Archives par mot-clé : rançongiciel

Rançongiciels : L’histoire une entreprise qui refuse de payer la rançon des cybercriminels

Comme nous le savons déjà, les entreprises sont soumises à une grosse pression de la part des cybercriminels.

Notamment à cause des logiciels de rançon qui circulent trop ces temps-ci. À tout moment une organisation privée peut être victime d’une attaque aura son logiciel. C’est d’ailleurs c’est qui est arrivé à une entreprise basée en Australie du nom de Langs Building Supplies. Cependant l’histoire de cette entreprise australienne est totalement différente.

Cet article va aussi vous intéresser : Rançongiciels : pourquoi les forces de l’ordre ont toujours du mal à mesurer l’ampleur du phénomène

Le fait débute à partir du 20 mai 2021, lorsqu’il est sur le point de partir en vacances, le directeur des systèmes d’information Matthew Day, observe qu’une situation peu évidente vient de se produire.

« J’allais partir en vacances. Mais j’ai reçu un coup de fil à quatre heures du matin, me disant en gros : Je ne peux pas me connecter, que se passe-t-il ? », raconte ce dernier. Ce dernier décide alors de se rendre à son bureau situé à Brisbane. Précisément au siège de l’entreprise qui s’est spécialisée dans la fourniture de matériaux de construction. Sur le trajet ce dernier a plutôt cru à une panne ou une défaillance imprévue. Malheureusement pour lui les choses étaient pire. Ils vont apparaître sur les écrans des ordinateurs de son entreprise l’expression suivante. : « Vous avez été piraté. ». Son entreprise est victime d’une attaque au rançongiciel. Le programme de rançon utilisé ici est Lorenz. Il a chiffré l’accès à plusieurs serveurs et à des milliers de fichiers.

Les cybercriminels exigent alors le paiement d’une rançon de 15 million de dollars en bitcoin. Et ce n’est pas tout, ces derniers menacent de publier les informations confidentielles si l’entreprise n’est cédée pas au paiement de la rançon.

 « En réalité, c’est une proposition plutôt effrayante, mais nous avons rapidement pu isoler l’attaque et la déconnecter du réseau », note Matthew Day.

Selon le DSI, cette attaque au rançongiciel s’inscrit certainement dans un objectif beaucoup plus détendu que de l’argent. Il croit que les pirates informatiques on a gym ici à cause du secteur d’activité de l’entreprise. En effet, à la période où l’attaque a été observé, l’Australie était sous confinement. Le gouvernement mettait tout en place pour que certains secteurs tels que la construction et le commerce puissent continuer à fonctionner correctement. Par conséquent, si une entreprise tel que Langs se trouve être dans l’incapacité de fonctionner correctement, c’est toute l’industrie de la région qui serait de près ou de loin affectée.

« C’est un événement de grande ampleur qui ne se limite pas à Langs, car si nous ne pouvons pas fournir les marchandises à un constructeur parce que nous sommes hors ligne, il ne peut pas construire cette maison. Cela ne fait qu’accentuer la pression », Souligne Matthew Day.

Malgré cela l’entreprise n’envisage pas de payer la rançon. Tout d’abord parce qu’elle dispose de plusieurs logiciels qui leurs permettaient de récupérer certaines données mais aussi d’analyser les informations qui ont été chiffrées au modifier sur le réseau en se référant au domicile déjà stockées, en dehors même du réseau principal. Tout ceci était possible en seulement quelques heures.

« J’étais assez confiant quant à l’aspect des données – nous utilisons Rubrik. Nous nous assurons qu’il y a une authentification multifactorielle et qu’il n’y a pas d’informations d’identification partagées, c’est un jardin clos », rapport Matthew Day. « Ces personnes veulent immédiatement s’en prendre à vos sauvegardes car cela fait monter la pression, donc s’ils ne peuvent pas accéder à vos sauvegardes, vous êtes dans une bonne position. », ajoute ce dernier.

Malgré cela les cybercriminels ont quand même essayé d’extorquer de l’argent à l’entreprise. Pour cela ils ont envoyé des mails à l’ensemble du personnel en leur mentionnant qu’ils possédaient leurs informations personnelles et sensibles, et qu’ils n’hésiteraient pas à les vendre sur le Dark web si l’entreprise où les employés ne cédaient pas au paiement des rançons exigées.

« Bien que 13 gigaoctets de données aient quitté le réseau, il s’est avéré qu’il s’agissait de trafic ping, donc rien qui puisse représenter un risque pour la sécurité ou la confidentialité des clients ou des employés de Langs. La réception des e-mails a été un choc pour le personnel », a expliqué Matthew Day. « Il faut communiquer avec les gens, leur expliquer. Nous avons pu montrer à l’entreprise qu’ils [les cybercriminels] jouent au chat et à la souris et que nous n’allons pas céder les premiers. Nous n’avons donc pas payé la rançon, le jour venu – et rien ne s’est passé », ajoute ce dernier.

Comment les cybercriminels ont réussi donc à accéder à leur système informatique ? Grâce à un fournisseur qui avait déjà été compromis. Grâce à leur entrée chez le fournisseur de la société australienne, ils ont pu alors envoyer un courriel corrompu à cette dernière.  « Ils ont répondu à une commande que nous leur avions envoyée de la manière exactement correcte, c’était un jeu vraiment intelligent pour ces gars-là. L’e-mail provenait d’un compte vérifié, d’une personne à un moment donné et d’une manière attendue par l’utilisateur, mon employé, avec le formatage correct et le numéro valide correct, de sorte qu’il ne s’agissait pas d’un faux compte, ni d’un compte usurpé, mais d’un vrai compte », explique le Matthew Day. « J’aurais dû rester plus fermement sur mes positions concernant l’accès externe et l’authentification à plusieurs facteurs. Nous en parlons depuis un certain temps et je faisais pression en ce sens, mais l’entreprise s’y opposait parce qu’elle considérait que c’était un fardeau supplémentaire pour les utilisateurs, une chose de plus qu’ils devaient apprendre et gérer », note le DSI. « Si j’avais eu l’authentification multifactorielle, nous aurions pu stopper cette attaque particulière dans son élan et je suis heureux de dire que nous pouvons maintenant avoir ce protocole d’authentification sur ces postes de travail externes. ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Blackcat : le nouveau rançongiciel qui s’imposent

Depuis un certain moment, un programme informatique attire l’attention des professionnels de la cybersécurité.

Il s’agit notamment du rançongiciel Blackcat.

Ce nouveau programme de rançon fait automatiquement penser au groupe Blackmatter et REvil qui ont récemment tirer leur révérence (probablement) à cause de la pression mis par les autorités et les forces de l’ordre américaine.

Cet article va aussi vous intéresser : Rançongiciels : pourquoi les forces de l’ordre ont toujours du mal à mesurer l’ampleur du phénomène

En tant que rançongiciels, le mode opératoire est un classique. En effet les opérateurs de Blackcat infectent les systèmes et réseaux informatiques de leur cible, ensuite ils chiffrent les données pour exiger le paiement d’une rançon. Dans la mesure où l’organisation attaquée refuse de céder au chantage, les pirates informatiques menacent de publier les données.

Selon plusieurs observations, les cybercriminels qui sont derrière Blackcat sont en mouvement depuis bien longtemps. S’en prenant à plusieurs organisations dans différents pays.

« Les cybergangs derrière les ransomwares BlackMatter et REvil ont été mis à terre par des actions de police et de justice coordonnées au niveau international. Cela ne signifie pas pour autant que les opérations criminelles œuvrant par le biais de rançongiciels vont stopper. Car malheureusement, d’autres ransomwares pris en main par d’autres opérateurs malveillants prennent la relève, la nature ayant comme toujours horreur du vide. Pour le combler, BlackCat semble en effet bien placé pour prendre la relève. Très bien même, au point de pouvoir être considéré comme le ransomware le plus sophistiqué de l’année doté de capacités de personnalisation étendues. J’ai analysé un autre échantillon il n’y a pas si longtemps, mais je n’ai pas pu en parler en raison de la confidentialité du client… il utilise AES128-CTR et RSA-2048, Filemarker 19 47 B7 4D à EOF, une clé cryptée, JSON avec certains paramètres. Ransomware très sophistiqué », a alerté Michael Gillespie, un consultant en cybersécurité qui le concepteur à l’origine du service ID Ransomware.

Selon le spécialiste en question, le programme malveillant Blackcat a été écrit dans un langage de programmation peu utilisé pour la conception de logiciels malveillants. Il s’agit de langage Rust. Cependant depuis un certain moment, l’utilisation de ce langage de programmation est en pleine montée.  Car selon les spécialistes il est assez fiable et procure beaucoup plus de sécurité. « Rust est un langage multiparadigmes dont un des objectifs principaux est de concilier une ergonomie de haut-niveau avec une gestion fine de la mémoire », précise l’Agence nationale de sécurité des systèmes d’information dans un guide qu’il a publié sur les applications sécurisées conçu grâce au langage Rust

On m’estime déjà que le montant des rançons extorquer par Blackcat peut s’évaluer hauteur de 3 millions de dollars.

La première fois que ce programme malveillant a été détecté, c’était dans les environs de novembre 2021 précisément le 21. Ce sont des chercheurs en cybersécurité de l’organisation MalwareHunterTeam qu’ils ont détecté. Les rançons qui sont exigées vont entre 400000 dollars américains à 3 million de dollars. C’est un programme qui est proposé sur plusieurs forum de pirate informatique dans le contexte du Ransomware as a service. C’est-à-dire, proposé son logiciel malveillant à d’autres opérateurs Informatiques malveillants avec un suivi pour permettre au client de pouvoir l’exploiter dans des actions de cybercriminalité en échange d’une rémunération.

Le rançongiciel BlackCat peut être configuré selon 4 types de chiffrement différents qui sont :

– le chiffrement total ;

– le chiffrement rapide ;

– DotPattern ;

– le chiffre automatique.

« En mode automatique, le logiciel détecte la présence du support matériel AES (existe dans tous les processeurs modernes) et l’utilise. S’il n’y a pas de support AES, le logiciel crypte les fichiers ChaCha20 », exploiter les opérateurs malveillants de Black cat sur un forum du Dark Web. « Chaque exécutable du ransomware ALPHV comprend une configuration JSON qui permet la personnalisation des extensions, les notes de rançon, la façon dont les données seront cryptées, les dossiers/fichiers/extensions exclus et les services et processus à terminer automatiquement », souligne le Bleeping Computer dans ses investigations.

De plus le programme malveillant dispose d’un programme de protection qui permet aussi des criminels de ne pas être tracé lors des transactions avec leurs victimes. Pour cela ils ont développé une commande par Token. « Ce jeton d’accès est utilisé pour créer la clé d’accès nécessaire pour entrer dans un chat de négociation sur le site de paiement Tor du gang de ransomware. Comme ce jeton n’est pas inclus dans l’échantillon de malware, même s’il est téléchargé sur un site d’analyse de malware, les chercheurs ne l’utiliseront pas pour accéder à un site de négociation sans la demande de rançon de l’attaque réelle », décrit Bleeping Computer.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Rançongiciels : Ragnar Locker à l’assaut de l’entreprise LDLC.com

La liste des entreprises victimes de cyberattaques continuent de s’allonger de plus en plus.

Après avoir essuyé les cyberattaques de Campari et Dassault Falcon, une autre entreprise qui est spécialisé dans la vente de matériels Tech, surtout high-tech, se place dans la catégorie des victimes de rançongiciel. Et pas n’importe quel rançongiciel, mais le fameux Ragnar Locker.

Cet article va aussi vous intéresser : Le site internet Doctissimo, dans le collimateur de la CNIL pour violation du règlement européen de la protection des données personnelles

Les faits remontent depuis le 29 novembre dernier. Pour le moment la société n’est pas en mesure de déterminer avec précision l’ensemble des données qui en plus être dérobées ou même corrompues. Les activités autour du rétablissement du système informatique continuent.

Ce qu’on peut supposer, c’est que l’incident puise certainement sa source depuis que l’entreprise a publié le 28 octobre dernier ses chiffres de ventes qui a reconnu une hausse record durant le premier semestre de 2021 – 2022. L’information a certainement attirée la convoitise des cybercriminels.

Pour le moment on le sait, que près de 29,5 Go de données internes à l’entreprise est commercialisé sur le Dark Web. Déjà le 29 novembre dernier, la société lyonnaise fait une publication pour communiquer sur l’état de l’attaque informatique. Il semblerait qu’elle était en voie de maîtriser la cyberattaque.

« Le Groupe LDLC a détecté un incident de cybersécurité dans ses systèmes informatiques, ayant entraîné un accès non autorisé aux données de l’entreprise. L’incident n’a pas eu d’impact sur les opérations commerciales du groupe. Cet incident fait l’objet d’une analyse approfondie de la part des experts et des partenaires sécurité du groupe, qui ont immédiatement pris les dispositions nécessaires pour renforcer les mesures de protection déjà existantes, minimiser les éventuelles conséquences et en rechercher les origines. Ces investigations se poursuivent, et même si certaines données à caractère personnel ont pu être consultées, cela ne concerne en aucun cas les informations sensibles relatives aux clients des sites Internet marchands du groupe », peut-on lire dans le communiqué de presse.

Concernant le groupe de pirates informatiques derrière cette cyberattaque, le célèbre groupe qui utilise le rançongiciel Ragnar Locker, ayant été identifié par la police fédérale américaine depuis 2019, et déjà en train de publier des captures d’écran de certaines informations qu’ils ont réussi à dérober dans cette super attaque. Leurs agissements ont commencé depuis le 3 décembre dernier car ils n’ont pas pu entrer en contact avec le groupe LDLC, selon leur propre déclaration. Selon les pirates informatiques, ils détiennent des informations internes. C’est des informations pourraient provenir « d’un espace baptisé « Siège » », selon le média en ligne Zataz.

Ragnar Locker revient cette fois-ci en force après son échec dans l’attaque dirigée compte CMA CGM, vers la fin du mois d’août 2021. Pour démontrer leur détermination, les pirates informatiques sont déjà en train de vendre les données volées.

En guise de rappel, il faut préciser que les rançongiciel sont des programmes informatiques malveillants qui ont été conçus dans le but de prendre en otage un système informatique, et exiger de la part des propriétaires de ces systèmes informatiques, le paiement d’une rançon en échange de la clé qui leur permettra de libérer ledit système. Ces programmes malveillants sont aussi connus sous la dénomination anglicisée de ransomwares. Les pirates informatiques derrière ce type de programme malveillant ciblent particulièrement les entreprises et les organismes publics tels que les collectivités territoriales. Cependant cela n’exclut pas qu’il fait possible et aussi des particuliers. Les rançongiciel les plus célèbres sont notamment :

– WannaCry ;

– Petya ;

– Ragnar Locker ;

– Cryptolocker ;

– NotPetya ;

– etc.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Rançongiciels : les autorités allemande et française en charge de la cybersécurité font un point de la situation

Publiée la semaine dernière, le rapport intitulé « Common Situational Picture » suite à une collaboration entre l’Agence nationale de sécurité des systèmes d’information et le BSI (Bundesamt für Sicherheit in der) Allemand, faisait état de la menace cyber observée de manière partagée sur le territoire des deux États.

Cette étude a permis de dresser un bilan sur la menace grandissante que représente les rançongiciels. Son objectif est aussi de sensibiliser sur le risque tout en mettant en évidence l’importance pour les entreprises et les institutions publiques de s’organiser.

Soulignons d’abord que l’étude a mis en évidence augmentation des attaques basées sur les rançongiciels. Particulièrement entre les années 2019 et 2020, il aura été observé en France une hausse de près de 255 %.

Les logiciels de rançon se constitue aujourd’hui combien de temps les menace les plus importantes et impactant qui s’imposent aux institutions publiques et aux entreprises. Et cela pense sur le plan de l’organisation même de ces structures et sur le plan financier.

Par ailleurs, depuis le début de l’année 2020, il y a les secteurs de l’éducation et de la santé surtout, sont prisés par les pirates informatiques utilisant des logiciels de rançon. Dans ce cadre on doit pas aussi occulter les collectivités territoriales et ainsi que les prestataires de services numériques qui occupe aussi une bonne place dans les cibles préférées des hackers.

En revenant un peu dans le passé, on se rappelle que le pirate informatique était du genre à demander des rançons très peu élevées. C’était aussi à la base des attaques informatiques qui ciblait des particuliers. Mais aujourd’hui, la bonne a littéralement changé. Les hackers ciblent les grosses institutions avec les gros moyens exigeant des rançons pouvant s’évaluer à des millions de dollars. On parle alors de « Big Game Hunting ». Ces attaques « affectent leurs réseaux pour générer une interruption de leur activité avec des conséquences économiques, industrielles et sociales importantes : perte d’exploitation, exfiltration de données confidentielles pouvant affecter leur réputation ou des opérations de fusion et d’acquisition, etc. Le ciblage des cybercriminels se caractérise par une préparation des opérations d’extorsion en amont, parfois plusieurs mois à l’avance et, de plus en plus fréquemment, par un chantage à la divulgation de données sensibles exfiltrées lors de la cyberattaque. Cette méthode qui consiste à annoncer publiquement l’attaque permet d’exercer une pression supplémentaire sur les victimes. En cas de refus d’obtempérer, les cybercriminels publient alors les informations sensibles volées. Dans d’autres cas, ils tentent de les vendre, parfois en les mettant aux enchères. », note le rapport.

« Bien plus qu’un simple outil rentable du crime organisé, l’attaque par rançongiciel peut avoir des effets dignes d’actes de sabotage ciblés. Autour de ce type d’attaque se forment des écosystèmes entiers de services et de plateformes. Leur effet ? Toucher n’importe qui, n’importe où. Les grandes entreprises sont particulièrement visées via des attaques dites de Big Game Hunting. Nous avons donc besoin d’un effort commun et international afin de continuer à élever le niveau de sécurité informatique au sein des infrastructures économiques, administratives et de santé. Cette coopération avec l’ANSSI répond à ce besoin essentiel », déclare Arne Schönbohm, président du BSI.

« Face au volume et à la sophistication des attaques par rançongiciel, l’ANSSI et l’écosystème français sont entièrement mobilisés. A l’heure où la menace se globalise, la coopération internationale s’impose plus que jamais comme une nécessité. Nous devons continuer à travailler aux côtés de nos homologues européens, tel que le BSI, afin de contribuer à la stabilité du cyberespace. » souligne de son côté Guillaume Poupard, Directeur général de de l’Agence Nationale de Sécurité des Systèmes d’Information.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Rançongiciels : DarkSide vaut dorénavant 10 millions de dollars américain

On peut dire clairement qu’aujourd’hui, le ransomware (en anglais) / le rançongiciel (en français) peut être catégorisé dans le cercle des fléaux du 21e siècle non loin du coronavirus.

Cette expression n’est pas une blague dans la mesure où nous continuons de constater une montée en puissance de ce phénomène tout en assistant presque impuissant aux différentes conséquences que cela peut créer ou à déjà créer. En guise de rappel il faut signifier que des attaques de type rançongiciels ont déjà causé la mort de certains individus dans le monde.

Cet article va aussi vous intéresser : BlackMatter, une suite de DarkSide ?

Ces mêmes incidents de sécurité ont entraîné la faillite de plusieurs entreprises et ont mis au chômage des milliers de personnes. Pour cela que nous parlons de fléau. Cependant la résistance s’organise peu et les autorités essaient tant bien que mal de pouvoir trouver une parade. C’est d’ailleurs cet effort que l’on observe du côté des États-Unis.

Si nous associons l’expression DarkSide avec Colonial Pipeline, il est certain que vous allez comprendre automatiquement le concept.

Effectivement, le premier se présente comme étant l’un des groupes opérateurs de rançongiciel les plus populaire du monde. Jusqu’à présent ils ont longtemps été affilié à des hackers d’origine Russe opérant de plus les territoires de Russie. S’ils ont à leur actif plusieurs attaques informatiques du genre, c’est la plus récente qui va faire tout basculer dans le Game. En effet ce groupe de pirate informatique s’en est pris à un géant américain de l’hydrocarbure. Colonial Pipeline. L’attaque informatique a eu un tel impact, que toute la côte ouest américaine à monter de carburant pendant un bon moment. Cela a mis hors de lui le gouvernement américain qui a officiellement déclaré la guerre aux rançongiciels par ricochet au cybercriminels. Dorénavant aux États-Unis, un opérateur de rançongiciel à la qualification de terroriste.

Mais pour revenir à DarkSide, le 4 novembre dernier c’est-à-dire il y a 2 jours de cela, les autorités américaines ont annoncé publiquement une récompense à hauteur de 10 million de dollar américain. Selon la diplomatie américaine « en offrant cette récompense, les Etats-Unis montrent leur engagement à empêcher les victimes des rançongiciels partout dans le monde d’être exploitées par les cyber-criminels ».

Par ailleurs il faut souligner qu’il y a quelques mois de cela, le gouvernement américain avait offert une somme de 5 millions de dollar américains. Une offre qui récompensait toute personne fournira des informations susceptibles de permettre l’arrestation où la mise en examen de membres appartenant à ce groupe de hackers ou tout autre personne ayant collaborer avec eux. Et ce, peu importe le contexte.

Bien évidemment plusieurs experts ont mis en évidence la difficulté que de telles mesures puisse porter leurs fruits. C’est d’ailleurs ce que met en évidence spécialiste de l’entreprise informatique Netenrich : « en l’absence d’un chasseur de primes disposé à se rendre dans la juridiction, à mettre son corps inconscient dans un sac et à le déposer à l’ambassade américaine la plus proche, je doute que cela ait beaucoup d’impact ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage