Archives du mot-clé ransomware

decrypt-petya-Ransomware-tool

Ransomware, l’impact de Petya

La série noire continue. Après la déferlante WannaCry, un nouveau ransomware fait trembler le monde entier. Même si l’Ukraine et la Russie semblent être les plus lourds tributaires de cette nouvelle attaque, beaucoup d’entreprises aux quatre coins du monde semblent infectées.

Nom de code : Petya, type de malware : ransomware, cible : tout le monde. Voilà comment résumer cette nouvelle vague de panique. Rappelons qu’un ransomware est un logiciel qui bloque l’accès aux données d’un poste de travail en les chiffrant, pour ensuite demander une rançon afin de pouvoir les récupérer.

Depuis hier, le monde, et l’Europe en particulier, est en proie à une nouvelle cyberattaque de grande ampleur. Les premiers cas signalés se sont déclarés en Ukraine où de nombreuses infrastructures publiques comme privées ont été touchées. Le Premier Ministre ukrainien a même évoqué « une attaque sans précédent » tout en affirmant que « les systèmes vitaux du pays n’ont pas été touchés ».

Dans l’Hexagone, Saint Gobain et la SNCF semblent être les plus touchés par la contamination. Néanmoins d’autres multinationales sont affectées par la vague Petya comme le cabinet d’avocat DLA Piper, le géant britannique de la pub WPP Group ou encore le pharmacien américain Merck…

Selon le cabinet spécialisé dans la cybersécurité Kaspersky Lab, ce nouveau ransomware pourrait être une variation d’un ancien malware nommé Petya. Il serait confirmé qu’il utilise une version modifiée de l’exploit EternalBlue pour faciliter sa propagation sur les réseaux d’entreprises.

Selon une information publiée sur Motherboard, le service de messagerie allemand Posteo a désactivé l’adresse mail que les victimes étaient supposées contacter afin d’être en relation avec les cybercriminels, confirmer les transactions Bitcoin et recevoir les clés de déchiffrement. Concrètement, même si vous payez la rançon, il y a très peu de chance que vous récupériez vos données donc ne payez pas et utilisez vos sauvegardes pour repartir d’une version antérieure.

Inscrivez vous à notre webinaire du 06 juillet de 10h00 à 11h00 axé sur la sauvegarde, organisé avec notre partenaire Atempo. Découvrez aussi les bonne pratiques pour vous protéger du cyber-rançonnage ici.

 

cyber money

Cybersécurité, le marché qui monte

La prolifération des cyberattaques ces dernières années a eu pour effet Kisscool de booster le marché de la cybersécurité. Avis unanimes de la part des spécialistes, ce marché arrive désormais à maturité.

Que ce soit les ransomware (Locky, WannaCry, CryptoLocker…) les malwares, le phishing ou tout simplement les réglementations et autres normes (européennes pour la plupart), les moteurs de l’essor du marché de la cybersécurité sont nombreux.

Le Gartner est d’ailleurs très clair, le marché de la protection informatique a augmenté de 8% entre 2015 et 2016 pour atteindre les 81,6 milliards de dollars. Le cabinet Cyber Security Ventures prévoit même une forte croissance pour atteindre les 120 milliards en 2017… Rappelons que le marché ne pesait « que » 3,5 milliards en 2004, soit 3500% d’augmentation en 13 ans !

« La cybercriminalité continue d’alimenter la croissance du marché (…) les dépenses mondiales devraient atteindre les 1000 milliards de dollars sur les cinq prochaines années » précise même l’analyse. Car la cybercriminalité, de plus en plus médiatisée (cf : WannaCry), met en évidence les risques qu’encourent les entreprises et permet surtout de donner un coup de fouet au marché de la cybersécurité. L’éditeur de logiciel Symantec a d’ailleurs vu son action en bourse doubler en un an, Sophos a également profité de l’actualité pour tirer son épingle du jeu, Orange a suivi le mouvement en rachetant un cabinet de conseil l’année dernière etc…

Ces changements sont également dus à une prise de conscience collective : « Les grosses vague de ransomware en 2014 ont créé une énorme source de business pour les cabinets de conseil car les entreprises ont pris conscience de leur vulnérabilité (…) Même si le retour sur investissement est impossible à déterminer car on ne peut pas savoir à quelles attaques on a échappé et combien elles auraient coûtées » explique Jérôme Saiz, expert indépendant. « Plus que les menaces, ce sont aussi les réglementations qui tirent le marché, notamment la réglementation européennes sur la protection des données personnelles (GDPR) à partir de 2018 » ajoute-t-il.

Tous les voyants semblent donc au vert pour le marché de la cybersécurité.

Découvrez notre offre de sécurisation eaZySecure et participez à notre wébinaire sur la protection des données.

WannaCrypt

WannaCrypt, le ransomware éclair

Le week-end dernier a été le théâtre d’une attaque informatique mondiale d’une ampleur sans précédent. Le ransomware WannaCrypt a frappé vendredi pour infecter grand nombre de poste à travers le monde. Retour sur le déroulé de l’attaque et état des lieux après son passage.

C’est unanime, la vague WannaCrypt était d’une ampleur inédite et d’une rapidité inégalée. En quelques heures, le ransomware a réussi à infecter plus de 200 000 postes à travers le monde, provoquant parfois des dégâts considérables. Au panthéon des plus touchés, on retrouve le service de santé britannique qui paye probablement le plus fort tribut, mais aussi Renault qui a vu une de ses usines subir un chômage technique, ou encore l’opérateur espagnol Telefonica…

Cette cyber-attaque à la propagation ultra rapide a paradoxalement été très rapidement enrayée… Et d’une façon inhabituelle ! Quelques heures après le début de l’infection, un jeune chercheur en cyber-sécurité britannique, découvre que les postes touchés pointent vers un nom de domaine précis. Il s’empresse de le déposer, et permet ainsi la fin de la propagation.

Si le pire semble avoir été évité, le contexte de cette attaque est tout de même inquiétant. Jusqu’alors, le processus d’attaque des ransomware ou autre cryptolocker semblait établi : des pièces-jointes dans des mails piégés. Toutefois cette fois-ci, le malware s’est engouffré par une faille dans le protocole SMBv1 de Windows pour se répandre. Un processus qui s’apparente plus à un ver informatique. Ce qui pose le problème crucial de la prévention contre les ransomware.

Un état d’esprit cristallisé par Corey Nachreiner, le directeur de la technologie pour Watchguard qui n’y va pas avec le dos de la cuillère dans sa tribune : « WannaCrypt : seuls les négligents ont été touchés ». Avis partagé par Alain Takahashi, CEO du fournisseur de solutions de sécurité Hermitage Solutions : « il faut arrêter de faire les étonnés et sortir la tête du sable ! On s’époumone à expliquer qu’appliquer les mises à jour des éditeurs prémunit de la plupart de ces attaques, tout comme Louis Pasteur s’époumonait à expliquer aux chirurgiens qu’il faut se laver les mains entre chaque malade pour ne pas propager des germes. Mêmes causes, mêmes effets, autre époque : on ne change pas les habitudes comme ça ! » vocifère-t-il.

Seul motif de satisfaction, il semblerait que le réflexe de ne pas payer dans ce genre d’attaque soit bien entré dans les esprits. Parmi la totalité des postes infectés, seuls une poignée ont cédé aux pressions, rapportant au total 40 000 dollars aux rançonneurs alors que la demande atteignait les 300 dollars par poste.

Nous rappelons que dans ce genre d’attaque, il est fortement déconseillé de payer car rien ne dit que vous retrouverez l’intégrité de vos données, et que le hacker ne reviendra pas à la charge maintenant qu’il sait que vous êtes une proie facile…

Retrouvez nos prescriptions pour mieux lutter contre les ransomware !

 

cryptxxx

CryptXXX, le ransomware voleur

Après la déferlante Locky sur notre territoire, il semblerait qu’un nouveau ransomware lui ai emboîté le pas. Toujours plus malicieux, celui-ci serait également capable, entre autre, de subtiliser les identifiants.

CryptXXX, c’est à ce doux nom que répond ce nouveau ransomware. Passé sous le feu des projecteurs depuis quelques temps, ce malware a toutes les caractéristiques pour devenir une nouvelle source d’inquiétude pour tout le monde. Sommes-nous face à une nouvelle calamité ? Probablement.

La faute principalement à ses créateurs qui mettent à jour très régulièrement  leur logiciel pour arriver à contourner les systèmes de sécurité et augmenter ses capacités malveillantes. Apparu en avril, ce ransomware en est déjà à sa troisième version, la 3.100. Alors qu’un ransomare classique se contente de bloquer l’accès aux données du poste infecté, celui-ci bloque puis dérobent également des identifiants. Le site Proofpoint évoque notamment les VPN Cisco, le gestionnaire d’information d’identification de Microsoft et des plates-formes de poker en ligne.

Mais il ne s’arrête pas là ! La découverte de fichiers tels stiller.dll, stillerx.dll et stillerzzz.dll indique que les historiques de navigation, les cookies ou les messageries sont également visées. Toujours d’après Proofpoint, il semblerait que le malware soit conçu pour rechercher toutes les ressources partagées sur le réseau pour propager l’infection.

C’est une petite révolution car d’ordinaire les ransomware se contentent de bloquer l’accès en échange d’une rançon. Avec le vol de données personnelles, il semblerait que les créateurs de CryptXXX cherchent de nouveaux moyens de rentabiliser l’attaque avec la revente d’identifiants.

L’éditeur Kasperky s’est penché sur le problème et avait déjà réussi à contrer les deux premières versions. La version 3.100 quant à elle, n’a toujours pas été vaincue. Nous vous invitons donc à retrouver nos conseils pour se prémunir face à ce type de menace.

Protégez vos infrastructures avec l’audit automatique en continue d’eaZySecure.

 

downsec

Ransomware, un commerce lucratif

L’éditeur de solution de sécurité Kaspersky a publié un son bilan trimestriel analysant les attaques auxquelles ses clients ont dû faire face. Sans grande surprise, on constate que les ransomware ont clairement la côte parmi les hackers.

Comme nous vous l’expliquions, les ransomware deviennent de plus en plus virulents et nombreux. A tel point que Kasperky Lab les désigne comme « problem of the year ». Et pour cause ! Au-delà de la recrudescence des attaques (+30% depuis fin 2015), il s’avère qu’un nouveau modèle se développe.

Nombre d'attaques recensés par Kaspersky. Source : Kasperky Lab

Nombre d’attaques recensés par Kaspersky. Source : Kasperky Lab

Ainsi Kaspersky révèle un des facteurs de cette augmentation fulgurante : le Ransomware-as-a-Service. Il s’agit d’une économie souterraine qui permet à n’importe qui, n’ayant presque aucune connaissance en matière de rançonnage, de pouvoir lancer une attaque. Concrètement, les hackers vendent des ransomware « clé en main » prêt à l’utilisation.

Conséquence directe, aujourd’hui, la base de données de l’éditeur ne recense pas moins de 15000 variantes de ransomware. Un phénomène qui n’est pas prêt de s’inverser tant la niche semble lucrative et la technologie évolutive. Désormais certains ransomware comme le dénommé Petya, arrivent à non seulement crypter les données, mais également à écraser le secteur d’amorce du disque dur, rendant le démarrage du système d’exploitation impossible.

Au sein de l’Hexagone nous avons surtout subit l’apparition de Locky, ce cryptolocker qui a inondé nos boites mail. Kaspersky nous montre l’étendue du phénomène via cette carte qui montre que la France et l’Allemagne on été les plus durement touchés. 

Carte des pays touchés par Locky. Source : Kaspersky Lab

Carte des pays touchés par Locky. Source : Kaspersky Lab

Protégez vos infrastructures informatique avec eaZySecure.

ransomware

Locky s’invite aux IT Partners

Le salon IT Partners, l’évènement national leader de la distribution professionnelle IT, Télécom et Audiovisuelle s’est achevé le 10 mars. Et l’invité surprise de cette édition fut le désormais tristement célèbre ransomware : Locky.

Il semblerait que l’épidémie soit désormais lancée et totalement hors de contrôle. « Notre partenaire filtrage mail nous a précisé qu’il était passé en quelques jours de 20000 à 800000 alertes mails quotidiennes sur le trafic qui transite sur sa plate-forme de détection… Ce sont à ce jour des dizaines de milliers de sociétés en France qui ont été infectées, on n’avait jamais vu une épidémie d’une telle ampleur » explique un revendeur présent sur le salon.

Les stands des éditeurs de solutions de sécurité ont été pris d’assaut par les visiteurs cherchant des solutions et des parades contre cette nouvelle calamité. Bien que lutter contre ce ransomware soit devenu une priorité pour les éditeurs d’antivirus, il semblerait que la solution miracle n’existe pas. Locky ayant pour fâcheuse tendance de muter pour passer outre les protections. « Il n’y a pas de solution miracle pour s’en prémunir. Nous recommandons d’activer une solution antispam susceptible de bloquer les mails suspects et surtout de sauvegarder ses données sur un espace de stockage distant en prenant soin de les crypter et de ne pas les rendre accessible en mode partagé. » explique un revendeur.

Découvrez notre solution de sauvegarde de poste et de serveurs eaZySave

Cybersécurité : faut-il tirer la sonnette d’alarme ?

Selon plusieurs études récemment publiées, la cybersécurité des entreprises ne serait pas aussi efficace qu’il n’y parait. Alors que la tendance allait plutôt vers le mieux, il s’avèrerait qu’il n’en est rien. Ainsi, selon une étude réalisée par Sage (leader mondial de logiciel de comptabilité), 62% des entreprises ont déjà subi au moins une tentative de fraude. Pire, 12% en ont déjà subi au moins cinq.

Parmi les fraudes les plus courantes, la « fraude au président » semble être particulièrement appréciée par les hackers. Le but étant de se faire passer pour un dirigeant afin d’obtenir un virement à l’étranger. Et 80% des entreprises victimes ont rencontré cette pratique ! Ce type d’attaque, appelé communément ingénierie sociale, demeure néanmoins assez méconnu puisque d’après une étude Solucom/Conscio, 46% des collaborateurs ne sont pas préparés à réagir à de telles pratiques.

Ces attaques sont aussi le moyen d’intégrer des ransomware (logiciel de rançonnage) dans le système. D’après Cisco, elles généreraient près de 34 millions de dollars chaque année. De plus, la compromission des domaines WordPress auraient également augmenté de 221% entre février et octobre 2015 !

Enfin, le temps de détection d’une intrusion dans le système serait estimé entre 100 et 200 jours.

Des statistiques sans équivoque qui poussent, une fois de plus, à ne pas prendre la cybersécurité à la légère.

Découvrez notre solution de protection eaZySecure !