Ransomware

Nouvelles attaques dans les hopitaux français. services restreints et des milliers de donnees exfiltrees

Quelques mois après les attaques perpétrées auprès des hôpitaux de Brest, Strasbourg, Paris, Lyon ou encore Marseille, c’est au tour du C.H.U (Centre Hospitalier Universitaire) de Rennes d’être victime d’une cyberattaque le mercredi 21 juin 2023.

Le CHU de Rennes a annoncé via X [anciennement Twitter] avoir été victime d’une cyberattaque et rassure les patients sur la continuité des services hospitaliers. Plus tard, dans la journée, l’ARS de Bretagne (Agence Régionale de la Santé) confirmera par communiqué de presse que l’attaque n’a pas d’impact sur la prise en charge des patients mais que pour éviter une propagation, les services internet ont été coupés.

Quelles sont les conséquences de ces cyberattaques pour les hôpitaux ?

Ces attaques ont des dommages directs au niveau organisationnel dans des services hospitaliers déjà en tension et même si, dans le cas du CHU de Rennes, les rendez-vous ont été maintenus et les soins prodigués, cette coupure du réseau a rendu la prise de rendez-vous en ligne impossible mais aussi, le paiement par carte bleue. La communication par e-mails a été interrompue ainsi que l’arrêt total des consultations d’imagerie médicale à distance, de la télé-expertise ou encore des téléconsultations.

De nouvelles procédures ont dû être mises en place pour permettre les échanges entre le CHU et ses partenaires et près de deux semaines pour que les services redeviennent opérationnels. A ce jour, le site internet du CHU de Rennes est toujours indisponible.

Ces attaques ont donc des répercutions à long terme et contraignent les établissements de santé à mettre en place un mode de fonctionnement dégradé durant parfois, plusieurs mois. Dans le rapport d’incident publié sur l’année 2022, CERT Santé déclare que « 39 % des structures ont été concernées par la mise en place de fonctionnement en mode dégradé du système de prise en charge des patients. ». Si l’impact de cette attaque n’a pas eu de conséquences majeures sur les patients, il est à rappeler que lors des deux cyberattaques perpétrées dans les hôpitaux en îles de France l’an dernier, certains patients dans les états les plus critiques avaient dû être transférés vers d’autres hôpitaux !

Demandes de rançon et exfiltrations de données.

Le 22 juin, toujours par communiqué de presse, le CHU de Rennes informe le public que La cyberattaque a entrainé une exfiltration de données et qu’une enquête est en cours. Le 29 juillet, Clément Domingo allias S.A.X.X. « Hacker Ethique » annonce sur X que les données auraient été publiées. Cette information n’a, à ce jour pas été confirmée par le CHU de Rennes.

D’après le Rapport des menaces dans le secteur de la santé, publié en juillet 2023 par l’ENISA (European Union Agency for Cybersecurity), les attaques menées dans le secteur de la santé restent majoritairement des Ransomwares (ou Rançongiciels en français).

Ransomware comment fonctionne cette attaque et Pourquoi ?

La plupart du temps, les pirates informatiques arrivent à pénétrer dans le système par le biais de courriels d’hameçonnage (ou phishing en anglais). Le destinataire du courriel clique sur un lien ou ouvre une pièce jointe dans lequel se cache un logiciel malveillant. Une fois installé sur un appareil, le logiciel va pouvoir se répandre sur le réseau.

Ce type d’attaque avait initialement pour objectif de crypter les fichiers présents sur le réseau et de demander une rançon à la victime en échange du décryptage et d’y avoir à nouveau accès. Les hackers ont vite compris que l’exfiltration des données avaient plus de poids en termes de négociation sur la divulgation des données sensibles mais surtout que ces données pouvaient être très recherchées. Sur l’année 2022, la « fuite de données » arrive en première place avec 35% des cyberattaques d’après une étude réalisée par Statista.

La fuite de données ? Quelles conséquences ?

« 63 % des structures ayant signalé un incident, indiquent que celui-ci a eu un impact sur des données, qu’elles soient à caractère personnel, techniques ou relatives au fonctionnement de la structure »

Ce n’est plus un secret, aujourd’hui nos données personnelles, collectées et analysées sont une réelle valeur ajoutée pour n’importe quelle entreprise ou administration et ce, quels que soient son statut, sa taille ou son domaine d’activité. Eh bien pour les pirates c’est pareil ! Ces données, très prisées, très monnayées, sont une véritable mine d’or ! Dossiers médicaux, adresses postales, numéros de téléphone, e-mails, numéros de sécurité sociale, cartes bleues, mots de passe, identifiants, réseaux sociaux, plateformes de streaming…Tout se vend, tout s’achète sur le Darknet.

  • Les e-mails se vendent en dizaine de millions pour quelques centaines d’euros mais, certaines valent beaucoup plus cher. Notamment Gmail qui offre plus d’informations en raison des fonctionnalités proposées par Google.
  • Les comptes sur les réseaux sociaux et plateformes de streaming se vendent entre 10€ et 20€ selon le type.
  • Les données bancaires sont également recherchées et vendues à partir d’une vingtaine d’euros en fonction du pays mais, peuvent valoir beaucoup plus en fonction du solde sur le compte.
  • Les documents d’identité peuvent être vendus jusqu’à plus de 3 000€ en fonction des pays.
  • Les identifiants des employés peuvent être vendus pour plusieurs dizaines de milliers d’euros.
  • Quant au dossier médical, imaginez qu’il s’agisse d’une personne célèbre. Le prix de vente peut devenir presque inestimable, selon la victime et les informations présentes.

Vous l’aurez compris, ces informations une fois revendues permettent de récupérer beaucoup d’argent mais attention, elles permettent également voire, surtout, de nouvelles attaques, cette fois-ci plus ciblées. Les cybercriminels vont pouvoir exploiter vos données, mieux vous comprendre et plus facilement vous duper !

Les hôpitaux, données sensibles, accessibles en grand nombre et faciles d’accès ?

D’après le Panorama de la cybermenace 2022 réalisé par l’ANSSI, le secteur de la santé est le 3ème secteur le plus touché par les cyberattaques en France. A l’échelle mondiale, le Healthcare Data institute le place également en 3ème position au premier trimestre 2023.

Lors de la conférence du Forum international sur la cybersécurité (FIC), il a été révélé que les hôpitaux sont une cible facile pour les cybercriminels. Malgré les efforts du gouvernement ces dernières années d’accorder des moyens supplémentaires dans la cybersécurité, les hôpitaux doivent changer de culture, moderniser leurs équipements et réussir à attirer des ingénieurs.

Les cyberattaques, tous concernés, comment lutter ?

Si le secteur de la santé arrive en 3ème place des secteurs les plus touchés par les cyberattaques en France, ce sont les entreprises et en particulier les PME (petites et moyennes entreprises) qui restent la cible préférée des cybercriminels soit, 90 % des entreprises françaises. En 2020 déjà, l’ENISA avertissait que dans le contexte interconnecté actuel, ces PME constituaient le maillon faible de la cybersécurité. Ne pouvant pas se permettre d’investir dans un système performant, elles sont les plus vulnérables à ces attaques.

Comment protéger son entreprise d’une cyberattaque ?

  • Protégez et limitez les accès avec des mots de passe différents et suffisamment complexes
  • Effectuez des sauvegardes régulières de vos fichiers avec une copie de celle-ci sur un support externe.
  • Réalisez régulièrement les mises à jour (les éditeurs corrigent fréquemment les failles détectées).
  • Téléchargez les documents et logiciels depuis les sites officiels
  • Utilisez un système de sécurité tel que TitanHQ qui répond parfaitement avec vos besoins
  • Enfin, formez le personnel à la cybersécurité, les bons usages et pièges à éviter, notamment concernant le phishing.

Si vous avez été victime d’une attaque, vous pouvez déclarer un incident auprès du Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques, Ici, et vous pouvez vous faire accompagner via le site cybermalveillance.gouv.fr. D’un point de vue réglementaire, il vous faudra porter plainte auprès de la Gendarmerie nationale et si vous pensez que des données ont été exfiltrées, vous devrez déclarer l’incident auprès de la Commission nationale de l’informatique et des libertés (CNIL) dans un délai de 72h.

9 choses qu’un administrateur système ne devrait jamais faire : les interdits absolus de la sécurité en réseau

Le travail d’un administrateur système est très difficile. Il y a de nombreuses tâches à effectuer, le besoin constant de mettre le système à jour au fur et à mesure des avancées technologiques et les longues heures nécessaires pour faire ce travail. Il faut manipuler des logiciels complexes et régler les demandes d’utilisateurs toujours plus exigeants. En plus de tout ce que l’administrateur système doit faire s’ajoute la liste de ce qu’il ne doit jamais faire.

Ce n’est pas que les administrateurs système font ces choses consciemment ; le fait est qu’il arrive à tout le monde de contourner les règles pour terminer une tâche. Par exemple, le directeur des ventes appelle parce qu’il lui faut l’accès à une liste de sites internet pour sa présentation qui se déroule dans trois minutes en salle de conférence et les sites en question affichent un accès bloqué. L’administrateur système n’a pas le temps de chercher pourquoi l’accès à ces sites est bloqué… il force dont l’ordinateur utilisé pour la présentation à outrepasser le blocage pour accéder à tous les sites désirés. Le directeur des ventes en est très content et la présentation se déroule sans encombre. Malheureusement, l’administrateur système se retrouve bientôt avec mille autres demandes de ce genre et oublie la manipulation qu’il a précédemment réalisée… En conséquence, l’ordinateur du directeur des ventes forcé reste ouvert à toutes les menaces et cyber-attaques présentes sur internet. Deux mois plus tard, quelqu’un télécharge un rançongiciel depuis un site frauduleux et toutes les données de la compagnie se retrouvent cryptées. Le chemin vers le désastre est pavé de bonnes intentions.

Nous avons donc établi une courte liste des choses que fait l’administrateur système, volontairement ou non, mais devrait éviter, car les conséquences pourraient être dramatiques.

1)    Ne jamais créer d’exception pour le pare-feu et le filtre web

Cette règle comprend l’adresse IP de l’ordinateur désigné, souvent assignée par DHCP. Cela signifie que cette adresse IP peut être attribuée à un autre ordinateur le lendemain, lequel sera potentiellement utilisé par un employé qui ne devrait pas avoir une marge de manœuvre telle que celle configurée sur ce poste. Afin d’éviter le scénario exposé en introduction, créez une politique d’accès stricte exigeant de préciser combien de temps sera nécessaire à la requête. Vérifiez régulièrement la liste des exceptions pare-feu et filtre web et supprimez toutes celles qui n’ont plus lieu d’être.

2)    Ignorer les paramètres sortants du pare-feu

Nous connaissons tous l’importance de la configuration des paramètres entrants du pare-feu, mais nous oublions fréquemment de vérifier les paramètres sortants, tout aussi importants. Parfois, les règles de la navigation externe sont ignorées parce que le processus de sécurisation vers l’extérieur est plus complexe que celui de la navigation vers l’intérieur, puisqu’il nous faut nous assurer que nos paramètres ne gênent pas le trafic autorisé ni les applications qui requièrent un accès internet. C’est une opération qui prend beaucoup de temps ; elle est cependant indispensable pour garantir la sécurité de votre entreprise, ainsi que celle de l’ensemble des utilisateurs. Si un ordinateur est piraté dans votre réseau, il peut servir aux cyber-pirates de point d’ancrage pour répandre logiciels malveillants, courriers indésirables et exfiltration de données importantes. Un soigneux filtrage des données sortantes peut vous protéger de ce cas de figure. Par exemple, vous devriez implémenter une règle selon laquelle les mails sortants et le trafic DNS sont autorisés uniquement sur les serveurs internes. Tout comme il vous faut être sûr qu’aucun port entrant n’est ouvert, vous devez décider qu’aucun port sortant ne le soit non plus.

3)    Placer des ressources accessibles par internet sur le LAN interne

Tout pare-feu efficace opère sur plusieurs zones. Cela comprend les zones publiques (internet), le LAN interne (où naviguent les utilisateurs avec leurs ordinateurs, les services et les données) et une DMZ (une zone démilitarisée), qui sert à fournir aux serveurs et aux équipements technologiques un espace particulier devant être accessible depuis internet via serveurs mail, FTP et terminaux. La zone DMZ est par nature moins restrictive que le LAN interne, ce qui rend les ordinateurs qui y demeurent plus vulnérables. De nombreux problèmes peuvent survenir quand les ordinateurs opèrent sur le LAN interne ; il suffit qu’un seul d’entre eux soit corrompu pour que les cybercriminels exploitent la faille et créent le chaos dans l’entreprise. C’est là que réside la fonction de la DMZ : limiter la vulnérabilité d’un ordinateur sur le réseau. Cela suppose que le trafic entre la DMZ et le LAN soit sérieusement contrôlé et sécurisé. La DMZ a trop souvent un accès libre au LAN interne parce que personne n’a pris le temps de configurer la séparation.

4)    Autoriser le trafic de zone DNS à tout serveur

De nombreuses entreprises permettent cela, par facilité ou par manque d’expérience. Si vous autorisez le transfert de zone à tout serveur, toutes les données enregistrées sont alors visibles par tout hôte capable de contacter votre serveur DNS ; cela inclue les serveurs DNS corrompus localisés dans votre réseau. Afin d’éviter cela, assurez-vous que les transferts de zone ne sont autorisés que pour les serveurs avec AD intégré, si vous utilisez un réseau Windows AD. Si ce n’est pas le cas, spécifiez les adresses IP autorisées sur tous les serveurs DNS et restreignez les transferts de zone à leur usage exclusif. L’opération prendra du temps, mais la sécurisation de vos zones DNS en vaut largement la peine.

5)    Consulter vos emails ou naviguer sur internet en utilisant votre compte administrateur

Oui, nous le savons tous, et pourtant, c’est l’un des raccourcis que nous empruntons de temps en temps. Peut-être attendons-nous un email important pendant que nous configurons un nouveau serveur ou peut-être souhaitons-nous naviguer quelques minutes sur internet en attendant la fin d’une mise à jour lancée… Ne le faites pas, le risque est trop grand. Les comptes administrateurs sont les clefs du royaume que rêve de posséder chaque cyber-pirate. Le logiciel malveillant est installé sur le compte qui l’a téléchargé ; les comptes administrateurs agissent comme des stéroïdes pour malwares, leur accordant un accès total au réseau.

6)    Héberger plus d’un AD sur un contrôleur de domaine

Un contrôleur de domaine est un ordinateur qui prend en charge Windows Active Directory ; il est donc indispensable qu’il soit soigneusement sécurisé. La première étape : une isolation totale. L’ordinateur hébergeant Active Directory doit ne servir qu’à cela, et rien d’autre. Se servir de cet ordinateur pour autre chose est une invitation à éprouver la loi de Murphy. En informatique, les éléments importants doivent être isolés. Si l’un d’eux se trouvait piraté, les autres resteraient en sécurité, au moins temporairement. D’autre part, si vous conserviez une sauvegarde sur ce même ordinateur, que feriez-vous de cette sauvegarde si elle était compromise à son tour ? Combien de temps pensez-vous qu’il faudrait au cybercriminel pour avoir mainmise sur vos données ? Pourquoi prendre ce risque ?

7)    Ré-utiliser le même mot de passe

Cette règle semble simple et évidente. Cela dit, le bon sens n’est pas si répandu… Un administrateur système ne devrait jamais utiliser le même mot de passe sur plusieurs ordinateurs ou services. Si un cybercriminel le dérobe, il aura accès à toutes les données de l’entreprise.

8)    Utiliser les identifiants d’administration pour se connecter sur un poste de travail

Dans ce cas précis, c’est comme si vous donniez votre mot de passe directement aux cybercriminels. Il existe en effet aujourd’hui de nombreuses façons pour eux d’obtenir vos identifiants et mots de passe en quelques secondes.

9)    Déployer un réseau wifi libre d’accès

Il n’y a aucun besoin de réseau wifi libre en entreprise. Si vous avez besoin d’un compte invité en réseau, créez-en un avec mot de passe, que vous changerez régulièrement. Si vos invités se plaignent parce qu’il faut toujours demander le nouveau mot de passe, posez-vous la question suivante : ces gens viendront-ils se plaindre quand vous devrez gérer la remise en ordre du système après une cyber-attaque ? Une chose est certaine : en cas de problème, vous serez tenu pour responsable du désastre. Avec une solide technologie comme WebTitan Wifi, vous pourrez fournir une haute qualité internet sécurisée aux utilisateurs naviguant sur votre réseau. Vous pourrez bloquer les logiciels malveillants et surveiller l’utilisation faite d’internet dans toute l’entreprise.

La sécurité ne devrait être jamais sacrifiée sur l’autel de la facilité. La plupart des administrateurs système ne penseraient jamais à faire les choses listées ci-dessus volontairement ; il est clair qu’administrer un réseau est une tâche difficile. Chaque réseau est différent, aussi la configuration de la sécurité et la gestion de crise reste un domaine de compétence très spécialisé et apprécié. Et cela continuera jusqu’à ce que quelqu’un développe des réseaux et des ordinateurs capables de lire dans l’esprit des utilisateurs.

Une nouvelle technique pour le rançongiciel : l’injection de modèles RTF

Y aura-t-il une fin à l’innovation pour le rançongiciel ? L’une des raisons pour lesquelles ce système pirate se révèle être un adversaire si impressionnant tient à sa capacité à se renouveler sans cesse dans ses méthodologies d’attaques. En mars 2021, une nouvelle technique appelée « injection de modèle RTF » a été identifiée. Depuis, elle a été remaniée et adaptée par différents acteurs. On peut supposer que son utilisation se répandra à l’avenir.

Comment cette attaque fonctionne

L’attaque tire avantage d’une fonctionnalité spécifique à Microsoft Word qui permet à l’utilisateur de créer un document à partir d’un modèle préconçu, ce qui formate le document avec un « format de texte enrichi (rich text format) », abrégé RTF. Ces modèles RTF peuvent être enregistrés sur l’ordinateur de l’utilisateur ou téléchargés depuis une URL ou un disque dur externe. Les cybercriminels ont trouvé le moyen de se servir de cette fonctionnalité : ils ont créé leurs propres modèles RTF corrompus et les ont hébergés sur leurs serveurs. Chaque fois qu’un utilisateur accède au document pour le consulter ou le modifier, le modèle RTF corrompu se lance automatiquement et traverse tout le réseau. Ces modèles RTF circulent aisément dans le réseau sans être détecté, grâce à ce format très connu par l’ordinateur. De nombreuses campagnes d’attaques par hameçonnage usant le RTF ont été recensées.

La raison pour laquelle les modèles RTF sont détournés par les cyber-pirates est inhérente à leur nature : les fichiers au format RTF sont inscrits directement, ce qui permet aux cyber-pirates de modifier le texte et son emplacement afin de l’héberger sur une URL choisie.

Comment contrer ces attaques

Ces attaques par injections de modèles RTF sont normalement implantées dans un ordinateur ciblé par hameçonnage. C’est la raison pour laquelle il est nécessaire d’avoir une protection des emails capable d’empêcher ces fichiers d’atteindre les boîtes de réception. SpamTitan, conçu par TitanHQ, est la solution idéale pour contrer ces attaques. En plus de sa double protection antivirus intégrée, SpamTitan est doté d’une sécurité bac à sable de toute dernière génération, protégeant l’utilisateur contre les attaques par fichiers modèles le plus souvent identifiées comme bénignes. Un bac à sable permet d’isoler un fichier suspect avant qu’il ne puisse intégrer votre réseau. S’il s’avère que l’émission de ce fichier est malicieuse, le fichier est détruit. Si, après examen, le fichier est estimé fiable, il est rattaché au mail qui le transportait et transféré à son destinataire. SpamTitan utilise également la technologie de l’apprentissage automatique et l’heuristique pour examiner les anomalies potentielles d’un fichier.

Combattez l’innovation avec l’innovation

Les cybercriminels n’ont de cesse d’inventer de nouvelles ruses leur permettant d’exploiter les systèmes des utilisateurs. C’est pour cela que vous avez besoin d’un fournisseur en cyber-sécurité qui n’a de cesse de créer de nouveaux moyens et de nouvelles solutions pour les contrer. Chez TitanHQ, nous travaillons sans relâche pour améliorer SpamTitan et WebTitan afin de protéger au mieux nos clients. Nous vous invitons à découvrir comment en nous contactant dès aujourd’hui.

Le rançongiciel Lapsus$ : le nouveau-né de la cybercriminalité

Dès le premier jour de l’année 2022, les cybercriminels ont redoublé d’activité, et un nouveau rançongiciel a été lancé sur le net : Lapsus$. Ce rançongiciel a ciblé plusieurs organisations majeures, et ne fera certainement qu’élargir son champ d’action dans les prochaines années. L’arrogance des pirates à l’origine de ce rançongiciel, connu sous le nom de Groupe Lapsus$, se place haut : le gang a en effet posté un tweet depuis une des compagnies qu’il a infectées, écrivant que « Lapsus$ était le nouveau président du Portugal ». Ce tweet a bien malheureusement démontré le joug du groupe sur l’infrastructure de l’organisation piratée. Voici quelques-unes des dernières informations concernant le rançongiciel Lapsus$ et la manière dont il peut affecter votre entreprise.

Les organisations ciblées par Lapsus$

D’après The Record, le groupe de médias le plus répandu au Portugal, Impresa, était dans le viseur de Lapsus$ dès le début des congés du Nouvel An. Impresa est propriétaire de la chaîne télévisée principale du Portugal et des journaux les plus influents, SIC et Expresso. C’est par le compte Tweeter d’Expresso que les pirates ont piégé Impresa, ce qui leur a permis de démontrer le niveau de leur contrôle sur l’infrastructure technologique de l’organisation. Toujours selon The Record, le Groupe Lapsus$ s’en est aussi pris à tous les sites internet d’Impresa, en affichant un message (en portugais) sur chaque page d’accueil, lequel précisait aux lecteurs que le gang avait aussi pris le contrôle du compte Amazon Web Service (AWS) d’Impresa.

En plus de leur mainmise sur le compte Twitter d’Expresso, les cyber-pirates ont aussi pris le contrôle de la lettre d’information (la newsletter), envoyant des mails hameçons aux abonnés du journal et les informant que le président du Portugal avait été assassiné.

Cette pure exploitation des données volées sur le contrôle des réseaux sociaux a donné lieu à un commentaire d’Expresso, qui a publié le communiqué suivant, en portugais : « L’invasion d’une grande organisation est une fierté pour eux, et ils peuvent s’en vanter auprès de leurs pairs. Ces cybercriminels adorent le piratage et le sabotage, que ce soit au Portugal ou dans n’importe quel autre pays. »

D’autres victimes du Groupe Lapsus$ se sont manifestés : il s’agit du Ministère de la Santé du Brésil et de l’opérateur des télécommunications brésilien Claro. Le premier a perdu 50 TB de données au cours de la cyber-attaque. Le Groupe Lapsus$ a depuis révélé avoir effacé toutes les données relatives aux informations de vaccination contre la Covid.

Si les commentateurs d’Impresa ont raison et que le Groupe Lapsus$ fait tout cela pour l’esbrouffe, alors il y a fort à parier qu’il continuera à viser les grandes organisations gouvernementales et les compagnies à forte activité sur les réseaux sociaux. Les cyber-attaques semblent se concentrer aujourd’hui sur les pays de langues espagnole et portugaise, langues dans lesquelles sont rédigées les demandes de rançons.

Comment Lapsus$ atteint son objectif

Les experts en analyse ont pour l’instant conclu que le Groupe Lapsus$ a commencé ses attaques avec un mail hameçon. D’après une étude globale des fournisseurs de services, l’hameçonnage cause plus de la moitié des attaques au rançongiciel. L’hameçonnage est en effet un moyen très simple de s’infiltrer dans le réseau d’une entreprise, grâce à un simple téléchargement ou un clic sur un site internet gardé uniquement par mot de passe : les cybercriminels sont alors capables de se faufiler dans le système d’une entreprise jusqu’au panneau de contrôle de l’administrateur. L’accès à ce compte est exploité par Lapsus$ ouvertement, le groupe se manifestant sur les réseaux sociaux. Il y a de fortes raisons de croire que cette mise en scène spectaculaire sera reprise par d’autres cyber-pirates dans un avenir proche, et qu’elle fera même partie du plan d’attaque.

L’industrie de la cyber-sécurité a remarqué un changement dans le taux de dommages causés par les rançongiciels ces dernières années : du simple au double, voire au triple, allant bien au-delà du style « cryptage de données et rançon ». L’enquête des experts, toujours en cours, a révélé jusqu’à présent que l’attaque Lapsus$ vole et crypte les données dans un premier temps, puis s’étend jusqu’à prendre le contrôle du système.

Rançongiciels : à quoi s’attendre en 2022 ?

Les rançongiciels ont fait les gros titres en 2021 avec des gangs comme REvil et Darkside en tête. Des attaques colossales sur les infrastructures de services essentiels comme Colonial Pipeline aux États-Unis ont causé un arrêt momentané de leurs activités. L’apparition du Groupe Lapsus$ en ce début d’année laisse présager des événements à venir… Le rançongiciel est très rentable pour les cybercriminels, les rançons ayant augmenté de 518% en 2021. Il semble à présent qu’un nouvel élément soit à prendre en compte : la vantardise. Si Lapsus$ inspire les cyber-pirates dans l’avenir, les cyber-attaques risquent d’être beaucoup plus audacieuses, avec une large part de communication sur les réseaux sociaux et le détournement de sites internet. Tout cela affecte largement les marques et leur réputation. Aujourd’hui, ce « quadruple impact » causé par le rançongiciel comprend le cryptage, le vol de données, l’hameçonnage des clients et la mainmise sur les réseaux sociaux. Une attaque multi-niveaux bien implantée, conçue pour durer.

Ne laissez pas les rançongiciels gâcher votre année ni votre entreprise

Les rançongiciels sont dangereux pour toutes les entreprises, pas seulement les plus grandes. Les cybercriminels créent des versions RAAS des rançongiciels, disponibles sur abonnement. Toutes les entreprises, de toutes les dimensions et travaillant dans tous les secteurs, courent le risque d’être ciblées par une attaque au rançongiciel. Pour protéger votre compagnie, assurez-vous :

  • De déployer une protection anti-spam et anti-hameçonnage, capable de bloquer les mails indésirables et les menaces les plus avancées,
  • D’utiliser un filtre web capable d’empêcher vos employés de naviguer sur des sites frauduleux,
  • De configurer une identification multifactorielle permettant de contrôler l’accès aux applications locales et au cloud,
  • D’entraîner vos employés à la cyber-sécurité pour les rendre capables de distinguer les mails hameçons et les tentatives de piratage.

Des cyber-pirates s’attaquent à des organisations gouvernementales et à des pôles d’enseignement

L’année 2021 a connu une explosion des attaques par rançongiciel et hameçonnage ; les cibles principales ont été les organisations gouvernementales et les pôles d’enseignement. La pandémie et les confinements ayant favorisé la cybercriminalité, ce sont les deux secteurs qui ont le plus souffert de la fuite des données. Les rapports ont révélé leur vulnérabilité, suggérant que les cyber-pirates pourront attaquer à nouveau pour dérober des donner et faire chanter les organisations en échange de millions de dollars.

Les cybercriminels piratent 58 000 comptes du « Department of Economic Opportunity » en Floride

Le « Department of Economic Opportunity » de Floride, abrégé « DEO » en Anglais, a subi l’une des pertes de données les plus importantes de l’année 2021 : entre avril et juin, ce sont 58 000 comptes qui ont été piratés, ce qui révèle qu’il faut parfois longtemps à une organisation pour se rendre compte qu’une cyber-attaque s’est produite. Verizon a rapporté que ce délai s’étend parfois jusqu’à six mois avant une détection et une action en réponse, ce qui laisse aux cybercriminels tout le temps nécessaire à l’exfiltration des données.

Le site CONNECT est le premier site pour l’emploi en Floride ; les cybercriminels ont pu accéder à des données très personnelles en le piratant. Le rapport mentionne ainsi le vol de numéros de sécurité sociale, de permis de conduire, de numéros de comptes bancaires, d’adresses personnelles, de numéros de téléphone et de dates de naissance. L’ampleur des dégâts est encore inconnue, mais il est évident que la fuite des données a commencé par un email frauduleux.

Le DEO a offert aux résidents victimes de ce piratage une protection antivol, mais cela ne couvre pas les frais engendrés par l’éradication de la menace, l’identification du point vulnérable, l’enquête déterminant l’importance des dommages et les procédures légales qui suivront nécessairement. Bien que le DEO ait subi de lourdes pertes financières à cause de cette fuite des données, les résidents victimes de ce piratage souffriront certainement bien plus longtemps des répercussions du vol de leurs données personnelles.

Dans la plupart des cas observés, les cybercriminels ne se servent pas des données volées pour faire chanter les victimes eux-mêmes : ils les revendent en effet à d’autres criminels, comme des usurpateurs d’identité ou encore des hackers, qui s’en servent pour pirater les comptes bancaires. La plupart des organisations frauduleuses gèrent un site commercial sur le Dark Web, ce qui leur permet de trouver des données personnelles revendues après piratage.

Les universités comme premières cibles

Les pôles d’enseignement ont été les premières cibles de la cybercriminalité, notamment les universités : les étudiants doivent en effet fournir de nombreuses données personnelles, comme leur numéro de sécurité sociale, leurs informations financières et leurs coordonnées. Les universités sont connues pour avoir une faible protection de cyber-sécurité, ce qui en fait des cibles de choix pour les cyber-pirates désireux d’obtenir des données sensibles le plus rapidement possible.

Le rançongiciel est la méthode la plus couramment employée contre les pôles d’enseignement. Un cyber-pirate peut créer une campagne d’hameçonnage sophistiquée installant un rançongiciel sur le système de l’université ; la plupart des pôles d’enseignement n’ont pas de système de sauvegarde suffisant, le budget nécessaire au stockage des données étant généralement trop important pour eux.

Une fois le rançongiciel implanté, l’étape suivante consiste à extorquer de l’argent à la victime. Les cybercriminels présument que les pôles d’enseignement ont des millions à dépenser en la matière ; c’est généralement ce qui se passe, les pôles d’enseignement n’ayant finalement pas d’autre choix, bien que les experts en cyber-sécurité encouragent les victimes à ne pas céder au chantage pour stopper la progression du piratage…

Ce que vous pouvez faire pour arrêter l’hameçonnage et les malwares

Les attaques par rançongiciels et autres logiciels malveillants commencent avec un mail. La meilleure solution pour stopper le cyber-piratage est l’installation d’un filtre d’email, capable de détecter les messages douteux, les liens frauduleux, les pièces jointes corrompues, l’hameçonnage et les autres menaces en les empêchant d’atteindre la boîte mail de leur destinataire. Pour les organisations, c’est la première étape d’une stratégie de défense en cyber-sécurité.

La protection en cyber-sécurité idéale utilise l’intelligence artificielle pour identifier les menaces au quotidien. Les cyber-pirates changent sans cesse de stratégie pour franchir les cyberdéfenses à la pointe de la technologie ; il faut donc que le filtrage des mails comprenne les menaces les plus récentes. Les administrateurs doivent pouvoir le configurer de manière à ce qu’il soit optimal.

L’avantage d’une protection par filtrage des mails est l’automatisation : plus besoin de compter sur une intervention humaine contre l’hameçonnage car la technologie le fait directement, ce qui réduit le risque d’erreur humaine. Sans une solide stratégie de cyber-sécurité, votre entreprise laisse une fenêtre grand ouverte aux cybercriminels, qui peuvent installer des logiciels malveillants sur votre réseau.

Une nouvelle hausse du vol des mots de passe – voici comment vous en protéger

Dernièrement, une nouvelle hausse du nombre de logiciels frauduleux (aussi appelés « malwares ») permettant le vol des mots de passe a poussé les analystes en cyber-sécurité à donner l’alerte, mettant les utilisateurs en garde contre l’usurpation d’identité, surtout pour les entreprises qui ne disposent pas des protections nécessaires. Les logiciels malveillants n’opèrent pas de la même manière que les menaces brutes : les utilisateurs infectés par ces malwares voleurs de mots de passe se feront pirater leurs nouveaux codes, même après les avoir changés. Les administrateurs peuvent prendre plusieurs mesures pour arrêter cela, mais il faut aussi que les utilisateurs sachent que les cybercriminels peuvent infiltrer leurs ordinateurs et voler leurs mots de passe en toute discrétion.

Les logiciels malveillants voleurs de mots de passe sont difficiles à éradiquer

Lors d’une attaque à la force brute, les tentatives d’identification automatiques sur une application finissent par trouver un compte vulnérable. En utilisant des listes de dictionnaires, les cybercriminels peuvent effectuer sans problème des milliers de tentatives de connexion sur des comptes, que le système ne détecte ni n’empêche. Les malwares, en revanche, opèrent directement sur l’ordinateur de l’utilisateur et peuvent se répandre sur le réseau pendant plusieurs mois sans être détectés.

Un logiciel malveillant opérant sur un ordinateur peut dérober n’importe quelle donnée entrée par l’utilisateur, que ce soit sur une page internet, sur un serveur d’entreprise ou encore un email. Dès que l’utilisateur entre l’information sur l’ordinateur, le malware la détecte et l’envoie sur le réseau que contrôle le cyber-pirate. Généralement, les malwares collectent les identifiants des comptes et les mots de passe associés, mais les keyloggers (ou les « espions de claviers ») enregistrent chaque frappe et les font remonter au cybercriminel, ainsi que le type d’application sur lequel l’utilisateur a utilisé le mot de passe.

Le vol de mot de passe n’est pas le seul danger provoqué par le malware : il peut aussi télécharger un rançongiciel, des rootkits, des virus et d’autres éléments malveillants automatiquement sur l’ordinateur infecté. Les malwares sophistiqués sont difficiles à détecter, et il faut parfois des mois aux administrateurs pour les identifier.

L’usurpation d’identité rend les entreprises vulnérables aux fuites de données

Les cybercriminels peuvent collecter des milliers d’identifiants utilisateurs avec leurs mots de passe grâce aux malwares, obtenant un accès au réseau de l’entreprise. Avec une liste d’identifiants, il leur est possible de lancer une attaque automatique de connexion sur votre réseau. Des tentatives en masse leur permettent de vérifier quels comptes sont actifs ; il leur suffit alors de les compromettre pour atteindre le réseau de votre entreprise et exfiltrer toutes les données qui les intéressent, directement depuis le système.

Sans la protection d’un solide système de cyber-sécurité, un hacker peut s’infiltrer dans n’importe quel système en réseau. La plupart des entreprises disposent d’une connexion à distance, hors de leurs murs, ce qui laisse également une ouverture aux cybercriminels.

N’importe quel système basé sur le Cloud peut subir une attaque cybercriminelle incluant le vol de ses mots de passe et l’usurpation d’identité. Une entreprise devrait toujours disposer d’une protection en cyber-sécurité capable de détecter les tentatives de connexion multiples et de les arrêter. Il y a également plusieurs méthodes permettant de se protéger contre les vols de mots de passe et l’hameçonnage.

Protéger les systèmes informatiques contre les malwares

La plupart des malwares voleurs de mots de passe sont composés de plusieurs éléments : tout d’abord, un processus d’installation, puis un processus permettant le vol des données depuis l’ordinateur de l’utilisateur. Une fois qu’il a collecté suffisamment de données, le malware les envoie sur un serveur contrôlé par le cyber-pirate, où elles sont accessibles à tous ceux qui s’y connectent.

Les antivirus sont absolument indispensables en cyber-sécurité, pour les ordinateurs personnels comme pour ceux des entreprises. Ils font partie des éléments requis pour la mise en conformité ; chaque entreprise devrait donc avoir un antivirus opérationnel, mis à jour à chaque fois que le développeur produit une amélioration, afin que chaque nouveau malware soit immédiatement détecté, avant qu’il n’infecte l’ordinateur.

Les filtres mails sont également nécessaires pour empêcher les malwares de s’installer sur un ordinateur via un mail. L’hameçonnage est la première des stratégies utilisées par les cybercriminels pour convaincre l’utilisateur d’installer leurs malwares sur son ordinateur. Les meilleurs filtres mails détectent les pièces jointes corrompues et les liens vers des sites internet frauduleux ; ils les mettent alors en quarantaine pour qu’ils soient examinés plus tard. Cette technologie arrête la plupart des tentatives de piratage par mail.

L’identification à double facteur n’empêche pas le malware d’infecter un ordinateur, mais elle permet d’éviter que le cybercriminel ne vole les identifiants après avoir compromis le système et volé des données. Les administrateurs peuvent alors mettre en place un système de connexion permettant la détection des tentatives de connexion multiples et des échecs répétés pour savoir si un utilisateur a été victime ou non d’une usurpation d’identité.

Rester vigilant : la meilleure défense contre les malwares

Qu’il s’agisse de malwares voleurs de mots de passe ou de logiciels malicieux voleurs de données, la meilleure défense reste la vigilance suivie d’action : équipez-vous d’un système de cyber-sécurité email empêchant les malwares d’atteindre vos boîtes de réception, incluant un antivirus et d’autres remparts de défense. Une fois qu’un malware s’est implanté dans un système, il peut être très difficile de s’en défaire. Rester vigilant vous permettra d’empêcher la plupart de ces malwares de compromettre votre entreprise et votre productivité.