Satan, Spora et autres nouvelles variantes de ransomwares

Satan, Spora et autres nouvelles variantes de ransomwares

L’année qui vient de s’écouler dépasse probablement les attentes après l’identification, en janvier, de nouvelles souches de malwares intitulées Popcorn Time et Spora. Désormais, une nouvelle souche a dévoilé sa présence sombre et porte bien son nom, Satan.

Satan est la dernière menace malveillante dévoilée sous la forme de Ransomware as a Service ou RaaS. La prémisse derrière RaaS est similaire à la plupart des offres de Software as a Service dans la mesure où une nouvelle variante de ransomware est créée et ensuite commercialisée via des canaux de distribution pour que les clients puissent l’acheter. Les pirates informatiques ayant peu de connaissances ou de compétences ainsi que les gens ordinaires avec peu ou pas de scrupules peuvent s’abonner à RaaS et essentiellement démarrer une entreprise d’extorsion clé en main. Ils peuvent ensuite distribuer des malwares aux victimes potentielles dans l’espoir d’en tirer profit. Chaque fois qu’une victime paie une rançon, l’abonné et le créateur de la rançon se partagent la prise.

Comment fonctionne le ransomware Satan ?

Le virus Satan est accessible via son site web dédié sur Tor, un réseau informatique superposé mondial et décentralisé.

Contrairement aux formes antérieures de RaaS qui facturent des frais initiaux, allant de 39 à 400 $, Satan est gratuit. Le site affiche bien en évidence l’explication suivante :

  • Satan est libre. Il vous suffit de vous inscrire sur le site.
  • Satan est très facile à déployer. Vous pouvez créer votre ransomware en moins d’une minute.
  • Satan utilise Tor et l’anonymat Bitcoin.
  • L’exécutable de Satan n’est que de 170 kb.

En plus du logiciel de ransomware, les créateurs offrent un certain nombre de fonctions supplémentaires, y compris les relevés de paiement des frais et le suivi des transactions afin que les abonnés puissent voir combien d’instances ont été fructueuses, ainsi que le montant de leurs paiements.

Afin d’aider les vrais amateurs, Satan propose des tutoriels faciles à suivre pour aider les abonnés à créer des compte-gouttes qui servent de mécanisme de diffusion des malwares par le biais d’un spam ou d’un téléchargement par drive-by. L’interface Satan comprend même une zone dans laquelle les abonnés peuvent traduire leur ransomware dans différentes langues afin de communiquer avec leurs victimes pour mieux les guider dans le processus de paiement.

Comme pour la plupart des versions récentes de ransomwares, il existe un portail de service à la clientèle qui permet aux abonnés d’émettre des demandes de service. Une fois inscrits, les abonnés se voient offrir une clé publique pour l’authentification à deux facteurs et sont tenus de connecter un portefeuille bitcoin à leur compte afin de recevoir leur part des paiements en cas d’obtention d’une rançon.

Pour tout cela, les créateurs de Satan ne prennent qu’une commission de 30 %, et ce taux peut être négocié une fois qu’un abonné atteint un volume élevé de transactions réussies. A noter que la rançon recommandée est actuellement de un bitcoin.

La prolifération des ransomwares

Les attaques de Satan et d’autres RaaS augmentent la prolifération des ransomwares, car un plus grand nombre de pirates, avertis ou non, participent à cette activité criminelle rentable.

En raison de la simplicité de la souscription et de la mise en œuvre du plan d’affaires de Satan, cette nouvelle version va certainement assombrir l’année à venir.

Autres nouvelles variantes de Ransomware

Les créateurs de ransomwares continuent d’intégrer les innovations dans leurs produits néfastes. Les dernières fonctionnalités incluent :

  • Fileless ransomware : Cette variante ne nécessite aucun téléchargement de fichier dédié pour implémenter le processus d’infection. Au lieu de cela, le code malveillant est soit intégré dans un langage de script natif, soit écrit directement en mémoire à l’aide d’outils administratifs légitimes tels que PowerShell, selon les experts en cybersécurité. Ainsi, rien ne doit être écrit sur le disque, ce qui signifie que les antivirus basés sur des signatures ne peuvent pas détecter leur présence.
  • De nouvelles variantes ciblent maintenant les Snapshots de copie D’ombre de Volume (VSS) et les suppriment, rendant impossible toute tentative de restauration à partir de fichiers de sauvegarde.
  • Fin janvier, une école d’infirmières de Californie a été victime d’une attaque de ransomware via une clé USB. Non seulement les fichiers locaux de la machine infectée ont été chiffrés, mais le malware était également capable d’attaquer le compte Google Drive de la victime puisque le service de synchronisation Google était exécuté sur l’appareil infecté. Comme il s’agissait de la seule solution de secours de la victime, tous les fichiers ont été perdus depuis que l’école a décidé de ne pas payer la rançon. La bonne nouvelle, c’est que l’infection était limitée à un seul appareil, car il était rapidement déconnecté du réseau dès sa découverte.
  • Dans la plupart des cas, les attaquants par ransomware ont limité leur cible au système d’exploitation Windows. Pourtant, de nouvelles fonctionnalités ont été découvertes dans lesquelles les cybercriminels commencent à cibler à la fois les systèmes UNIX et Linux afin d’élargir leur couverture et leurs possibilités de bénéficier des transactions réussies.

Heureusement jusqu’à présent, les taux d’infection et d’exposition enregistrés au malware Satan sont faibles. Cela dit, 2017 s’annonce comme une autre année sombre pour la sécurité des réseaux grâce au rythme croissant auquel les nouvelles variantes de ransomwares arrivent sur le marché. Actuellement, les ransomwares sont la menace de malwares dont la croissance est la plus rapide. Leur rythme d’évolution s’accélère également, rendant chaque nouvelle variante plus sophistiquée et plus dangereuse que son prédécesseur.

Les technologies de sécurité doivent être simples et faciles à déployer, car les complexités augmentent les risques de cybercriminalité. La sécurité doit être inhérente et omniprésente dans l’ensemble de l’entreprise, y compris l’ensemble du réseau, le centre de données, les points finaux et le cloud. Appuyez-vous sur vos fournisseurs de sécurité et mettez à profit leur expérience approfondie pour améliorer la sécurité de votre entreprise.

Spora : découverte d’un nouveau ransomware dangereux

Spora : découverte d’un nouveau ransomware dangereux

La lutte contre Locky et Samas a certainement été un casse-tête majeur pour les services informatiques. Ces deux variantes de ransomware ont été dotées de fonctions intelligentes conçues pour prévenir leur détection, pour faire croître les infections et pour infliger le plus de dommages possible, ne laissant souvent aux entreprises que le choix de payer la rançon.

Cependant, une nouvelle menace de ransomware est apparue, et elle pourrait bien être encore plus menaçante que Locky et Samas : Spora. Heureusement, ses auteurs semblent ne cibler que les utilisateurs russes, mais il est fort possible qu’ils changent de cibles. Une version russe du ransomware a été utilisée jusqu’à présent pour mener des attaques cybercriminelles, mais une version anglaise vient d’être créée. Les attaques de ransomware Spora seront bientôt un problème mondial.

Les pirates informatiques ont passé une grande partie de leur temps et ont concentré leurs efforts à la production de Spora et il est peu probable qu’une clé de déchiffrement soit créée en raison de la façon dont ce ransomware chiffre les données.

Contrairement à de nombreuses nouvelles attaques de ransomware qui dépendent d’un serveur de commande et de contrôle pour recevoir les instructions, Spora peut chiffrer les fichiers même si l’utilisateur est hors ligne. La fermeture de l’accès à Internet n’arrêtera pas l’infection. Il n’est pas non plus possible de restreindre l’accès au serveur C&C pour se protéger de cette attaque.

D’autres variantes de ransomwares ont été créées pour chiffrer les fichiers sans communication C&C, mais une seule clé permettait de les déchiffrer. Par contre, pour déchiffrer les fichiers infectés par Spora, les victimes doivent utilisent une clé de déchiffrement unique. Une clé publique RSA codée en dur est utilisée pour créer une clé AES unique pour chaque utilisateur. La clé AES est ensuite utilisée pour chiffrer la clé privée d’une paire de clés RSA publique/privé établie avec chaque victime, sans communication C&C. Par ailleurs, la clé RSA chiffre les clés AES séparées pour chaque utilisateur. Sans cette clé, qui est fournie par les pirates, la victime ne pourra pas déverrouiller les fichiers.

Ce processus de chiffrement complexe rend Spora unique, et ce n’est pas tout ! Contrairement à de nombreuses autres variantes de ransomwares, les pirates ne fixent pas le montant de la rançon. Cela donne aux pirates un certain degré de flexibilité et, ce qui est encore plus inquiétant, c’est que ce processus se produit automatiquement.

De par cette flexibilité, chaque entreprise victime de l’attaque peut se voir facturer un montant différent. L’ensemble de la rançon est calculé en fonction de l’étendue de l’infection et des types de fichiers chiffrés. Puisque Spora recueille des données sur l’utilisateur, lorsque le contact est établi pour payer la rançon, les montants peuvent facilement être modifiés.

Lorsque les victimes visitent le portail du pirate pour payer la rançon, elles doivent fournir le fichier clé infecté par le ransomware. Les fichiers clés contiennent une série de données sur l’utilisateur, y compris les détails de la campagne utilisée. Les hackers peuvent donc surveiller de près les infections et les campagnes. Ils peuvent ensuite réutiliser les campagnes qui réussissent et qui donnent lieu à un plus grand nombre de paiements pour atteindre d’autres cibles. Celles qui sont moins efficaces sont mises à l’oubli.

À l’heure actuelle, il existe un certain nombre d’options de paiement. Les victimes peuvent choisir de payer la rançon pour déverrouiller le chiffrement, ou de payer un montant supplémentaire pour éviter de futures attaques, en bénéficiant essentiellement d’une sorte d’immunité contre le ransomware.

Les experts d’Emisoft qui ont analysé Spora affirment qu’il est loin d’être une variante qui a été mise au point à la va-vite. Le groupe qui l’a conçu est très bien informé et le processus de chiffrement ne contient aucune faille, ce qui est rare pour une nouvelle variante de ransomware. La conception de la demande de rançon est écrite dans un format HTML. Le portail de paiement est très sophistiqué et contient une option de chat pour permettre la communication avec les hackers. La grande complexité de cette attaque est le fruit de beaucoup d’investissements et d’un travail acharné. De plus, il est peu probable que cette menace disparaisse rapidement. En fait, elle pourrait s’avérer l’une des menaces les plus graves à l’avenir.

L’infection se produit actuellement par le biais de spams contenant des pièces jointes ou des liens malveillants. Actuellement, les pièces jointes ressemblent à des factures PDF, bien qu’il s’agisse de fichiers HTA incluant du code JavaScript. La meilleure défense, c’est donc d’empêcher ces e-mails d’arriver dans les boites de réception des utilisateurs finaux. Une sauvegarde de vos données sera également nécessaire pour vous permettre de récupérer vos informations sensibles, plutôt que de payer la rançon.

Coût d’une attaque de ransomware : plus de 86 millions d’euros pour l’entreprise danoise Demant

Coût d’une attaque de ransomware : plus de 86 millions d’euros pour l’entreprise danoise Demant

Le coût d’une attaque de ransomware peut être considérable.

Aux États-Unis, à la suite de plusieurs attaques, des centaines de milliers de dollars ont été versés afin d’obtenir des clés qui permettaient de déverrouiller des fichiers chiffrés par les cybercriminels. Bien que le montant de la rançon soit élevé, cela ne représente qu’une fraction du coût total des dégâts causés par une attaque de ransomware.

En cas d’attaque de ransomware, le fait de ne pas payer une rançon peut causer d’énormes pertes pour les entreprises. Lors d’une attaque menée contre la ville de Baltimore, les pirates demandaient une rançon d’environ 69 000 euros. Baltimore a refusé de payer. Au total, on estime que cet incident a coûté au moins 16 millions d’euros à la ville.

Le coût de cet incident est élevé, mais ce n’est pas aussi important que celui subi par le fabricant danois d’appareils auditifs Demant après une attaque qui se serait produite le 3 septembre 2019, ou autour de cette date. Un mois plus tard, l’entreprise ne s’est pas encore remise d’une telle cybercriminalité. Dans un récent message adressé à ses investisseurs, Demant a déclaré que la cyberattaque aurait coûté entre 72 et 86 millions d’euros, même si la société détenait une police d’assurance cybernétique. Sans cette politique, les coûts auraient augmenté de plus de 13 millions d’euros.

Selon un avis publié sur son site Internet, l’entreprise a affirmé avoir connu « un incident critique » lorsque son « infrastructure informatique a été touchée par la cybercriminalité ». Cependant, elle n’a pas mentionné le nom du ransomware qui était à l’origine de l’incident.

Selon Demant, l’attaque a touché ses installations de production et de distribution en Pologne, ses sites de production d’implants cochléaires en France, ses sites de production et de service au Mexique, son site de production d’amplificateurs au Danemark, l’ensemble de son réseau Asie-Pacifique et son système ERP (Enterprise Resource Planning).

L’entreprise est en train de récupérer son infrastructure informatique et estime qu’il faudra encore deux semaines pour que les systèmes soient restaurés et que les opérations commerciales reviennent à la normale. Toutefois, les effets de cette attaque pourraient durer longtemps.

En effet, l’entreprise ne pouvait pas accéder à ses systèmes dans tous ces sites et cela a causé des perturbations majeures. Elle n’a pas été en mesure de fournir ses produits, de recevoir et de traiter les commandes, et les cliniques de son réseau ont eu des difficultés à servir les utilisateurs finaux.

En raison du peu d’informations publiées, il est difficile de savoir si la société a accepté ou refusé de payer la rançon. Par ailleurs, on ne peut pas affirmer si les attaquants s’apprêtaient à fournir les clés valides pour déchiffrer les fichiers, ou si c’était une attaque de sabotage pur et simple, semblable aux attaques de malware NotPetya qui se sont produites en 2017.

S’il s’agissait d’une attaque de ransomwares, les pertes dépassent de loin celle menée contre la société norvégienne d’aluminium et d’énergie Norsk Hydro, dont le montant de la rançon frôlait les 63 millions d’euros. Elle reste toutefois moins dévastatrice que les attaques NotPetya, lesquelles ont causé des pertes de plus de 270 millions d’euros aux sociétés de transport Maersk et Fedex, respectivement.

Tous ces incidents démontrent à quel point les cyberattaques peuvent être dommageables et à quel point les coûts de la récupération des fichiers peuvent être importants. Il faut toutefois savoir que le coût de la récupération des systèmes informatiques ne représentait qu’une faible proportion du coût total des dégâts, soit environ 6,6 millions d’euros. La majeure partie des dégâts était due à la perte de ventes et à l’incapacité de traiter les commandes qui, selon la société, représentent environ la moitié des coûts estimés.

Dans un communiqué de presse, la société a déclaré qu’en plus des ventes perdues, « l’incident [les] a empêché d’exécuter [leurs] activités de croissance ambitieuses pendant les mois les plus importants de l’année, en particulier aux États-Unis, qui est notre plus grand marché ».

Les malwares, les ransomwares et les wipers (variantes de malware qui effacent les données stockées dans le disque dur de l’ordinateur infecté) sont le plus souvent livrés via un petit nombre de vecteurs d’attaque. Trop souvent, les attaques commencent par un e-mail de phishing, par des kits d’exploitation RDP (Remote Desktop Protocol), par le téléchargement de malwares par drive-by ou via l’exploitation des vulnérabilités non corrigées. Le coût des mesures préventives pour bloquer ces vecteurs d’attaque est minime, comparé à celui de la récupération des données après l’incident.

TitanHQ ne peut pas aider les entreprises à sécuriser leurs systèmes RDP et à mettre à jour rapidement les correctifs nécessaires. Par contre, nous pouvons les aider à sécuriser vos systèmes de messagerie et à vous protéger contre les téléchargements de malwares par drive-by et bien d’autres menaces sur le web.

Pour en savoir plus sur la façon dont vous pouvez améliorer la sécurité contre les attaques par e-mail et par Internet à partir de 0,82 euro par utilisateur et par mois, appelez notre équipe de vente. Nous nous ferons un plaisir de vous expliquer les tenants et aboutissants de nos solutions de sécurité pour le web et la messagerie électronique. Nous pouvons également vous proposer des démonstrations de nos produits ainsi qu’un essai gratuit de notre solution. Ainsi, vous pourrez découvrir comment SpamTitan pourra améliorer considérablement vos défenses contre les attaques de phishing, les ransomwares, les malwares et les wipers.

Les attaques de ransomwares ciblant les entreprises ont doublé en 2019

Les attaques de ransomwares ciblant les entreprises ont doublé en 2019

En 2018, des attaques de ransomwares contre les entreprises ont diminué, car les cybercriminels ont opté pour d’autres moyens de gagner de l’argent. De nombreuses attaques de ransomwares étaient encore lancées, mais à un rythme légèrement inférieur à celui de 2017.

Certains rapports laissaient entendre que les ransomwares ne constituaient plus une menace aussi importante qu’en 2016 et 2017. Pourtant, le nombre d’attaques signalées en 2019 a démontré que ce n’est certainement pas le cas. Toute entreprise qui n’a pas mis en place des moyens de défense pour se protéger contre les ransomwares pourrait bien être leur prochaine victime et devra payer plusieurs milliers d’euros pour se remettre d’une attaque.

Ne vous y trompez pas. Les ransomwares sont l’une des menaces les plus dangereuses auxquelles les entreprises doivent faire face. Si un ransomware parvient à s’installer sur le réseau, tous les fichiers, y compris les données de sauvegardes, peuvent être chiffrés. Les dégâts pourraient s’avérer catastrophiques, ce qui est par exemple le cas d’un petit cabinet médical du Michigan.

Le cabinet de deux médecins de Battle Creek, au Michigan, a été victime d’une attaque qui a entraîné le chiffrement de toutes les données de leurs patients. Une demande de rançon a été émise par les attaquants, mais comme il n’y avait aucune garantie que les dossiers pourraient être récupérés une fois la rançon versée, la décision a été prise de ne pas payer. Les pirates ont ensuite supprimé tous les fichiers chiffrés. Le cabinet était donc contraint de tout reconstruire à partir de zéro. Les deux médecins ont décidé d’en rester là. Ils ont pris une retraite anticipée.

Les attaques de ransomwares contre les établissements de soins de santé augmentent à un rythme alarmant. Les entités gouvernementales, les villes et les municipalités font également l’objet de telles menaces. En mai dernier, la ville de Baltimore a par exemple subi une attaque majeure qui a impliqué une variante de ransomware appelée RobbinHood. L’attaque a détruit les serveurs et les systèmes, causant des perturbations majeures dans toute la ville. Une rançon de plus de 54 millions d’euros a été versée aux cybercriminels pour retrouver l’accès aux fichiers chiffrés.

Deux petites villes de Floride ont également subi des attaques majeures suite auxquelles Lake City a été forcée de payer de 417 000 euros, tandis que Riviera Beach a dû payer plus de 544 000 euros de rançon. Pour sa part, le comté de Jackson en Géorgie a payé environ 362 000 euros après que son système judiciaire a été attaqué.

Au fur et à mesure que les mois passaient, les attaques se sont multipliées. Un rapport de Malwarebytes indique qu’il y a eu une augmentation de 195 % des attaques de ransomwares au premier trimestre 2019. Les chiffres de Kaspersky Lab montrent également que les attaques de ransomwares ont presque doublé au deuxième trimestre 2019, soit une augmentation de 46 % du nombre d’attaques signalées, comparé à la même période en 2018.

Face à l’augmentation du nombre d’attaques, les entreprises doivent donc être préparées et disposer des outils de sécurité nécessaires pour empêcher les attaques de réussir.

Il n’existe pas de solution de cybersécurité unique qui peut être mise en œuvre pour éliminer toutes les menaces cybercriminelles, car les pirates utilisent diverses méthodes pour accéder aux réseaux et pour diffuser leurs charges utiles malveillantes. Des défenses multicouches peuvent toutefois s’avérer excellentes pour repousser la plupart des attaques.

La messagerie électronique est la principale méthode de livraison des ransomwares. Il suffit qu’un e-mail malveillant arrive dans la boîte de réception d’un employé et que celui-ci soit dupé pour ouvrir une pièce jointe malveillante (ou pour cliquer sur un lien hypertexte) pour que le ransomware s’installe sur son appareil. Une solution avancée de filtrage de la messagerie comme SpamTitan Cloud est donc nécessaire pour bloquer les e-mails malveillants et les empêcher d’arriver dans les boîtes de réception de vos employés.

SpamTitan inclut l’authentification, le reporting et la conformité des messages par domaine (DMARC). Ceci permet de bloquer les attaques d’usurpation d’identité, grâce à l’utilisation d’un sandbox. Il s’agit d’une sorte de boîte à outils où les pièces jointes suspectes peuvent être exécutées en toute sécurité et étudiées pour détecter les menaces qu’elles représentent pour votre entreprise et vos employés. Le sandbox est essentiel, car il permet d’identifier et de bloquer les ransomwares et les menaces du type zero-day.

Toutes les attaques ne se produisent pas par e-mail et elles sont de plus en plus fréquentes. Une solution de filtrage web devrait donc être mise en œuvre pour bloquer par exemple les attaques sur le Web. Un filtre web empêchera vos employés d’accéder à des sites malveillants connus ou de télécharger des ransomwares. Grâce à ces deux mesures techniques, votre entreprise sera bien protégée. Parallèlement, vous devrez former vos employés en matière de sensibilisation à la sécurité et sur les systèmes de sauvegarde des données. Ainsi, vous pourrez mettre en place une solide défense contre les attaques de ransomwares.

L’attaque d’un ransomware détruit les écrans d’information de vol d’un aéroport du Royaume-Uni

L’attaque d’un ransomware détruit les écrans d’information de vol d’un aéroport du Royaume-Uni

Les ransomwares ne sont pas nouveaux. Depuis le milieu des années 2000, ils ont fait des ravages dans les entreprises, des plus grandes aux plus petites. Entre 2005 et 2017, plus de 7 600 demandes de rançon ont été signalées au Centre des plaintes concernant la criminalité sur Internet (IC3). Les attaques de ransomwares ont perturbé pendant des semaines les opérations de certaines de ses victimes et ont coûté des milliards de dollars aux organisations. Le ransomware est régulièrement considéré comme la menace n° 1 en matière de cybersécurité. Il y a tout juste un an, il semblait que la férocité du ransomware n’avait aucune limite.

Cependant, l’omniprésence croissante des ransomwares a stagné, sinon reculé en 2018. Selon Kaspersky, les ransomwares ne sont plus la menace numéro 1. Ils ont cédé la place aux malwares de cryptomining. Les chevaux de Troie bancaires ont aussi récemment éclipsé les ransomwares. Il n’est pas surprenant que ces derniers ne fassent plus les manchettes qu’ils faisaient il y a à peine douze mois. Les attaques de ransomwares sont peut-être en baisse, mais vous ne devez en aucun cas les sous-estimer.

Un ransomware a pris d’assaut un aéroport du Royaume-Uni

Le 14 septembre 2018, un ransomware a frappé l’aéroport de Bristol, forçant ses employés à afficher les horaires d’arrivée et de départ des vols sur des affiches et des tableaux blancs. En effet, l’attaque a affecté les communications internes de l’aéroport. Des alertes d’horaires ont été régulièrement annoncées sur le système de sonorisation pendant deux jours, au cours desquels le personnel informatique de l’aéroport s’est efforcé de mettre fin au malware. Heureusement, l’attaque s’est limitée aux fonctions opérationnelles de l’aéroport. Elle n’a eu aucun impact sur les opérations aériennes, de sorte que les passagers n’ont jamais été en danger.

Plus tôt cette semaine, 380 000 passagers ont été touchés par un piratage de British Airways. On pense que les pirates ont réussi à contourner les défenses de British Airways à cause d’un code trouvé sur le site web de la compagnie. Bien qu’il ne s’agisse pas d’une attaque de ransomware, il semble que les compagnies aériennes et les aéroports soient des cibles faciles pour les cybercriminels.

Une série d’attaques de ransomwares pendant la période d’été

Voici quelques-unes des nombreuses attaques qui ont eu lieu pendant cette période.

  • Le géant mondial du transport maritime, Cosco Shipping Lines, a été contraint de cesser les activités dans plusieurs de ses ports en Amérique du Nord, en Amérique centrale et en Amérique du Sud. Cela fait suite à une attaque de ransomware qui a mis fin à ses opérations de messagerie électronique et de téléphonie réseau dans ces régions. Après l’attaque, l’entreprise a averti ses employés de ne pas ouvrir des e-mails suspects (c’était le point d’entrée de la récente attaque). On estime que 93 % des e-mails de phishing sont maintenant à l’origine des attaques des ransomwares. Ce n’est pas la première fois qu’une compagnie maritime mondiale est victime de piratage informatique, puisque l’an dernier, la compagnie danoise A.P. Moller-Maersk a été également victime de la souche de malware NotPetya.
  • Wendell Furniture, à Colchester, a perdu l’accès à son système de commande pendant plusieurs semaines après que ses serveurs aient été infectés par un malware. Les pirates ont réussi à voler l’information sur les ventes des huit dernières années, y compris les noms, adresses, numéros de téléphone et adresses électroniques de ses clients. Wendell a fini par payer des milliers de dollars aux pirates pour récupérer les données.
  • Un détaillant de matelas de Winnipeg, au Canada, a été frappé par une demande de rançon qui a fait tomber ses serveurs, ce qui a complètement mis fin à ses activités. Best Sleep Centre a négocié la rançon initiale pour 6 000 $ à 2 000 $. Selon le propriétaire, l’attaque était causée par le manque de diligence dans la mise en œuvre des mises à jour régulières. Il a également déclaré que la société a tiré une leçon coûteuse de cet incident.

L’importance des sauvegardes

La seule certitude concernant le ransomware est que le maintien d’une solution de sauvegarde fonctionnelle bien conçue servira de mesure efficace contre ses effets durables, peu importe comment il peut évoluer un jour.

Pour protéger vos données et pour pouvoir les récupérer suite à une attaque de ransomware, vous devez disposer d’un système de sauvegarde fiable et sûre. La règle 3-2-1 est la meilleure pratique pour la sauvegarde et la restauration. Découvrez comment fonctionne l’approche de sauvegarde 3-2-1.

Le visage changeant des ransomwares

Les inquiétudes concernant les ransomwares ont atteint des sommets l’été dernier lors des attaques WannaCry et Locky, lesquelles ont détruit de nombreuses entreprises dans le monde entier. Bien que les dommages qu’elles ont causés aient été sans précédent, le montant des rançons versées était toutefois faible. En conséquence, les attaques à grande échelle ont considérablement diminué au cours des douze derniers mois.

Cela ne signifie pas que le ransomware ne constitue plus une menace. Pour ajuster leur tir, les pirates ont maintenant changé de stratégie, passant à des attaques plus ciblées. Les rançons ont également été réduites à des montants plus réalistes, ce qui a augmenté les taux de paiement de ce genre d’attaque. Comme les attaques sont très ciblées, elles font de moins en moins partie des gros titres des actualités. Pourtant, la liste des victimes continue de s’allonger.

Fin 2016, lorsque le FBI a annoncé que les ransomwares représentaient une industrie qui pèse des milliards de dollars, cela a fait tourner beaucoup de têtes, y compris celles de programmeurs expérimentés et malintentionnés. Ces derniers ont commencé à créer des codes malveillants plus complexes qu’ils pouvaient ensuite vendre sur le dark web à des pirates qui ne possédaient pas les compétences en matière codage pour réaliser leurs projets malveillants.

Le terme « Ransomware as a Service » (RaaS) a rapidement été inventé pour décrire ce qui est maintenant devenu une entreprise clé en main pour ceux qui sont prêts à payer quelques centaines de dollars à l’avance et à partager les rançons qu’ils obtiennent. C’est l’une des principales raisons pour lesquelles le nombre de familles de ransomwares a diminué. Par contre, le nombre de variantes a augmenté.

Les attaques de ransomwares ne sont pas toujours motivées financièrement

Les attaques de ransomwares ne sont pas toujours motivées financièrement. Les pirates informatiques commencent à utiliser des charges utiles de chiffrement de malwares pour couvrir leurs traces. Par exemple, ils déploient une charge utile de ransomware avant de déposer un rootkit ou une autre charge utile malveillante. Le dépôt de ransomware reste inactif jusqu’à ce que la charge utile de l’attaque primaire ne soit découverte. Ceci permet aux pirates de lancer une attaque de ransomware pour effacer le système et protéger les signatures de code. Cette attaque peut également être utilisée pour effacer les preuves d’une opération réussie, détruisant ainsi toutes les traces.

Bien qu’il y ait actuellement peu de pirates informatiques professionnels qui mettent en œuvre des attaques de ransomwares, celles qui sont parrainées par l’État-nation sont en hausse, selon Europol. Pas plus tard que la semaine dernière, le département de la Justice des États-Unis a accusé un programmeur informatique travaillant pour le compte du gouvernement nord-coréen d’un certain nombre d’attaques, dont l’attaque de WannaCry qui a été lancée l’an dernier.

Microsoft lance une fonction anti-ransomware — Est-ce trop peu ou trop tard ?

Microsoft lance une fonction anti-ransomware — Est-ce trop peu ou trop tard ?

Les attaques de ransomware se sont accentuées et deviennent la menace de sécurité réseau la plus reconnue dans le monde, et les fournisseurs de technologie ne cessent de publier un arsenal d’outils pour vous aider à les combattre. Un peu plus tôt cette année, Microsoft a pris l’initiative sans précédent de lancer la mise à jour (MS17-010) pour le système d’exploitation Windows XP. Bien que XP ne soit plus pris en charge, cette mise à jour a été publiée afin de remédier à une vulnérabilité qui pourrait permettre l’exécution de code à distance si un attaquant envoie des messages spécialement conçus à un serveur Microsoft Server Message Block 1.0 (SMBv1). Cette vulnérabilité connue est devenue plus tard le moyen utilisé par les pirates informatiques pour lancer les épidémies de WannaCry et Petya qui ont infecté des milliers d’appareils au cours des deux derniers mois.

Pas plus tard que la semaine dernière, Microsoft a annoncé la sortie d’une nouvelle fonctionnalité anti-ransomware pour son récent système d’exploitation Windows 10 Insider Preview Build (16232). La marque prévoit actuellement d’introduire cet outil, ainsi que d’autres fonctions de sécurité dans la prochaine mise à jour de Windows 10 Creator Update, dont la sortie est prévue à l’automne de cette année. Cet outil de lutte contre les malwares, appelé « Controlled Folder Access », est conçu pour empêcher les applications non autorisées de créer de nouveaux fichiers ou de modifier des fichiers existants qui sont stockés dans des dossiers jugés comme importants et « protégés ». Pour ce faire, la marque crée une liste blanche d’applications. Si l’application n’est pas dans la liste, Windows Defender bloque son exécution.

Cette fonctionnalité est similaire à celle d’AppLocker de Microsoft, laquelle est disponible depuis un certain nombre d’années pour certaines versions du système d’exploitation Windows, comme les éditions Enterprise et Education. Les listes blanches d’AppLocker peuvent être déployées par le biais d’une stratégie de groupe sur les périphériques dont les systèmes d’exploitation sont pris en charge. Ceux qui sont abonnés à Microsoft Intune peuvent importer des stratégies AppLocker dans l’interface de gestion Intune via un fichier XML. Avec l’accès contrôlé aux dossiers, la liste blanche des applications sera disponible pour tous les ordinateurs Windows 10 via le Centre de sécurité Windows Defender.

Pour accéder actuellement à cette fonction :

  • Allez dans le menu Démarrer et ouvrez le Centre de sécurité de Windows Defender,
  • Allez à la section Paramètres de protection contre les virus et les menaces,
  • Régler l’interrupteur sur On.

Ici, l’utilisateur peut également ajouter d’autres dossiers en plus des dossiers qui sont sélectionnés par défaut. Les dossiers par défaut sont ceux qui sont généralement ciblés par les ransomwares. L’an dernier, nous avons écrit un blog sur la façon dont il est possible de protéger ces dossiers contre la création de fichiers non autorisés en créant des politiques de restriction logicielle soit localement, soit par le biais d’une politique de groupe ou via un logiciel de gestion de système édité par Microsoft (SCCM).

Arrêter les ransomwares bien avant qu’ils arrivent au niveau du nœud final

Il existe un nombre croissant d’outils disponibles pour combattre les ransomwares au niveau du nœud final. Mais, en réalité, il est vital de les arrêter avant qu’ils n’atteignent le périphérique. Aussi répandus que soient aujourd’hui les ransomwares, il existe des mesures concrètes que vous pouvez prendre pour prévenir efficacement une attaque.

  1. La protection des e-mails est primordiale, car la messagerie électronique continue d’être le principal mécanisme de lancement de ransomwares. Les distributeurs de ransomwares utilisent des liens et des pièces jointes intégrés pour inciter les utilisateurs peu méfiants à cliquer dessus et à lancer des déploiements de malwares. Les solutions de sécurité pour systèmes de messagerie d’aujourd’hui doivent faire plus, plutôt que de bloquer simplement les spams. Une solution de sécurité de messagerie doit également bloquer et éradiquer les virus, les malwares, les pièces jointes infectées et les liens vers des sites web malveillants. Outre le fait d’empêcher les attaques de ransomwares, une solution de sécurité de messagerie protégera vos utilisateurs contre les attaques de phishing et les attaques BEC (Business E-mail Compromise).
  2. Filtrage web — Les utilisateurs peuvent télécharger par inadvertance un ransomware en visitant un site de lancement de malwares ou en naviguant simplement sur un site web piégé par des cybercriminels. De nombreux sites sont infectés par des fichiers d’installation de ransomwares qui y ont été déposés par des pirates. Une solution de filtrage web moderne protège les sessions Internet de vos utilisateurs de deux façons. Elle bloque d’abord l’accès aux sites malveillants ou infectés par des malwares connus. Ensuite, elle filtre tout le trafic web par le biais d’un antivirus passerelle.
  3. Correctifs et mises à jour — Il est impératif de maintenir vos systèmes d’exploitation, vos applications et vos navigateurs web patchés et à jour. Si les entreprises avaient simplement installé la mise à jour (MS17-010) sur ses périphériques Windows non pris en charge, elles auraient pu échapper aux dommages causés par WannaCry à de nombreux réseaux dotés de périphériques Windows. Il y a une raison pour laquelle les fournisseurs publient régulièrement des correctifs et des mises à jour pour leurs clients. De nouvelles menaces du type « zero-day » sont continuellement découvertes, forçant les développeurs à publier des correctifs pour les combattre le plus rapidement possible. Le patch et la mise à jour sont probablement les tâches de routine les plus importantes pour toute équipe informatique.
  4. Règle de sauvegarde 3-2-1 — La sauvegarde de vos données est une fonction critique dans la protection de vos données. Il est important de suivre les meilleures pratiques lors de l’exécution de sauvegardes régulières de vos données afin de vous assurer que vos sauvegardes peuvent être restaurées correctement si ce jour fatidique se réalise. La règle 3-2-1 se transcrit de la manière suivante :
  • Conservez 3 copies de vos données
  • Utilisez 2 types de médias pour les stocker
  • Gardez toujours 1 copie hors site

En suivant ce modèle éprouvé, vous pourrez restaurer rapidement les données corrompues ou perdues en cas de défaillance des disques durs, de reprise après sinistre et, bien entendu, d’attaque de malware.

Vous êtes un professionnel de l’informatique et vous voulez vous assurer que vos données et vos appareils sensibles sont protégés ? Parlez à un de nos spécialistes ou envoyez-nous un e-mail à info@titanhq.fr pour toute question.