Archives du mot-clé malware

decrypt-petya-Ransomware-tool

Ransomware, l’impact de Petya

La série noire continue. Après la déferlante WannaCry, un nouveau ransomware fait trembler le monde entier. Même si l’Ukraine et la Russie semblent être les plus lourds tributaires de cette nouvelle attaque, beaucoup d’entreprises aux quatre coins du monde semblent infectées.

Nom de code : Petya, type de malware : ransomware, cible : tout le monde. Voilà comment résumer cette nouvelle vague de panique. Rappelons qu’un ransomware est un logiciel qui bloque l’accès aux données d’un poste de travail en les chiffrant, pour ensuite demander une rançon afin de pouvoir les récupérer.

Depuis hier, le monde, et l’Europe en particulier, est en proie à une nouvelle cyberattaque de grande ampleur. Les premiers cas signalés se sont déclarés en Ukraine où de nombreuses infrastructures publiques comme privées ont été touchées. Le Premier Ministre ukrainien a même évoqué « une attaque sans précédent » tout en affirmant que « les systèmes vitaux du pays n’ont pas été touchés ».

Dans l’Hexagone, Saint Gobain et la SNCF semblent être les plus touchés par la contamination. Néanmoins d’autres multinationales sont affectées par la vague Petya comme le cabinet d’avocat DLA Piper, le géant britannique de la pub WPP Group ou encore le pharmacien américain Merck…

Selon le cabinet spécialisé dans la cybersécurité Kaspersky Lab, ce nouveau ransomware pourrait être une variation d’un ancien malware nommé Petya. Il serait confirmé qu’il utilise une version modifiée de l’exploit EternalBlue pour faciliter sa propagation sur les réseaux d’entreprises.

Selon une information publiée sur Motherboard, le service de messagerie allemand Posteo a désactivé l’adresse mail que les victimes étaient supposées contacter afin d’être en relation avec les cybercriminels, confirmer les transactions Bitcoin et recevoir les clés de déchiffrement. Concrètement, même si vous payez la rançon, il y a très peu de chance que vous récupériez vos données donc ne payez pas et utilisez vos sauvegardes pour repartir d’une version antérieure.

Inscrivez vous à notre webinaire du 06 juillet de 10h00 à 11h00 axé sur la sauvegarde, organisé avec notre partenaire Atempo. Découvrez aussi les bonne pratiques pour vous protéger du cyber-rançonnage ici.

 

cryptxxx

CryptXXX, le ransomware voleur

Après la déferlante Locky sur notre territoire, il semblerait qu’un nouveau ransomware lui ai emboîté le pas. Toujours plus malicieux, celui-ci serait également capable, entre autre, de subtiliser les identifiants.

CryptXXX, c’est à ce doux nom que répond ce nouveau ransomware. Passé sous le feu des projecteurs depuis quelques temps, ce malware a toutes les caractéristiques pour devenir une nouvelle source d’inquiétude pour tout le monde. Sommes-nous face à une nouvelle calamité ? Probablement.

La faute principalement à ses créateurs qui mettent à jour très régulièrement  leur logiciel pour arriver à contourner les systèmes de sécurité et augmenter ses capacités malveillantes. Apparu en avril, ce ransomware en est déjà à sa troisième version, la 3.100. Alors qu’un ransomare classique se contente de bloquer l’accès aux données du poste infecté, celui-ci bloque puis dérobent également des identifiants. Le site Proofpoint évoque notamment les VPN Cisco, le gestionnaire d’information d’identification de Microsoft et des plates-formes de poker en ligne.

Mais il ne s’arrête pas là ! La découverte de fichiers tels stiller.dll, stillerx.dll et stillerzzz.dll indique que les historiques de navigation, les cookies ou les messageries sont également visées. Toujours d’après Proofpoint, il semblerait que le malware soit conçu pour rechercher toutes les ressources partagées sur le réseau pour propager l’infection.

C’est une petite révolution car d’ordinaire les ransomware se contentent de bloquer l’accès en échange d’une rançon. Avec le vol de données personnelles, il semblerait que les créateurs de CryptXXX cherchent de nouveaux moyens de rentabiliser l’attaque avec la revente d’identifiants.

L’éditeur Kasperky s’est penché sur le problème et avait déjà réussi à contrer les deux premières versions. La version 3.100 quant à elle, n’a toujours pas été vaincue. Nous vous invitons donc à retrouver nos conseils pour se prémunir face à ce type de menace.

Protégez vos infrastructures avec l’audit automatique en continue d’eaZySecure.

 

SWIFT_logo

Cyber-sécurité, Swift contre-attaque

Mis à mal depuis quelques temps par un collectif de hackers, le réseau interbancaire Swift a décidé de prendre le taureau par les cornes et d’entamer une campagne de cyber-sécurité pour regagner la confiance de ses clients.

Jamais deux sans trois. C’est l’éditeur de logiciel de sécurité Symantec qui a mis le feu aux poudres en révélant qu’une nouvelle banque a été attaquée aux Philippines il y a quelques jours. Après la très médiatisée cyber-attaque contre la banque centrale du Bangladesh, et l’annonce d’une autre banque attaqué par un porte parole de la coopérative du droit belge, c’est un nouveau coup dur pour Swift.

Symantec en a également profité pour dévoiler, selon eux, l’auteur de ces attaques en série. Il s’agirait d’un collectif de hackers répondant au nom de Lazarus, qui avait déjà fait parler de lui lors des attaques contre Sony Pictures. L’éditeur se base sur la découverte de certains malwares découvert, ainsi que sur l’organisation requise pour ce genre d’opération.

Symantec a donc identifié trois morceaux de malware utilisés lors des attaques contre les banques : Backdoor.Fimlis, Backdoor.Fimlis.B et Backdoor.Contopee. Le dernier est en effet largement assimilé au groupe Lazarus qui sévit sur la Toile depuis 2009.

A l’occasion de la 14e conférence européenne des services financiers qui s’est tenu la semaine dernière, Swift a annoncé le lancement d’un grand programme sur sa cyber-sécurité afin de pérenniser sa plateforme. Un chantier qui peut se résumer en cinq points majeurs :

  • Améliorer le partage d’information entre la communauté financière mondiale d’information. Le but étant de reproduire au niveau international ce qui est déjà appliqué au niveau national (pour la plupart des pays).
  • Renforcer les exigences de sécurité des logiciels clients.
  • Augmenter la fréquence des audits de sécurité pour les clients
  • Favoriser l’utilisation de contrôle de paiement pour mieux distinguer les comportements frauduleux
  • Renforcer les exigences de certification pour les fournisseurs tiers

Gottfried Leibbrandt, PDG de Swift, a également tenu à préciser le sérieux accordé à ce programme de cyber-sécurité. Il a rappelé que le réseau Swift (logiciels et messagerie) n’a pas été compromis, la confiance étant primordiale car facile à perdre et difficile à récupérer…

Protégez vos infrastructures avec eaZySecure.