Réduire à zéro les attaques zero-day

Réduire à zéro les attaques zero-day

Une attaque zero-day est une attaque qui cible des vulnérabilités logicielles connues du public, mais qui ne sont pas encore corrigées.

C’est ce qu’on appelle la « fenêtre de vulnérabilité ». Les pirates informatiques se concentrent sur la recherche de vulnérabilités dans des logiciels largement utilisés tels que Windows, les navigateurs et les logiciels de sécurité. Les attaques zero-day ont touché les produits Adobe (Flash, Reader), Internet Explorer, Java, Mozilla Firefox, Windows, Microsoft Office, et bien d’autres.

Une fois qu’une vulnérabilité est découverte, la communauté de pirates est alertée par le biais des réseaux sociaux, de chats et d’e-mails. Les pirates s’activent ensuite à développer des kits d’exploitation pour tirer parti de la vulnérabilité. Des codes ou des kits d’exploitation sont alors mis en vente sur Internet.

Des efforts sont actuellement en cours pour réglementer la vente des kits d’exploitation zero-day. La politicienne néerlandaise Marietje Schaake a fait campagne pour des lois visant à limiter le commerce de ce qu’elle appelle des « armes numériques ».

Bien entendu, les éditeurs de logiciels testent leurs produits avant de les expédier. Mais le progiciel d’aujourd’hui est vaste et compliqué. Certains éditeurs proposent une version bêta d’un paquet logiciel à un certain nombre de clients afin de résoudre les problèmes avant le début de la production. D’autres emploient des sociétés de test ou des pirates white hat pour « battre le logiciel à mort ».

Minimiser l’impact des attaques zero-day

Une fois le logiciel expédié, certains fournisseurs tentent de minimiser l’impact des attaques zero-day en essayant de trouver les bugs avant les pirates. Les fournisseurs recherchent des sites de pirates informatiques, des blogs et des sites sociaux populaires à la recherche de personnes qui reportent des bugs.

Ce programme, plus connu sous le nom de « Bug bounty », consiste à récompenser les pirates qui reportent des bugs documentés. Les primes varient normalement entre 100 $ et 500 $.

Les pirates attirés par ces offres sont prêts à s’abonner à des sites Web tels que bugcrowd.com et hackerone.com pour trouver des programmes de Bug bounties. La plupart des principaux fournisseurs de logiciels (à l’exception d’Apple) ont de tels programmes, notamment Facebook Whitehat Program, Google Vulnerability Reward Program, Microsoft Online Services Bug Bounty Program et Mozilla Bug Bounty.

Ces programmes sont une volte-face des attitudes typiques des fournisseurs à l’égard des vulnérabilités il y a quelques années à peine. Les universitaires – et encore moins les pirates informatiques qui ont envoyé des informations sur les vulnérabilités à un fournisseur – pourraient être menacés de poursuites judiciaires s’ils divulguaient ces vulnérabilités.

La controverse sur la divulgation

La divulgation des vulnérabilités est vivement contestée. Certains pensent qu’elle peut conduire à d’autres attaques. D’autres pensent toutefois que, sans au moins la menace de divulgation, un fournisseur de logiciels n’a aucune raison de créer un correctif.

Gardez à l’esprit que les vulnérabilités affectent les utilisateurs beaucoup plus qu’elles n’affectent les fournisseurs. Les utilisateurs ont déjà payé pour leur logiciel, mais les fournisseurs ne réagissent que si la communauté des utilisateurs demande des correctifs. Cela signifie que les fournisseurs ont tendance à ne créer des correctifs que pour les logiciels ayant une large base installée.

Il existe deux approches principales en matière de divulgation :

La « divulgation complète » révèle tous les détails de la vulnérabilité, ce qui fait pression sur le fournisseur pour qu’il trouve rapidement une solution.

Aux États-Unis, la « divulgation responsable » se produit lorsque le fournisseur est avisé de manière confidentielle deux semaines avant que le CERT (Computer Emergency Readiness Team) soit avisé. Le fournisseur de logiciel dispose donc d’un délai de grâce de 45 jours pour publier un avis de sécurité. Théoriquement, cela lui donne le temps de coder et de publier un correctif.

Une fois qu’une vulnérabilité est exposée, elle est répertoriée dans un système accessible au public appelé Common Vulnerabilities and Exposures (Vulnérabilités et expositions communes) à l’adresse https://cve.mitre.org/. Sur ce site, chaque vulnérabilité est classée en utilisant le Common Vulnerability Scoring System.

Une fois répertoriée, la vulnérabilité devient connue du grand public

Une vulnérabilité peut également être trouvée par le fournisseur du logiciel lui-même. Dans ce cas, il a tendance à le garder secret jusqu’à ce qu’un correctif soit prêt à être distribué. Dans certains cas, cependant, il est annoncé publiquement si les utilisateurs peuvent prendre des mesures pour éviter le problème. Par exemple, si le bug dans un logiciel de comptabilité survient seulement pendant le traitement de fin de trimestre, cette activité peut être reportée jusqu’à ce qu’un correctif soit publié.

Si la vulnérabilité est connue du public, mais que le fournisseur n’a pas de correctif, les pirates informatiques peuvent lancer des attaques zero-day. Qu’est-ce qui protège donc l’utilisateur jusqu’à ce que le patch soit disponible ?

Il n’existe pas de solution unique pour protéger un réseau contre toutes les attaques du type « zero-day », car il y a trop de variantes de vulnérabilités qui nécessitent des solutions différentes. Cependant, même si votre système est une cible, il existe des solutions pouvant repousser de nombreuses attaques. On compte par exemple l’antispam, l’antivirus, l’utilisation de réseaux locaux virtuels (LAN) pour protéger les données transmises, l’utilisation d’un système WiFi sécurisé pour se protéger contre les attaques de malwares et les logiciels de filtrage de contenu web.

Quand le correctif est prêt

Après la publication d’un correctif, vous seriez surpris du nombre d’utilisateurs qui ne l’appliquent pas à temps.

Pourtant, il est essentiel pour la sécurité du réseau de garder le logiciel à jour, y compris les navigateurs, les systèmes d’exploitation, les plug-ins de navigateur et les applications telles que Microsoft Office. En effet, les auteurs de malwares peuvent exploiter rapidement les vulnérabilités des anciennes versions de logiciels populaires.

La plupart des attaques se produisent parce que les utilisateurs ne patchent pas leurs logiciels et leur matériel pour détecter les vulnérabilités connues. Selon FireEye, il y a eu 21 kits d’exploitation zero-day sur une période de plus de 2 ans, impliquant Internet Explorer, Microsoft Office, Adobe Flash, Java, et autres. Ils ont sans aucun doute été utilisés pour des attaques. Mais ce nombre est faible par rapport au nombre total de kits d’exploitation qui ont été corrigés par les éditeurs de logiciels.

Microsoft publie ses mises à jour de sécurité appelées « Patch Tuesday » le deuxième mardi de chaque mois. Les pirates informatiques connaissent ce cycle de correctifs et ciblent les logiciels Microsoft immédiatement après la livraison des mises à jour. Ainsi, ils peuvent inverser le code de mise à jour pour créer des kits d’exploitation. À noter que les mises à jour de sécurité importantes n’ont pas lieu avant le « Patch Tuesday ». C’est pourquoi les utilisateurs reçoivent un petit nombre de correctifs tout au long du mois.

Les entreprises de toutes tailles sont menacées par des malwares. Ne laissez pas la sécurité de vos informations critiques au hasard. Les données de votre entreprise sont trop précieuses pour ne pas être laissées sans protection et nécessitent une approche globale de la sécurité par couches pour les mettre à l’abri des dangers.

Inscrivez-vous au blog de TitanHQ et restez au courant des dernières nouvelles en matière de sécurité sur le web et par e-mail.

Une fuite de données chez DocuSign mène à une campagne de phishing ciblée

Une fuite de données chez DocuSign mène à une campagne de phishing ciblée

Une récente vague d’e-mails de phishing chez le fournisseur de technologie de signature numérique DocuSign a été liée à une atteinte à la protection des données.

Un pirate informatique a eu accès à un sous-système périphérique qu’il a utilisé pour transmettre des informations aux utilisateurs par le biais de la messagerie électronique et pour voler leurs adresses électroniques. La société privée, qui fabrique des logiciels pour ajouter des signatures électroniques conformes à la loi, a indiqué que seules les adresses e-mail ont été consultées.

L’atteinte à la protection des données a été découverte au cours des deux dernières semaines lorsque des campagnes de spams ciblant des clients ont été détectées. Comme c’est souvent le cas pour les attaques de phishing, tous les e-mails utilisaient une marque officielle et ont été créés pour ressembler aux e-mails officiels de DocuSign.

Les lignes d’objet des e-mails étaient également typiques des récentes escroqueries de phishing de PDG, faisant référence à des factures et des instructions de virement électronique. Les e-mails de phishing contenaient un lien vers un document Microsoft Word téléchargeable qui contient un malware.

L’atteinte à la protection des données n’a concerné que les titulaires de compte DocuSign, et non les utilisateurs enregistrés sur le système eSignature. On ne sait pas exactement combien d’adresses e-mail ont été volées, mais sur le site web de DocuSign, l’entreprise indique qu’elle compte plus de 200 millions d’utilisateurs.

Basée à San Francisco, l’entreprise DocuSign a suivi les e-mails de phishing et rapporté qu’il y a deux variantes principales de lignes d’objet, à savoir « Terminé : docusign.com – Instructions de Transfert par Virement électronique pour *nom du destinataire*, Document Prêt pour Signature », ou « Terminé *nom de l’entreprise* – Facture Comptable *numéro* Document Prêt pour Signature ».

En réfléchissant et en planifiant soigneusement leur politique de sécurité web, les organisations peuvent réduire considérablement leur exposition à une attaque de phishing et à une atteinte potentielle à la sécurité des données. Sans cela, elles risquent de subir des pertes financières directes et leur réputation pourrait gravement être atteinte.

Vous êtes un professionnel de l’informatique et vous voulez vous assurer que les données et les appareils sensibles de vos clients et de votre personnel soient protégés ?  Parlez à un de nos spécialistes de la sécurité web ou envoyez-nous un e-mail à info@titanhq.fr pour toute question.

Comment se protéger contre les attaques de ransomwares ?

Comment se protéger contre les attaques de ransomwares ?

Les attaques de ransomwares sont de plus en plus fréquentes, mais vous pouvez vous protéger !

Les ransomwares sont une variante moderne de malwares, qui combinent des tactiques sophistiquées et basiques. Les cybercriminels ne demandent généralement pas de montants exorbitants, étant donné que la rançon se situe généralement entre 300 $ et 1 000 $.

Cependant, sachez que le Hollywood Presbyterian Medical Center a dû payer 17 000 $ à cause d’une attaque impliquant l’accès à ses propres données. À cela s’ajoutaient la perte de revenus et la perte de réputation de l’entreprise suite à l’attaque, le temps que le centre puisse se redresser.

Il n’existe aucun paquet ou ensemble de pratiques uniques qui immunisera un réseau contre une attaque de ransomwares. De plus, les auteurs de malwares modifient continuellement leur « produit ». Par exemple, une infection commence habituellement par des e-mails de phishing. Cela se produit lorsqu’un utilisateur clique sur un lien JavaScript dans un e-mail ou télécharge un document joint contenant des macros qui lancent le ransomware.

À l’origine, les ransomwares utilisaient exclusivement des documents Microsoft Office avec des scripts VBA malveillants. Maintenant, n’importe quelle application et tout document qui exécute le code JavaScript peuvent lancer l’attaque. Cependant, il existe de nombreuses mesures qu’une organisation peut prendre pour atténuer les dépenses liées aux rançons, voire prévenir une attaque de ransomwares.

Mesures générales de sécurité pour se protéger contre les ransomwares

Les petites organisations peuvent éventuellement utiliser des listes blanches pour restreindre l’accès à un nombre limité de sites web et d’applications.

C’est une excellente solution, mais elle est peu pratique pour la plupart des grandes entreprises.

Restriction des privilèges

L’une des mesures souvent négligées consiste à limiter les privilèges de l’utilisateur. Cela devrait être fait sur une base régulière, que ce soit pour se protéger des ransomwares ou non. La fréquence requise dépend du taux de roulement et de mutation au sein de l’organisation.

Les privilèges d’utilisateur « Runaway » peuvent provoquer la propagation de n’importe quel malware comme une traînée de poudre sur le réseau, ce qui le rend difficile à éliminer.

Certes, un audit complet des privilèges des utilisateurs représente une tâche ardue. Mais pour commencer, vous pouvez attribuer des privilèges aux utilisateurs pour les tâches administratives telles que la sauvegarde, les serveurs et le support réseau. Pour réduire au minimum l’utilisation des comptes administratifs, n’autorisez pas ces comptes à recevoir des e-mails et assignez à des employés ayant des rôles administratifs leurs propres comptes restreints habituels pour une utilisation quotidienne.

Configuration du pare-feu

Utiliser un pare-feu moderne est essentiel pour protéger votre réseau. Comme les menaces évoluent en permanence, vous devriez donc utiliser un service de mise à jour qui bloque automatiquement les dernières menaces connues.

De nombreux sites web non classés par catégorie sont utilisés dans le cadre de campagnes de phishing ciblées qui distribuent des malwares. Ainsi, il importe de configurer votre pare-feu/proxy, de manière à ce qu’il nécessite l’interaction des utilisateurs finaux — par exemple en intégrant un bouton « continuer » —, qui communiquent avec des sites web non catégorisés.

Comment se protéger contre les attaques de ransomwares ?

  • Maintenez vos logiciels à jour. Cela n’empêchera pas les kits d’exploitation « zéro-day » d’attaquer votre organisation, mais corrigera les vulnérabilités logicielles les plus récentes.
  • Déployez un « endpoint » qui empêche les appareils contenant des malwares, des logiciels manquants d’accéder au réseau et maintenez les correctifs à jour.
  • Désactivez les scripts et macros Microsoft Office. Dans un environnement Microsoft Server, cela nécessite la modification de la stratégie de groupe Active Directory. Avant de mettre en œuvre cette politique, vérifiez qu’aucun département ne serait affecté. Certains bureaux utilisent des templates et des applications avec Visual Basic comme substitut aux logiciels de comptabilité et de vente.
  • Les services informatiques devraient bloquer les réseaux informatiques superposés (TOR) puisque le réseau et les serveurs mandataires des TOR sont couramment utilisés par la majorité des ransomwares.
  • Pour les lecteurs Dropbox, Google, OneDrive et iCloud, chaque utilisateur doit, autant que possible, mettre en pause la synchronisation. Beaucoup d’utilisateurs ne savent pas comment le faire. Envoyez un mémo ou un e-mail ou ajoutez les étapes à votre bannière de connexion pour former les utilisateurs.
  • Implémentez plusieurs produits antimalware pour augmenter vos chances d’empêcher une infection de se produire. À noter qu’aucune solution antimalware ne détecte à elle seule toutes les infections possibles. L’utilisation d’une combinaison de produits réputés renforce grandement votre défense. Assurez-vous également d’implémenter des paquets compatibles entre eux (bien entendu, tous les paquets ne le sont pas).
  • Installez un filtre antispam avancé pour les e-mails. Les attaques de ransomwares commencent par un e-mail de phishing. Une solution filtrage de spams peut donc constituer votre première ligne de défense.

Conception d’une stratégie de sauvegarde pour minimiser l’impact des ransomwares

Si votre organisation dispose d’un bon ensemble de sauvegardes, elle aura le choix de payer ou non la rançon en cas d’attaque de ransomware. Sinon, vous n’aurez pas d’autre choix que de payer.

La seule façon de savoir si vous disposez d’un bon ensemble de sauvegardes est de les tester en effectuant une restauration. Dans le cadre d’une maintenance mensuelle, testez la restauration de vos données à partir des solutions de sauvegarde différentes.

Il n’est pas rare que les sauvegardes soient mal configurées ou incomplètes en raison d’une augmentation inattendue de la taille du support requis. En même temps, assurez-vous de vérifier les privilèges de l’utilisateur pour la sauvegarde.

Au sein de la communauté Spiceworks, les professionnels de l’informatique ont discuté de la façon dont ils ont changé leur stratégie de sauvegarde face aux menaces des ransomwares. La plupart des participants ont mis en place plus de procédures de sauvegarde, notamment en stockant leurs données dans plus d’endroits qu’auparavant.

Heureusement, les options de sauvegarde sont plus nombreuses que jamais. La déduplication est par exemple essentielle pour les organisations qui disposent d’un volume considérable de données. La technologie Snapshot (avec des sauvegardes adéquates) peut aussi vous permettre de mettre à jour les données de votre entreprise en un clin d’œil.

Sur ce point, voici quelques conseils à prendre en compte :

Sauvegardez souvent les données

  • Respectez la règle 3-2-1, en conservant au moins trois copies de vos données dans deux formats différents, dont une copie est stockée hors site. Mieux encore, considérez 4 copies, 3 supports différents et gardez 2 copies hors site.
  • Certains ransomwares n’infectent que les lecteurs réseau locaux et mappés. (Rappelez-vous que les lecteurs réseau mappés peuvent inclure Dropbox, Google Drive, etc.). Utilisez la sauvegarde dans le cloud, telle qu’AWS, en guise d’assurance en cas d’attaque ou de sinistre.
  • Dans le cas d’une attaque massive de malwares, les PC utilisateurs devraient faire l’objet d’une réflexion après coup. Des ressources informatiques sont nécessaires pour la restauration des données critiques. Si ces données se trouvent sur un seul PC, profitez-en pour les transférer sur un lecteur réseau.

La formation des utilisateurs est une étape importante

Si seulement Sally n’avait pas cliqué sur ce lien dans son courrier électronique, il n’y aurait pas de rançon à payer ! C’est vrai, la plupart des ransomwares sont livrés par messagerie électronique. Les thèmes typiques incluent les arnaques sur les factures et les avis d’expédition. Il est logique que le meilleur moyen de protéger votre organisation consiste former les utilisateurs finaux sur les menaces et les bonnes pratiques liées au phishing.

Dites NON au ransomware. Empêchez les e-mails de ransomwares d’atteindre vos utilisateurs avec SpamTitan.

Comment protéger les hotspots WiFi avec une protection DNS ?

Comment protéger les hotspots WiFi avec une protection DNS ?

Le filtrage du contenu d’un site web sur un réseau local vous protège contre les attaques de phishing et de malwares. Mais la protection des points d’accès hotspot WiFi est beaucoup plus difficile.

Les administrateurs n’ont aucun contrôle sur les réseaux externes. Pourtant, il n’est pas rare que les employés se connectent à des points d’accès WiFi en utilisant des appareils mobiles et des téléphones intelligents.

Bien que les points d’accès puissent sembler sûr, les attaquants peuvent les cibler dans l’espoir de compromettre des dispositifs et des connexions mal sécurisés, en faisant appel aux attaques de l’homme du milieu (Man in the Middle), de phishing et de malwares.

Menaces WiFi courantes pour les utilisateurs mobiles

Le fait d’avoir un antimalware sur un appareil mobile devrait faire partie de votre politique de sécurité, mais en général, ces applications ne détectent pas les programmes malveillants de type « zero-day ». L’intelligence artificielle et les mises à jour fréquentes ont amélioré l’efficacité de la détection des malwares, mais ce n’est qu’après que l’utilisateur a téléchargé le contenu que ces applications déclenchent les systèmes de défense.

Les attaques de phishing intelligentes, avec des malwares attachés et intelligemment conçus pour éviter la détection, exposent les appareils des employés à un risque.

Les attaquants utilisent leurs propres points d’accès WiFi à proximité du point d’accès officiel pour amener les utilisateurs à s’y connecter. Imaginez un utilisateur de Starbucks qui cherche un hotspot avec un signal fort. Un attaquant pourrait nommer un point d’accès malveillant « starbucks01 » et amener les utilisateurs à s’y connecter. Ceci étant fait, toutes les données non chiffrées et transmises depuis le navigateur de l’utilisateur vers un serveur cible seraient sujettes à une attaque Man in the Middle.

Les attaques de phishing peuvent être bloquées par les filtres de messagerie, mais les attaquants intelligents sont toujours capables de les contourner. Il suffit d’une seule attaque de phishing réussie pour qu’une entreprise perde des millions d’enregistrements de données, que ce soit par le biais des informations d’identification volées ou par des malwares. Les sites malveillants connus peuvent être filtrés de nombreuses façons différentes. Par contre, il est plus difficile de détecter les sites nouvellement enregistrés.

La protection DNS contre les menaces WiFi

L’ajout d’un antimalware sur les périphériques devrait être une procédure standard.

L’ajout d’une protection DNS au réseau et aux connexions mobiles devrait également faire partie des moyens de défense de toute organisation. La protection DNS empêche tout contenu malveillant d’atteindre votre réseau ou vos périphériques utilisateur pendant le processus de recherche DNS.

Pour comprendre le fonctionnement des filtres DNS, vous devez d’abord comprendre comment un navigateur web se connecte à une application web. Pour chaque application web disposant d’une adresse IP accessible au public, un navigateur effectue d’abord une recherche DNS.

Cette recherche correspond au Nom de Domaine Complètement Qualifié (FQDN) avec l’adresse IP. Une fois que le navigateur a reçu l’adresse IP associée à un FQDN, il contacte le serveur et télécharge le contenu sur l’appareil local. Ce n’est qu’après le téléchargement du contenu que l’antimalware peut identifier le fichier malveillant et empêcher l’utilisateur de l’ouvrir.

Avec la protection DNS, une étape supplémentaire est ajoutée lorsque l’adresse IP est croisée avec une liste de sites d’attaques connus. Si une correspondance est trouvée, l’utilisateur ne peut pas accéder au site et aucun fichier n’est téléchargé. En effet, il ne peut pas ouvrir le site dans un navigateur. La machine locale et le réseau sont donc entièrement protégés du contenu téléchargé.

Ainsi, les utilisateurs ne pourront pas se faire voler leurs informations d’identification dans un e-mail de phishing contenant un lien qui pointe vers un site malveillant, car toute application nécessitant une recherche d’adresse IP à partir d’un navigateur sera vérifiée à l’aide de la protection DNS. Et comme cette fonctionnalité fait partie intégrante de la connectivité Internet, les attaques qui utilisent des connexions web ne peuvent pas l’éviter.

Protection de votre réseau WiFi

La protection DNS ne protège pas uniquement les périphériques locaux contre les attaques cybercriminelles. Comme tout ordinateur qui se connecte à un point d’accès WiFi fait partie du réseau local, les entreprises qui offrent ces points d’accès devraient toujours avoir un pare-feu séparant le réseau WiFi public et le réseau interne. Néanmoins, les appareils connectés au sous-réseau WiFi peuvent partager des ressources et stocker des fichiers sur toutes les ressources de ce sous-réseau. Avec la protection DNS, une organisation protège ce réseau local contre les éventuelles attaques.

Lorsque les utilisateurs se connectent à un point d’accès WiFi, ils ne peuvent plus se connecter aux applications web publiques s’ils sont mis sur liste noire par filtrage DNS. Cette implémentation de sécurité protège non seulement les ressources de votre hotspot local, mais aussi les autres périphériques connectés au WiFi public.

Fonctionnement du filtrage DNS

Tout filtre DNS que vous ajoutez à votre réseau ne doit avoir aucune latence, sinon les utilisateurs verront leur navigation internet ralentie. Vous pouvez mettre sur liste blanche tous les faux positifs et mettre manuellement sur liste noire les sites que vous ne voulez pas autoriser sur un réseau WiFi public.

Parce que la protection DNS est évolutive, elle est bénéfique pour les petites comme pour les grandes entreprises. Elle devrait faire partie de tout point d’accès WiFi pour une défense complète contre les contenus malveillants. Qu’il s’agisse de protéger les utilisateurs mobiles ou de se défendre contre le téléchargement de contenus malveillants, votre point d’accès WiFi doit être doté de la cybersécurité adéquate. Autrement, il pourrait constituer un endroit où les attaquants peuvent lancer des malwares, des attaques DDoS ou des attaques Man in the Middle.

Attaques Man in the Middle

Les attaques Man in the Middle sont une forme courante d’attaques contre les personnes utilisant le WiFi public. Un pirate informatique capture les données que vous envoyez.

La plupart d’entre eux utilisent cette méthode pour exploiter des failles dans des applications ou des sites Web qui leur permettent de visualiser les informations transmises, y compris les renseignements bancaires, les mots de passe, les renseignements personnels d’identification et les autres données qui pourraient être utilisées pour le vol d’identité.

Le type d’attaque Man in the Middle le plus courant est celui qui se produit sur des réseaux WiFi non chiffrés et non sécurisés.

Le moyen le plus simple pour un attaquant d’exploiter le WiFi public est de se positionner entre les utilisateurs et le routeur. Une attaque Man in the Middle est comme une écoute clandestine via laquelle un attaquant peut se placer entre deux points A et B et intercepter des données. Parfois, ces données peuvent être modifiées au cours du processus de transmission pour amener la victime à divulguer des informations sensibles, comme les informations d’identification. La victime ne remarquera probablement jamais que quelque chose ne va pas. Une fois que l’utilisateur tombe dans le piège, ses données sont collectées par le pirate.

Pour les utilisateurs utilisant des mots de passe faibles, même si ce mot de passe est chiffré, cela ne prendra pas longtemps avant que l’attaquant parvienne à le déchiffrer. Apprenez à créer un mot de passe solide, ce qui le rendra plus difficile à pirater. La sécurité de votre réseau WiFi dépend de la fiabilité de tous les périphériques qui s’y connectent. Lorsqu’un utilisateur approuve accidentellement une partie malveillante, le réseau dans son ensemble peut donc être compromis.

Prochaines étapes

Si vous souhaitez évaluer les avantages du logiciel de filtrage DNS de TitanHQ dans votre propre environnement, contactez-nous et demandez les détails sur notre essai gratuit. Notre équipe d’ingénieurs expérimentés répondra à toutes vos questions sur les logiciels de filtrage Internet DNS et vous guidera tout au long du processus d’inscription à votre essai gratuit.

Une fois que vous serez inscrit, nous vous guiderons tout au long du processus de redirection de votre DNS afin que vous puissiez bénéficier de notre service. Aucune carte de crédit n’est requise pour essayer WebTitan. Il n’y a aucun contrat à signer ni engagement de votre part à continuer avec notre logiciel de filtrage DNS une fois la période d’essai terminée.

Appelez-nous dès aujourd’hui pour ajouter un niveau de sécurité supplémentaire aux activités sur le web de votre organisation en quelques minutes seulement.

Le ransomware Locky se propage via des spams de fausses factures à un rythme alarmant

Le ransomware Locky se propage via des spams de fausses factures à un rythme alarmant

Le ransomware Locky est distribué via des spams contenant des pièces jointes infectées et des liens vers des sites web malveillants. Cette nouvelle souche de ransomware utilise l’extension de fichier .locky lorsque tous vos fichiers importants ont été chiffrés.

Alors que nous entrons dans le deuxième trimestre de 2016, les demandes de rançon distribuées par le biais des spams de fausses factures continuent de faire les gros titres en matière de sécurité informatique. De nouvelles souches apparaissent chaque jour et leurs méthodes d’infection changent. Le dernier-né, Locky, tente de brouiller de nombreux fichiers sur tous les disques qu’il peut trouver. Cela inclut les lecteurs amovibles, les partages réseau et les lecteurs mappés sous Windows, Linux ou MAC OSX.

Comme pour tous les ransomwares, vous ne pouvez déchiffrer vos fichiers qu’une fois que vous avez payé la rançon. Les victimes sont invitées à visiter le dark-web et à payer les escrocs en bitcoins, après quoi la clé de déchiffrement est fournie.

Cela dit, l’attaque semble similaire à celles des autres ransomwares. La différence ici est la façon dont le logiciel malveillant est distribué.

La principale source d’infection est spam, la plupart du temps déguisé en fausses factures. La pièce jointe est un document Word contenant le vénérable vieux porteur de virus : la macro. C’était la méthode de prédilection des auteurs de virus à la fin des années 1990 et, en tant que telle, elle avait été reléguée à l’histoire une fois que Microsoft avait pratiquement désactivé la fonction d’exécution automatique.

Toutefois, avec Locky, le destinataire est invité à activer l’édition dans le document, ce qui permet l’exécution du malware. Cette pratique a été assez efficace pour persuader le lecteur innocent de cliquer sur le bouton jaune « Enable Editing ».

Une fois la macro exécutée, elle télécharge le ransomware, qui commence alors le chiffrement de tous vos précieux fichiers.

Les campagnes de spams Locky sont bien pourvues en ressources

Des rapports suggèrent que les campagnes de spams de Locky étaient bien financées, à une échelle beaucoup plus grande que la plupart des autres attaques. De nombreux e-mails avaient un sujet qui commençait par « ATTN: Invoice… » ou « Tracking documents ».

Le malware s’est répandu très rapidement — ce qui a surpris de nombreux éditeurs de logiciels antivirus — et a frappé des entreprises qui n’avaient aucune politique de mises à jour régulières et fréquentes de leur sécurité informatique.

Les victimes ont reçu un message de ce type sur leurs ordinateurs :

Malgré sa notoriété, le ransomware n’est qu’un autre type de malware qui menace les données de votre entreprise, votre réputation ou votre solde bancaire. Ce qui est inquiétant, c’est le fait que les criminels utilisent des escroqueries de plus en plus convaincantes pour persuader leurs victimes d’ouvrir des pièces jointes malveillantes ou de suivre des liens vers des sites web douteux.

Malgré toutes les informations et les avertissements destinés à rendre les utilisateurs d’ordinateurs méfiants face aux e-mails non sollicités, les cybercriminels trouvent davantage de moyens efficaces qui rendent leurs messages aussi légitimes et innocents que possible.

Les campagnes de spam semblent aujourd’hui plus localisées, c’est-à-dire qu’elles sont lancées dans le pays ou même la région de la victime. Les sujets sont familiers et le message, ainsi que la pièce jointe, prétendent concerner les processus et les services communs au destinataire. Les e-mails provenant des entreprises, des services publics, des organisations partenaires et des fournisseurs légitimes sont couramment utilisés pour tromper les gens à ouvrir le document ou à cliquer sur le lien fourni. Même la personne la mieux informée et intentionnée pourrait donc être dupée.

Tout cela signifie qu’un simple antivirus et une base d’utilisateurs bien informés ne suffisent plus pour vous protéger et pour protéger vos données.

Mieux vaut donc prévenir que guérir, surtout lorsque la guérison ne sera pas possible sans payer les criminels.

Votre meilleure protection est un ensemble de défenses à plusieurs niveaux

Vous ne pouvez plus vous fier à un ou deux systèmes pour vous protéger d’un attaquant déterminé. Au lieu de cela, vous devriez disposer de plusieurs systèmes pour défendre à nouveau les multiples « vecteurs d’attaque » pouvant être utilisées par les criminels.

Jetons un coup d’œil aux solutions que vous devriez mettre en place :

Sauvegarde

C’est votre dernière ligne de défense contre les ransomwares.

Les sauvegardes hors site vous sauveront non seulement en cas d’attaque de malwares, mais aussi dans de nombreuses situations désastreuses.

Utilisez des sauvegardes chiffrées pour sécuriser vos données.

Patchs

Assurez-vous que votre système d’exploitation et vos logiciels de productivité sont à jour. Pour ce faire, vous pouvez utiliser des mises à jour sur Internet ou créer des systèmes de mise à jour internes.

Les mises à jour logicielles comprendront fréquemment des correctifs pour les vulnérabilités de sécurité nouvellement découvertes et qui pourraient être exploitées par des attaquants.

Effectuez un correctif complet de l’application tierce (en plus des correctifs du système d’exploitation). Certains logiciels tiers, comme Adobe Flash, sont souvent la cible de malwares et doivent être tenus à jour.

Maintenez à jour vos logiciels de sécurité et antivirus

La qualité de vos solutions antivirus, antispam et de filtrage de contenu dépend de la qualité de leur dernière mise à jour.

Vous devez conserver une politique de mise à jour régulière et fréquente pour vous protéger des dernières menaces. Faire cela une fois par jour ne suffit pas !

Tests d’intrusion

Effectuez régulièrement des évaluations de la sécurité de votre réseau et des tests de pénétration pour découvrir les vulnérabilités inconnues.

Systèmes de sécurité web

Utilisez une approche de la sécurité par couches afin de protéger vos utilisateurs et vos systèmes contre les malwares.

Utilisez des logiciels de sécurisation des nœuds d’extrémité

Cela inclut les pare-feu basés sur le client.

Logiciel d’analyse des e-mails

  • Bloquez les fichiers exécutables et les autres types de fichiers malveillants ou indésirables.
  • Listes de blocage en temps réel
  • Analyse antispam
  • Analyse antivirus
  • Contrôle du contenu

Analyse du web

  • Analyse antivirus
  • Protection contre les malwares
  • filtrage des URL
  • analyse SSL
  • Bloquez les fichiers exécutables et autres types de fichiers malveillants ou indésirables.
  • Gestion des applications

Autres solutions de sécurité du réseau

  • Pare-feu
  • Inspection dynamique des paquets
  • Système de prévention d’intrusions (IPS)

Ce qui est certain au sujet des attaques de ransomwares, c’est qu’il est pratiquement impossible de récupérer vos données chiffrées suite à un tel incident. Il est donc préférable de vous protéger correctement dès le départ.

On ne saurait trop insister sur l’importance des sauvegardes dans la lutte contre les ransomwares. Il est essentiel de sauvegarder les fichiers pour pouvoir les récupérer après une attaque de ransomware et de s’assurer que le disque de sauvegarde n’est pas accessible par un malware.