mentionnant qu’ils possédaient leurs informations personnelles et sensibles, et qu’ils n’hésiteraient pas à les vendre sur le Dark web si l’entreprise où les employés ne cédaient pas au paiement des rançons exigées.

« Bien que 13 gigaoctets de données aient quitté le réseau, il s’est avéré qu’il s’agissait de trafic ping, donc rien qui puisse représenter un risque pour la sécurité ou la confidentialité des clients ou des employés de Langs. La réception des e-mails a été un choc pour le personnel », a expliqué Matthew Day. « Il faut communiquer avec les gens, leur expliquer. Nous avons pu montrer à l’entreprise qu’ils [les cybercriminels] jouent au chat et à la souris et que nous n’allons pas céder les premiers. Nous n’avons donc pas payé la rançon, le jour venu – et rien ne s’est passé », ajoute ce dernier.

Comment les cybercriminels ont réussi donc à accéder à leur système informatique ? Grâce à un fournisseur qui avait déjà été compromis. Grâce à leur entrée chez le fournisseur de la société australienne, ils ont pu alors envoyer un courriel corrompu à cette dernière.  « Ils ont répondu à une commande que nous leur avions envoyée de la manière exactement correcte, c’était un jeu vraiment intelligent pour ces gars-là. L’e-mail provenait d’un compte vérifié, d’une personne à un moment donné et d’une manière attendue par l’utilisateur, mon employé, avec le formatage correct et le numéro valide correct, de sorte qu’il ne s’agissait pas d’un faux compte, ni d’un compte usurpé, mais d’un vrai compte », explique le Matthew Day. « J’aurais dû rester plus fermement sur mes positions concernant l’accès externe et l’authentification à plusieurs facteurs. Nous en parlons depuis un certain temps et je faisais pression en ce sens, mais l’entreprise s’y opposait parce qu’elle considérait que c’était un fardeau supplémentaire pour les utilisateurs, une chose de plus qu’ils devaient apprendre et gérer », note le DSI. « Si j’avais eu l’authentification multifactorielle, nous aurions pu stopper cette attaque particulière dans son élan et je suis heureux de dire que nous pouvons maintenant avoir ce protocole d’authentification sur ces postes de travail externes. ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Comment imposer la cybersécurité dans l’exercice du télétravail

Le télétravail est devenu une pratique courante dans nos organisations.

Pour répondre à un certain besoin, on a dû recourir massivement à la collaboration à distance. Bien évidemment ce basculement ne s’est pas fait sans conséquences. La cybercriminalité a profité de ce passage massif qui se réaliser sans aucune préparation au préalable. Les attaques informatiques se sont multipliées. Malgré plusieurs observations sur la difficulté de sécuriser les systèmes informatiques dans un contexte aussi délicat, on a malheureusement constaté que les équipes informatiques manquent toujours de certaines expertises ou de certaines fougues pour mieux se protéger.

Cet article va aussi vous intéresser : Comment intégrer la sécurité informatique dans le processus du télétravail

« Le passage massif au télétravail a considérablement élargi la cible des cyberattaques et rallonger la liste des vulnérabilités dont les hackers tirent profit. Pourtant, les organisations continuent de traîner les pieds lorsqu’il s’agit de donner aux équipes informatiques l’expertise dont elles ont besoin pour faire évoluer les programmes et les stratégies de gestion des risques permettant de réduire la probabilité et l’impact d’une attaque – qu’il s’agisse de déployer un dispositif d’authentification multifactorielle ou de mettre en œuvre des modèles de sécurité dits de « confiance zéro ». », déclare le responsable EMEA de la technologie et du développement chez Skillsoft, Don Mowbray

Au niveau du fonctionnement des entreprises, il faut signifier que mettre en œuvre une stratégie digitale implique beaucoup de choses. En tout premier lieu, la formation est où la mise à niveau des équipes informatique de cybersécurité. En particulier dans les domaines en pleine expansion c’est-à-dire :

– l’Open Source ;

– l’Internet des objets ;

– le Cloud ;

– la gestion des identités et des accès.

En plus de la formation et de la mise à niveau de leur équipe informatique, les entreprises peuvent aussi de leur côté déployé certaines mesures pour améliorer leur cybersécurité. Notamment « Tirer parti des affinités en termes de sécurité », comme l’explique Don Mowbray. « De nombreuses équipes Dev et DevOps considèrent déjà que la sécurité constitue l’une de leurs principales responsabilités. Il est donc logique de transférer davantage de responsabilités à ces équipes en matière de sécurité plutôt que de développer des rôles distincts en matière de sécurité. Les équipes de développement tireront profit de la formation sur les fondamentaux de DevSecOps qui intègre les responsabilités de chaque rôle en matière de sécurité. En outre, une programmation sécurisée et une formation en matière de vigilance, combinées aux fondamentaux des tests d’intrusion, doteront les équipes des outils nécessaires pour perfectionner leurs compétences dans ce domaine. », ajoute ce dernier.

De plus, le spécialiste recommande de récompenser à juste titre l’ensemble du personnel qui fait suffisamment d’efforts qui fait suffisamment d’efforts dans le sens de la cybersécurité.

« L’intégrité et la confidentialité des données sont essentielles pour maintenir la réputation de la marque. Il sera donc essentiel de s’assurer que le personnel clé sera en mesure de développer ses compétences de champion de la sécurité et de développer une expertise des tactiques et techniques appliquées par les hackers à travers l’organisation » note Don Mowbray.

On peut prendre l’exemple le fait de faciliter aux analyste en cybersécurité, d’améliorer leur technique en matière de contrôle et de gouvernance pour une meilleure sécurité des systèmes et des données qui circulent au sein de l’entreprise.

En outre, un autre conseil très important à suivre : l’initiative. Il est longtemps recommandé aux entreprises de savoir prendre l’initiative dans plusieurs aspects de la cybersécurité. Notamment, dans l’identification des menaces et des vecteurs d’attaques potentiels. Pour cela il existe plusieurs plateformes qui constituent des ressources assez importantes pour faciliter cette tâche, notamment MITRE ATT & CK. En s’appuyant sur ses ressources, les organisations peuvent mieux comprendre l’évolution des cyberattaques.

« Cela permet aux entreprises de prendre l’initiative en mettant en œuvre des mesures de sécurité plutôt que de simplement réagir aux attaques. Obtenir des informations sur les pratiques incitant les intrus à pénétrer dans les systèmes permettra aux organisations de se focaliser davantage sur les mesures de prévention et les principes de sécurité essentiels. Il convient également de veiller à ce que le temps et les efforts, ainsi que les ressources, soient utilisés de manière ciblée de manière à fournir les meilleurs résultats en matière de réduction des risques. », souligne Don Mowbray.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Rançongiciels : Ragnar Locker à l’assaut de l’entreprise LDLC.com

La liste des entreprises victimes de cyberattaques continuent de s’allonger de plus en plus.

Après avoir essuyé les cyberattaques de Campari et Dassault Falcon, une autre entreprise qui est spécialisé dans la vente de matériels Tech, surtout high-tech, se place dans la catégorie des victimes de rançongiciel. Et pas n’importe quel rançongiciel, mais le fameux Ragnar Locker.

Cet article va aussi vous intéresser : Le site internet Doctissimo, dans le collimateur de la CNIL pour violation du règlement européen de la protection des données personnelles

Les faits remontent depuis le 29 novembre dernier. Pour le moment la société n’est pas en mesure de déterminer avec précision l’ensemble des données qui en plus être dérobées ou même corrompues. Les activités autour du rétablissement du système informatique continuent.

Ce qu’on peut supposer, c’est que l’incident puise certainement sa source depuis que l’entreprise a publié le 28 octobre dernier ses chiffres de ventes qui a reconnu une hausse record durant le premier semestre de 2021 – 2022. L’information a certainement attirée la convoitise des cybercriminels.

Pour le moment on le sait, que près de 29,5 Go de données internes à l’entreprise est commercialisé sur le Dark Web. Déjà le 29 novembre dernier, la société lyonnaise fait une publication pour communiquer sur l’état de l’attaque informatique. Il semblerait qu’elle était en voie de maîtriser la cyberattaque.

« Le Groupe LDLC a détecté un incident de cybersécurité dans ses systèmes informatiques, ayant entraîné un accès non autorisé aux données de l’entreprise. L’incident n’a pas eu d’impact sur les opérations commerciales du groupe. Cet incident fait l’objet d’une analyse approfondie de la part des experts et des partenaires sécurité du groupe, qui ont immédiatement pris les dispositions nécessaires pour renforcer les mesures de protection déjà existantes, minimiser les éventuelles conséquences et en rechercher les origines. Ces investigations se poursuivent, et même si certaines données à caractère personnel ont pu être consultées, cela ne concerne en aucun cas les informations sensibles relatives aux clients des sites Internet marchands du groupe », peut-on lire dans le communiqué de presse.

Concernant le groupe de pirates informatiques derrière cette cyberattaque, le célèbre groupe qui utilise le rançongiciel Ragnar Locker, ayant été identifié par la police fédérale américaine depuis 2019, et déjà en train de publier des captures d’écran de certaines informations qu’ils ont réussi à dérober dans cette super attaque. Leurs agissements ont commencé depuis le 3 décembre dernier car ils n’ont pas pu entrer en contact avec le groupe LDLC, selon leur propre déclaration. Selon les pirates informatiques, ils détiennent des informations internes. C’est des informations pourraient provenir « d’un espace baptisé « Siège » », selon le média en ligne Zataz.

Ragnar Locker revient cette fois-ci en force après son échec dans l’attaque dirigée compte CMA CGM, vers la fin du mois d’août 2021. Pour démontrer leur détermination, les pirates informatiques sont déjà en train de vendre les données volées.

En guise de rappel, il faut préciser que les rançongiciel sont des programmes informatiques malveillants qui ont été conçus dans le but de prendre en otage un système informatique, et exiger de la part des propriétaires de ces systèmes informatiques, le paiement d’une rançon en échange de la clé qui leur permettra de libérer ledit système. Ces programmes malveillants sont aussi connus sous la dénomination anglicisée de ransomwares. Les pirates informatiques derrière ce type de programme malveillant ciblent particulièrement les entreprises et les organismes publics tels que les collectivités territoriales. Cependant cela n’exclut pas qu’il fait possible et aussi des particuliers. Les rançongiciel les plus célèbres sont notamment :

– WannaCry ;

– Petya ;

– Ragnar Locker ;

– Cryptolocker ;

– NotPetya ;

– etc.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

2 méthodes simples pour accroître la culture de la cybersécurité dans son entreprise en période de télétravail

De façon certaine, nous avons toujours su que la cybersécurité joue un rôle important dans le développement de toute organisation de nos jours.

On est fait le numérique gagne du terrain. De ce point de vue, nous avons pu aussi observer que la criminalité en ligne en connaissais une hausse importante. Par conséquent, on ne peut plus confier la seule tâche de la cybersécurité aux experts de la sécurité informatique. Si ce sont les professionnels dédiés à cette tâche, la responsabilité a devenu beaucoup trop lourde pour qu’il puisse les supporter seuls.

Cet article va aussi vous intéresser : Cybersécurité : se protéger selon les conseils des hackers

« Les experts en cybersécurité ont longtemps été les seuls garants de l’intégrité du réseau. Cependant, en perpétuant le mythe selon lequel seuls quelques employés peuvent prendre cette responsabilité, ils desservent ceux d’entre nous qui restent persuadés que construire une culture de la sécurité devrait être une initiative prise à l’échelle de toute l’entreprise. », souligne JD Sherman, le PDG de Dashlane.

« Dans un monde désormais centré sur la mobilité et où chaque salarié est devenu un point d’accès au réseau informatique de l’entreprise, les responsables informatiques doivent transférer une partie des responsabilités en matière de cybersécurité dans les mains de ceux qui peuvent être les plus vulnérables – leurs employés. Les attaques de cybersécurité qui font régulièrement les gros titres des journaux nous rappellent que toutes les entreprises peuvent être touchées, quelle que soit leur taille. », ajoute ce dernier.

Dans ce contexte, pour répandre efficacement une bonne culture de sécurité informatique, il faudra impliquer tous les collaborateurs et tous les individus ayant de loin ou de près une certaine maîtrise pour contacter avec l’outil informatique de l’organisation. C’est dans ce contexte que nous vous donnons, 2 astuces majeures à respecter dans ce milieu

Conseil 1 : impliquer tout le monde dans la politique de cybersécurité

Qu’il soit un simple employé, et collaborateurs à distance, responsable de département et même les dirigeants, il faudra faire en sorte de pouvoir travailler qui puisse leur permettre de savoir qu’ils sont d’une manière ou d’une autre tu seras responsable de la cybersécurité de l’entreprise. La sécurité de l’organisation sur l’informatique doit être leur priorité en d’autres choses. Car malheureusement, on ne cessera jamais de le dire, l’être humain est sans nul doute, le maillot le plus faible de la chaîne en matière de cybersécurité.

« Si vous êtes un administrateur informatique, vous devrez investir pour changer le comportement, l’état d’esprit et les habitudes des salariés en matière de sécurité. ». Souligne le PDG de Dashlane. « La communication joue un rôle central dans la réussite de cet objectif, et la sensibilisation aux questions de cybersécurité doit commencer dès l’arrivée des employés dans l’entreprise. Les responsables informatiques doivent collaborer pro activement avec les services RH et/ou de formation pour aider à instaurer de bonnes pratiques de sécurité avant même que l’employé ne se connecte au réseau. », ajoute ce dernier.

Conseil 2 : observer et prendre en considération les changements causés par le télétravail

De manière évidente, quand c’est tout ce que le télétravail s’est installé de manière durable. En d’autres termes, il faut être convaincu d’une chose, il y aura plein de changements qui doivent être traités convenablement. Cela concerne entre autres, la relation entre le collaborateur à distance et les ressources informatiques de l’organisation.

« Alors que le télétravail s’installe dans la durée, les compétences et l’attitude des salariés évoluent. Outre les utilisateurs traditionnels (cadres, informaticiens, etc.), nos recherches nous ont permis d’identifier quatre autres nouvelles typologies de travailleurs à distance que les équipes informatiques doivent identifier et accompagner, chacun en fonction de ses caractéristiques, pour réussir à implémenter une bonne culture de la sécurité. L’utilisateur insensible – Il s’agit du plus grand groupe de travailleurs à distance. Ils sont dangereux, non pas parce qu’ils sont incompétents mais parce qu’ils ont pris trop d’aisance en ligne. Quand ils font face à des défis de sécurité – tels que se souvenir de plusieurs identifiants de connexion – ils choisissent la solution de facilité et utilisent des mots de passe peu sécurisés ou en réutilisent simplement d’anciens. », souligne JD Sherman.

À partir de ce moment, les choix doivent être orienté en ce sens.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Rançongiciels : quand le piratage informatique devient une entreprise

Les rançongiciels font partie des fléaux de la cybercriminalité qui impactent le plus la réalité des organisations à travers le monde.

Du côté des pirates informatiques qui ont tendance à opérer grâce à ce genre de programme malveillant, il semblerait que les choses vont de bon train. En effet, une enquête réalisée par une société de cybersécurité spécialisée dans la protection des organisations compte les attaques ciblées par courrier électronique, connu sous la dénomination de Abnormal Security, a constaté une situation assez insolite.

Cet article va aussi vous intéresser : Rançongiciels : que savez-vous du Ransomware mobile Koler « Police » ?

En effet, les spécialistes de la société on mis en évidence des invitations émises par des pirates informatiques à des collaborateurs d’entreprise, leur demandant d’installer sur les ordinateurs des logiciels en échange d’une part des bénéfices qui pourraient être récolter à hauteur de 1 million de dollars. Malheureusement, ce n’est plus quelque chose d’inédite. Cela se fait depuis longtemps.

De façon pratique lorsque on étudie l’écosystème des affaires, on observe clairement que le modèle d’affiliation est quelque chose qui porte le plus de fruits. Dans le secteur de la cybercriminalité, les pirates informatiques qui utilisent les rançongiciels s’organisent dorénavant de la sorte. On voit maintenant que plusieurs développeurs et collaborateurs s’impliquent dans la réalisation des attaques. En échange, ils reçoivent soit des commissions allant de 50 pourcents à 20%, soit de rémunération mensuelle. « Beaucoup de personnes à l’origine des rançongiciels sont de simples personnes qui ont de l’expérience dans le domaine de la sécurité informatique et décident d’essayer de gagner de l’argent de cette manière », note Marijus Briedis, le directeur technique chez NordVPN.

Avec la pandémie à la Covid-19 et l’explosion du travail à distance, c’est une tendance qui a littéralement augmenté.

Toutefois, on a pu observer d’autres changements depuis que les cybercriminels aux rançongiciels ont décidé de se transformer en format professionnel d’entreprise. Selon le consultant en cyber menace chez Mandiant Threat Intelligence de FireEye : « Cela n’a pas nécessairement conduit à l’implication d’un grand nombre d’acteurs peu sophistiqués, mais a également permis un niveau de spécialisation plus profond, comme la compromission de la chaîne d’approvisionnement ou l’exploitation de vulnérabilités de type Zero-Day, par exemple. ».

Vu que plusieurs entités sont impliquées dorénavant dans le déploiement de ces programmes malveillants, les tâches sont distribuées et il n’est plus nécessaire de concentrer en un seul point, tous les détails du développement. Dans ce cas de figures, il n’est pas rare que les Opérateurs de rançongiciels font des recrutements des développeurs, spécialistes du pentest et sûrement des négociateurs de rançon.

« L’économie du Ransomware-as-a-service (RaaS) suit une chaîne de valeur bien orchestrée qui part d’un chercheur de vulnérabilités qui identifie et vend des vulnérabilités de type Zero-Day aux développeurs qui créent des logiciels malveillants pour tirer parti des vulnérabilités et aux vendeurs ou distributeurs qui font du marketing et des ventes sur les offres RaaS du marché noir », note George Papamargaritis, le directeur MSS chez Obrela Security Industries.

Dans la chaîne d’activité, plusieurs professionnels sont impliqués directement ou indirectement. En passant par des intermédiaires qui sont chargés de blanchir les bitcoins les proposant à des échangeurs de devises aux hébergeurs véreux, jusqu’aux opérateur de botnet, Tout un arsenal de spécialistes sont invités à s’y impliqués.

Selon les chercheurs de l’entreprise de cyber sécurité Kela, il est possible de trouver sur le Dark web, des offres d’emplois d’individus qui réclament des spécialistes pouvant gérer trois bot par jour avec des renumérotions allant à 10% pourcents de commissions sur les bénéfices.

« Souvent, vous devez fournir des preuves de votre authenticité, que vous ayez déjà été actif dans l’espace ou que vous soyez prêt à mettre en avant vos intérêts et votre engagement pour entrer dans des groupes fermés », décrit M. Collier. « Il y a donc beaucoup de barrières pour empêcher quiconque de s’impliquer juste pour le plaisir de le faire ou d’ailleurs, pour empêcher les forces de l’ordre de s’impliquer. ».

Avec autant d’organisation, les pirates informatiques continuent de gagner de l’argent. L’ancienne tactique qui consistait à chiffrer les données et exiger le paiement d’une rançon n’est plus d’actualité pour autant. Même si elles continuent, on a plutôt tendance à remarquer des menaces portant sur la divulgation de données sensibles en cas de non paiement de la rançon. Certains opérateurs tel que le groupe Maze ou REvil se sont fait énormément d’argent par cette technique. « Ces groupes, qui au départ n’opéraient qu’en verrouillant les fichiers, ont découvert qu’il pouvait être encore plus lucratif d’extorquer une rançon en échange de la non publication des données divulguées », note Dean Ferrando, ingénieur système principal chez Tripwire.

Malheureusement pour ces organisations piégées, ces menaces se transforment souvent en double ou triple extorsions : « dans certains cas, les groupes affirment avoir organisé des ventes à des tiers intéressés lorsque les propriétaires initiaux des données refusaient de payer. ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage