Archives par mot-clé : menace

Le rançongiciel, la plus importante menace informatique

Nous sommes en 2020 et les attaques au rançongiciel sont de plus en plus imminentes et surtout croissantes.

Tous les secteurs ciblés et avec la pandémie à coronavirus, les pirates informatiques redoublent d’ardeur. Si 2019 avait été mentionné comme l’année des rançongiciels, il est clair qu’à cette allure, 2020 lui vont leur a clairement la vedette. C’est sûrement pour cette raison que plusieurs spécialistes de la sécurité informatique le considèrent comme étant la menace principale à craindre cette année.

Cet article va aussi vous intéresser : 4 idées reçues sur le rançongiciels

La vague d’attaque que subit les hôpitaux américain et canadien ainsi que les collectivités en France démontre clairement, que la situation est assez dramatique. Mais plusieurs situations ont peut-être favorisé ce contexte. « Pour moi, c’est lié à une transformation de cette menace, qui pendant un certain temps, touchait avant tout des particuliers pour de modiques sommes, et qui aujourd’hui frappe des entreprises avec des rançons qui atteignent des millions de dollars. L’impact économique est fort et oblige les entreprises à s’adapter et à réagir », explique Ivan Kwiatkowski, chercheur au sein de l’équipe GReAT de Kaspersky.

Si selon plusieurs approches la pandémie a coronavirus a facilité l’explosion des rançongiciel, les spécialistes de Kaspersky mentionnent que c’est totalement le contraire. Pour ce dernier, on peut plutôt observer une diminution des attaques informatiques. Seulement que « La pandémie a servi à être plus pertinent dans les attaques. » mentionne Tanguy de Coapont, le directeur de la filiale française de Kaspersky. « Face au chantage, une entreprise ne peut plus nier qu’il y a un incident » ajoute-il. De son côté, Ivan Kwiatkowski note : « En termes de volume, l’impact de la Covid n’a pas influé. Ce n’est pas parce qu’on est confinés ou que des entreprises se mettent en chômage partiel que tout à coup les attaquants se multiplient. Comme dans chaque crise économique et politique, le prétexte du virus se retrouve utilisé par les attaquants pour fabriquer des pièges qui auront plus de chances de toucher leurs victimes, du fait de l’inquiétude générale dans la population. ».

Toutefois l’évolution des attaques au rançongiciel doit être soulevé. En effet, les cybercriminels ne se contentent plus de chiffrer l’accès aux données des entreprises. Ils font du chantage. Lorsqu’une organisation leur résiste, ces derniers la menacent automatiquement de divulguer des informations sur internet. Des informations qui sont dans certaines conditions confidentielles, ou concernent des données personnelles des utilisateurs des entreprises. L’idée bien sûr et de mettre le maximum de pression sur ces dernières pour qu’elle cèdent face à la menace. « Le chantage appliqué aujourd’hui à ces entreprises vise à mettre une pression maximale sur la victime, de manière à faire en sorte qu’elle paye. L’une des techniques des attaquants est de voler des données internes, et de les mettre en pâture au public sur des sites dédiés avec l’épée de Damoclès de la rançon : si on ne paie pas, les informations seront livrées à tous. Une entreprise prise dans cette situation ne peut plus nier qu’il y a un incident, puisque ses données sont déjà affichées quelque part, même si elles ne sont pas encore déchiffrées. » souligne le responsable de Kaspersky en France.

Si la recommandation de manière générale est de ne jamais payer la rançon exigée, il faut malheureusement souligner que par rapport au contexte, respecter cette règle est du moins difficile. Pourtant, céder au chantage est bien sûr courir le risque d’être à nouveau attaquée par ces mêmes cybercriminels ou d’autres. Même si cela n’est pas le cas, payer les cyberattaquants est encourager la pratique. Et malheureusement c’est le cas aujourd’hui. Si les sommes d’argent exigées étaient modiques avant, aujourd’hui elles atteignent des records. « On peut dire deux choses là-dessus. D’abord, en termes de chiffres, l’université américaine de Temple a listé tous les cas de ransomware entre 2013 et 2020 qui ont été publiés dans la presse, avec à chaque fois le montant de la rançon, le secteur d’activité de l’entreprise, sa taille, la durée de l’incident et un paiement éventuel ou pas. Sur plus de 700 cas recensés, ils ont pu noter 200 entreprises qui ont officiellement payé. Le chiffre réel est donc certainement bien supérieur. Sur les impacts de payer la rançon : lorsqu’on est dans un système où la liste des victimes est publiée et qu’elle disparaît du jour au lendemain du site de l’attaquant si la rançon est versée, il est très facile pour les autres groupes de voir ce site et de savoir qui sont les bons et les mauvais clients, les bons et les mauvais payeurs », souligne Ivan Kwiatkowski.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Valak: focus sur un virus qui menace les données personnelles

Le programme malveillant connu sur le nom de Valak commence à s’étendre de plus en plus sur le web, cela est une société spécialisée dans la sécurité informatique.

Le logiciel malveillant se propagerait à travers un document Word, ajouté comme pièce jointe dans certaines correspondances électroniques. L’objectif de ce virus : voler le maximum des données personnelles.

Cet article va aussi vous intéresser : Cybersécurité : un nouveau virus fait son apparition selon le FBI et la NSA

Cet état de fait a été mis en avant par l’entreprise américaine CheckPoint, une spécialiste dans la fourniture de solutions de sécurité informatique de niveau mondial. On peut s’en rendre compte dans son rapport produit sur les 10 programmes malveillants les plus dangereux pour le mois de septembre 2020. Au premier rang de ce classement, c’est le célèbre Emotet, un virus qui a su profiter de la crise de la Covid-19 pour se propager encore plus.

Si Valak a attiré l’attention des spécialistes de la sécurité, c’est parce que son nom a commencé à s’étendre plus que d’habitude. De venir ici une menace à ne plus négliger, à cause de sa propagation. Les comptes en ligne, les ordinateurs et les entreprises en sont dorénavant menacés par ce logiciel malveillant qui jusque-là était discret

Le temps qu’il a connu comme étant le virus des données personnelles à cause de sa propension à vouloir les subtiliser. Il a donc un danger à ce niveau qu’il faut surveiller de près. Ce virus à cible à tout le monde. Les entreprises, les organismes publics, les particuliers. Les chercheurs font aperçu l’activité de ce programme malveillant vers la fin de l’année 2019. A ce moment, il agissait plus tôt quand même propagateur de virus. Avec la nouvelle version en circulation, il devient le même un virus à part entière. En d’autres termes, il ne se contente plus de propager à travers les terminaux des virus. Il est lui même un virus et sans prendre directement aux ordinateurs pour en extraire les informations.

Apparemment, le logiciel malveillant cible particulièrement les informations stockées sur Microsoft Exchange, selon le chercheur de checkpoint. Ce qui dans un certain sens pourrait limiter son champ d’action. Cependant, il est aussi capable apparemment de dérober des identifiants de connexion sur des ordinateurs qu’il aurait infectés. C’est qui malheureusement mets les comptes en ligne en danger. Mais il est fort à parier que les services populaires sont généralement les plus ciblées tels que Facebook, Google, ou encore les plateformes bancaires. Les informations tel que les certificats de domaine seraient aussi concerné par Le champs ciblé de Valak. Et cela se comprenait nettement car, lorsque le certificat HTTPS d’un site l’entreprise est contourné, les données générées où échangées par les visiteurs du site ne sont plus cryptées ils peuvent être alors récupérées par les pirates informatiques. Ce qui est assez effrayant quand on imagine la possibilité des informations qui peuvent être volées sur un site dédié aux transactions, peu importe dans la nature. Tous les visiteurs du site web cibler dans ce contexte sont exposés.

La directrice de la recherche et l’intelligence sur les menaces chez Check Point, Maya Horowitz explique certains points sur le virus : « Ces nouvelles campagnes diffusant Valak sont un autre exemple de la façon dont les acteurs de la menace cherchent à maximiser leurs investissements dans des formes établies et éprouvées de logiciels malveillants. Avec les versions mises à jour de Qbot qui ont émergé en août, Valak est destiné à permettre le vol de données et d’identifiants à grande échelle auprès d’organisations et d’individus. Les entreprises devraient envisager de déployer des solutions anti-malware qui peuvent empêcher ce contenu d’atteindre les utilisateurs finaux, et conseiller à leurs employés d’être prudents lors de l’ouverture de courriels, même lorsqu’ils semblent provenir d’une source fiable. ».

À la question de savoir comment se protéger de Valak, il faut d’abord appréhender son mode de propagation. Le système est un classique pur. La propagation par document Word infecté une logique de phishing courant. Une pratique connue mais qui est toujours aussi efficace. Il est donc en recommandé une grande vigilance dans le traitement des courriels des pièces jointes. Si la provenance d’un courrier électronique vous est méconnu, vous devez tout simplement éviter ouvrir. Au cas où vous pouvez visiter le site VirusTotal qui veut offre la possibilité de scanner des pièces jointes sans avoir à les ouvrir. Avec cette précaution supplémentaire, vous pouvez éviter beaucoup de désagrément. Enfin, utiliser une solution antivirus pour bloquer ce genre de menace en amont.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Il aura fallu 3 jours à des cybercriminels pour prendre d’assaut un système informatique factice

Selon de récents tests réalisés par des équipes de chercheurs en cybersécurité, les réseaux industriels sont menacés grandement par des cyberattaques de type rançongiciel.

Cette conclusion a été donnée suite à une expérience que ces chercheurs ont initié dans le but de voir à quel point les systèmes informatiques sont exposés. Le résultat est impressionnant, car, les cybercriminels ont prouvé qu’il ne leur fallait que peu de temps pour réussir à s’infiltrer dans ces réseaux à travers des vulnérabilités critiques que même les chercheurs pourraient ignorer.

Les infrastructures qui ont servi de leurres ont été conçues de sorte à mettre en évidence les mêmes problèmes que rencontrent les structures habituelles. En parlant notamment des mots de passe moins solides, de contrôle de postes à distance connecté à Internet, et d’autres pratiques générales observée dans le secteur. Ces derniers ont mis en ligne l’infrastructure factice en début de l’année 2020. Et les pirates informatiques, au bout de 3 jours avaient déjà découvert le réseau et tentés plusieurs fois d’y accéder. Certains parmi eux sont arrivés à le compromettre en utilisant notamment une campagne d’attaques au rançongiciel, par lequel ils sont arrivés à s’introduire dans le réseau et dérober certains identifiants de connexion. « Très tôt après le lancement du « honeypot », la capacité du ransomware a été placée sur chaque machine compromise », indique Israel Barak, le responsable de la sécurité de l’information chez Cybereason, l’entreprise qui a initié ce test.

C’est en se servant de certaines d’administration à distance tel que le RDP qu’ils ont réussi à placer leur logiciel malveillant dans le réseau. Et cela leur a permis de se connecter pour contrôler certains bureaux à distance. Une fois cette étape en complète, les cybermalveillants créaient une porte dérobée en direction de serveur compromis. Pour se faire, ces derniers se sont servis de programme PowerShell supplémentaires, à savoir Mimikatz, grâce à quoi ils ont réussi à dérober les identifiants de connexion utile pour la suite de leur activité. Par la suite, les cybers malveillants ont continué l’analyse du réseau dans le but de découvrir autant de points d’accès possible et de récolter les identifiants au fur et à mesure qu’ils en découvraient encore.

Les spécialistes de la sécurité informatique ont déduit de cette attaque informatique que le danger que représentait cette exposition était double. En effet, en plus exécuter un programme malveillant de rançonnage, les pirates informatiques ont prouvé qu’ils pouvaient toujours continuer à collecter des informations sensibles tels que les mots de passe et les noms d’utilisateurs. Des informations qu’ils peuvent utiliser comme moyen de pression lors des négociations avec la Victime du réseau corrompu, dans la mesure où celle-ci ne voudrait pas céder au chantage. « Ce n’est qu’une fois les autres étapes de l’attaque terminées que le ransomware se répand sur tous les terminaux compromis simultanément. C’est un trait commun aux campagnes de ransomware à plusieurs étapes, qui visent à amplifier l’impact de l’attaque sur la victime », explique le spécialiste de Cybereason, Israel Barak.

Par ailleurs, on peut tout simplement noter que certains cybercriminels ont découvert le piège, quand les attaques se sont multipliées contre le réseau. Pendant que certains essayaient tant bien que mal de s’introduire dans le réseau pour s’en accaparer, d’autres cybermalveillants se sont contentés tout simplement de faire une reconnaissance du système et cela à chaque fois que le test a été lancé.

Au-delà des tests qui cherchaient à déterminer les potentiels problèmes que pourrait être confronté un tel réseau, il n’en demeure pas moins que le danger n’était pas négligeable lors des différentes attaques informatiques. On peut tout simplement essayer d’imaginer ce qui pourrait arriver si c’était bel et bien le réseau d’un fournisseur d’électricité.

Un autre point important a été observé. Les cybercriminels ont tendance à beaucoup de s’appuyer sur les programmes de rançonnage, lorsqu’ils veulent s’en prendre à des infrastructures, surtout quand ils ne peuvent pas facilement les compromettre. Le rapport des chercheurs de Cybereason nomme cette situation de « barrage constant d’attaques sur le secteur ». Les conséquences en terme de risque vont gagner en intensité de plus en plus. D’un point de vue simpliste, même les améliorations au niveau de la composition des mots de passe et des méthodes d’accès sont des natures à renforcer la sécurité des infrastructures. Ce n’est qu’après avoir maîtriser les bases que l’on peut essayer de complexifier les choses.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Tycoon, le nouveau rançongiciel qui menace Windows et Linux

Tycoon est un nouveau programme de type rançongiciel.

Il n’est pas très connu car son fonctionnement reste très inhabituel face aux autres rançongiciels. Il a été identifié durant certaines cyberattaques trop précises et assez efficace, au-delà de tout ceci, il passe inaperçu.

Cet article va aussi vous intéresser : Ragnar Locker, le rançongiciel déguisé en une sorte de machine virtuelle

Le nom du programme Tycoon la référence de son code. Selon les spécialistes, ce rançongiciel serait actif depuis décembre 2019. Il est utilisé généralement contre les systèmes Windows et Linux. Depuis sa découverte, il a été remarqué qu’il est utilisé que dans le cadre de compagnes d’attaques ciblées. Ce qui est dans l’image à ses éditeurs comme étant des pirates informatiques très sélectifs.

Son déploiement est assez spéciale. De sorte à ce qu’il puisse rester caché sur le réseau contaminé le plus longtemps possible. Les secteurs les plus ciblées par les pirates informatiques qui se sert de Tycoon sont l’éducation et celui des logiciels. Il est connu pour exploiter Java.

Sa découverte a été suite à une collaboration entre les chercheurs de sécurité de BlackBerry et les spécialistes de la firme KPMG. Vu qu’il a été codé en Java, sa forme est assez spéciale, sa forme inhabituelle permet à ses éditeurs de déployer comme un simple cheval de Troie, dans un système d’exécution Java. il a possible de le compiler dans une image, ce qui facilite sa dissimulation. « Ces deux méthodes sont uniques. Java est très rarement utilisé pour écrire des logiciels malveillants sur les terminaux car il nécessite l’environnement d’exécution Java pour pouvoir exécuter le code. Les fichiers images sont rarement utilisés pour les attaques de logiciels malveillants.  Les attaquants se tournent vers des langages de programmation peu communs et des formats de données obscurs. Ici, les attaquants n’ont pas eu besoin de dissimuler leur code pour réussir à atteindre leurs objectifs » signifie Eric Milam, le vice-président de la recherche et du renseignement de chez BlackBerry.

Concernant l’attaque proprement dite, la première étape n’a rien n’a rien d’exceptionnel. En effet, il est introduit dans le système, grâce à une faille des serveurs de contrôle RDP sont suffisamment sécurisés. Et bien cette méthode intrusion est assez courante durant des compagnes impliquant des programmes malveillants. Les serveurs les plus vulnérables sont ceux dont les mots de passe au sont faibles où où déjà compromis lors d’une précédente attaque.  Par ailleurs : « Une fois à l’intérieur du réseau, les attaquants se servent des paramètres d’injection IFEO (Image File Execution Options), qui permettent le plus souvent aux développeurs de déboguer les logiciels, pour se maintenir en place. » explique Eric Milam. Par la suite, les pirates informatiques pourront se servir de certains privilèges d’administrateurs pour se débarrasser des solutions anti-malwares, avec l’aide de ProcessHacker, pour accroître leur chance de réussite. Après avoir été exécuté, le rançongiciel procède chiffrement du réseau et des fichiers par ordre d’extensions qui lui sont spécifiques, tel que « .redrum, .grinch et .thanos » et conformément au mode opératoire classique des attaquants au rançongiciel, le hackers exigeront le paiement de la rançon pour libérer le réseau. Le paiement est exigé en bitcoin. La somme exigée varie selon la victime et sa promptitude à prendre contact avec des cybercriminels.

Selon les chercheurs de Blackberry, il est fort probable que « Tycoon pourrait potentiellement être lié à une autre forme de ransomware, Dharma – également connu sous le nom de Crysis – en raison des similitudes dans les adresses e-mail, les noms des fichiers cryptés et le texte de la demande de rançon. ». Et comme les compagnes se fondant sur ce programme sont toujours en cours, il semblerait, selon les probabilités, que les cybercriminels rencontrent du succès.

La bonne nouvelle, c’est qu’il est possible de le stopper à distance. Mais en guise de prévention, il est recommandé de toujours mettre ses équipements à jour, et d’éviter tout ce qui est comme geste susceptible d’exposer un des terminaux connecté au réseau de l’entreprise. Les Experts de Blackberry recommandent : « Les RPD étant un facteur répandu de compromission du réseau, les organisations peuvent s’assurer que seuls les ports qui nécessitent une connexion internet y sont reliés. ». À cet effet les entreprises doivent s’assurer que les comptes utilisés pour accéder à ses ports ne fonctionnent pas avec des identifiants fournis par défaut ou des mots de passe assez faibles pour être deviné par un pirate informatique.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

La Cyber gendarmes se déploient désormais en Deux-Sèvres

Dans le courant de la semaine, la gendarmerie nationale Française annonçait un déploiement de sa branche de cybercriminalité en Deux-Sèvres.

A la disposition des particuliers, des entreprises, des associations, et même des collectivités, une adresse mail a été proposée et publicisée. L’idée de proposer les services des cyber gendarmes aux collectivités et aux groupements un service policier et d’encadrement en vue de lutter contre toutes formes d’actes de cybermalveillance. Surtout les attaques des systèmes informatiques dont plusieurs structures ont du mal à s’en protéger jusqu’à maintenant. Ce genre d’extension de la gendarmerie nationale est littéralement une première en France.

Cet article va aussi vous intéresser : Les gendarmes d’Eure-et-Loir aux aguets contre la cybermalveillance

Concernant la raison qui a motivé les autorités françaises, en particulier celles de la gendarmerie nationale à un tel déploiement, le commandant Olivier Valois du groupement de gendarmerie des Deux-Sèvres explique en ces termes : « En 2019, en Deux-Sèvres, pas moins de 750 faits judiciaires liés à la cybercriminalité » ont été observés et traités. Et ce nombre continue de croître. « À l’échelle nationale, il y a une recrudescence des cyberattaques, plus encore depuis le début de la crise sanitaire », c’est pour cela que « La gendarmerie s’est déjà adaptée à la lutte contre la cybercriminalité. » note le commandant. Cette évolution des services de la gendarmerie a commencé le 1er novembre de l’année dernière, avec la création d’un pôle national chargé de lutter contre les cybermenaces quelle que soit leurs formes. Cela s’en est suivi par un déploiement des Sections Opérationnel de Lutte contre les Cybermenaces, (Solc) dans différents départements de la France. La section du département de Deux-Sèvres est de 7 gendarmes, tous spécialisés dans les domaines de sécurité informatique et enquêtes liées aux nouvelles technologies. Ces derniers n’ont pas manqué de signifier que dans cette région de la France, l’épidémie du coronavirus a bel et bien favoriser, comme ailleurs dans le monde, l’augmentation des actes de cybermalveillance. Dans une certaine mesure, cela risque de continuer de la sorte, surtout lorsqu’elle s’en trouve « accompagnée du développement du télétravail et d’attaques au préjudice des entreprises ou des salariés, pas forcément très bien protégés » notent les cyber gendarmes. Dans les différents endroits où ils ont pu passer : « nous avons communiqué sur les réseaux à titre préventif » . La tâche des gendarmes ne s’est pas simplement limitées dans le domaine virtuel car ces derniers ont aussi protégé les différents locaux physiquement, qui parfois ont été désertés par leur occupants, et cela dans le cadre de l’Opération Tranquillité Entreprises et Commerce. « Nous sommes également allés au contact des entreprises pour leur donner des conseils de sécurité » pour protéger leurs biens. La section de lutte contre les cybermenaces et l’Otec se sont rejointes pour créer un point de contact », signifie le commandant Olivier Valois. Ce dernier a mis en évidence l’adresse électronique mis à disposition « sur laquelle les sociétés, entreprises ou commerces, comme les associations et les municipalités peuvent nous solliciter pour obtenir des conseils en terme de sécurité informatique. Surtout une question de réflexe ». Cette adresse est formulée selon la syntaxe suivante : cybergend79@gendarmerie.inte- rieur.gouv.fr. En tenant compte du niveau de démandes formulées, Le commandant Olivier Valois indiquera ceci : « nous pouvons répondre par courriel, par échange téléphonique ou nous déplacer si nécessaire » . Cela a été exactement le cas de Pascal Bortoluzzi, enquêteur spécialisé en technologie numérique et par ailleurs membre de la SOLC, avait plusieurs fois intervenu pour conseiller des groupes d’entrepreneurs qui souhaitaient s’informer sur plusieurs détails liés à la cybersécurité.

Cependant, les cyber gendarmes soulignent le fait que leur objectif n’est pas de se substituer aux experts professionnels de la sécurité informatique. « Nous ne faisons pas de diagnostics » ni des installations d’ailleurs. Le rôle consiste essentiellement à conseiller, à mener des investigations en cas de cybermalveillances avérées, voir contre-attaquer.

Les conseils en matière d’hygiène numérique ne sont pas à prendre à la légère. Tout le monde est exposé d’une manière ou d’une autre. Les premiers protecteurs de nos systèmes d’information, sont d’abord nous les utilisateurs. Ce n’est qu’en respectant les mesures d’usage qu’il sera possible de réduire au maximum les incidents informatiques, pourquoi par les éradiquer.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage