Ransomware

Pourquoi la cybersécurité doit être une priorité pour le secteur de l’éducation ?

Pourquoi la cybersécurité doit être une priorité pour le secteur de l’éducation ?

Une étude récente concernant les effets à long terme des fermetures des écoles de la classe de la maternelle à la terminale (K12) à cause de la pandémie du COVID en 2020 souligne à quel point cette perturbation de l’apprentissage en classe sera coûteuse.

Selon les estimations, les étudiants K12 peuvent s’attendre à une baisse de 3 % de leurs revenus au cours de leur vie. À l’échelle macroéconomique, on estime que les pays devraient s’attendre à une baisse moyenne de 1,5 % de la croissance annuelle de leurs PIB pour le reste du siècle.

Il ne fait aucun doute que toute influence négative sur l’expérience d’apprentissage des élèves a des répercussions qui vont bien au-delà de la salle de classe.

Cybersécurité dans le secteur de l’éducation

Les perturbations en classe, à tout moment, peuvent avoir de graves conséquences pour les élèves. C’est pourquoi il est impératif de veiller à ce que les étudiants puissent apprendre dans un environnement optimal, sans interruption.

Pour atteindre ce premier objectif, il faut se concentrer sur la cybersécurité au sein de nos institutions K12. Nous avons tous lu dans les journaux les histoires de districts scolaires entiers contraints de fermer pendant plusieurs jours à cause d’une attaque de ransomware.

Si ces perturbations du système ont un impact important, de petits incidents de cybersécurité isolés peuvent également nuire à l’environnement d’apprentissage de façon dramatique.

Lorsqu’un ordinateur portable d’un étudiant est mis hors service pendant une journée en raison d’une infection par un virus informatique, l’expérience d’apprentissage personnelle de cet étudiant est affectée.

Lorsqu’un élève lance une attaque DDoS afin d’éviter un test en ligne, ce sont des classes entières qui sont touchées. Lorsqu’un enseignant clique sur un lien d’hameçonnage et se fait escroquer, cela affecte son état d’esprit, ce qui entrave le processus d’enseignement.

Ransomware et attaques DDoS

Selon un bulletin de sécurité publié conjointement par le FBI et le DHS en décembre 2020, plus de la moitié des attaques de ransomware aux États-Unis ont concerné des systèmes scolaires K12 au cours des mois d’août et de septembre.

Ce n’est pas une coïncidence si cette période est liée au début de la saison scolaire. Selon un article publié par ZDNet, plus de 500 écoles aux États-Unis ont été touchées par un ransomware en 2019. Ces types d’attaques ont gravement nui aux activités des établissements scolaires victimes.

Les écoles sont particulièrement sensibles aux attaques de ransomware, car elles manquent souvent de ressources pour sécuriser correctement leur parc informatique. Elles sont également confrontées au défi de la concurrence avec le secteur privé pour obtenir des talents formés à la cybersécurité.

Souvent, les systèmes scolaires n’ont d’autre choix que de payer la rançon suite à des attaques de ransomware en raison de leur manque de préparation pour surmonter ces attaques.

Mais si les ransomwares font beaucoup parler d’eux aujourd’hui, les attaques par déni de service distribué (Distributed Denial of Service ou DDoS) sont également une menace fréquente pour les systèmes scolaires.

Les écoles publiques du comté de Miami-Dade avaient été la cible de plus d’une douzaine d’attaques DDoS au cours de l’année scolaire 2020-2021. Il s’avère que le coupable derrière l’attaque n’était pas un hacker russe, mais un étudiant local.

Malheureusement, il ne s’agit pas d’un incident isolé, et les attaques vont s’intensifier, car les étudiants peuvent désormais demander facilement des attaques DDoS sur le dark web afin de perturber un examen en ligne, par exemple.

Vol de données

La nécessité de donner la priorité à la cybersécurité dans le secteur de l’éducation va au-delà de l’expérience en classe. Les écoles contiennent un vaste dépôt de données personnelles, notamment des numéros de sécurité sociale.

Même si les lycéens n’ont pas encore de carte de crédit, les cybercriminels peuvent conserver leurs données personnelles pendant de nombreuses années en vue de les utiliser ultérieurement.

Les cybercriminels ne s’intéressent pas seulement aux dossiers des élèves. Dans de nombreuses zones rurales, le système scolaire est le plus gros employeur, ce qui signifie qu’il dispose de la plus grande base de données RH. C’est donc une mine d’or pour les pirates qui souhaitent voler des informations personnelles afin de mener des attaques plus ciblées.

L’informatique fantôme

Le défi de l’informatique fantôme – une menace tapie dans l’ombre — est un problème auquel de nombreux départements informatiques internes doivent faire face aujourd’hui.

Comme son nom laisse entendre, l’informatique fantôme est une technologie qui est là, mais qui n’est pas vraiment visible de votre service informatique. Il s’agit d’un concept qui rassemble toutes les formes d’IT que vous retrouverez dans votre organisation sans que votre service informatique ait approuvé ou même ait connaissance de leur existence.

Le concept de l’informatique fantôme s’applique également dans le secteur de l’éducation, car les enseignants et les administrateurs scolaires doivent adopter ouvertement les nouvelles technologies susceptibles d’améliorer le processus d’apprentissage des élèves.

Bien que les raisons qui motivent ces achats de technologies pour les salles de classe soient très admirables, on en sait souvent peu sur les vulnérabilités de ces technologies en matière de sécurité.

Les cybercriminels ciblent les collèges et les universités pour les mêmes raisons que celles susmentionnées (vol de données, attaque DDoS, etc.). Ils les ciblent également pour les importantes sommes d’argent qu’ils gèrent.

Les collèges et les universités gèrent beaucoup d’argent sous la forme de frais de scolarité et de dotations privées. En outre, ils hébergent de nombreuses recherches de données de grande valeur qui peuvent rapporter gros sur le marché libre.

Conclusion

S’il est vrai qu’on ne peut pas gérer les écoles de la même manière qu’une entreprise, elles doivent être sécurisées de la même manière que toute organisation à but lucratif. Il est temps de mettre réellement l’accent sur la cybersécurité dans le secteur de l’éducation.

Protégez les enfants et les étudiants des cyberattaques avec la solution WebTitan DNS & Content Filtering. Commencez l’essai gratuit de 14 jours de WebTitan et voyez comment TitanHQ peut protéger votre école ou votre collège contre les attaques cybercriminelles. Commencez l’essai gratuit dès aujourd’hui et voyez les résultats en moins d’une heure.

Protégez votre entreprise de la compromission d’emails professionnels

Protégez votre entreprise de la compromission d’emails professionnels

La récente enquête réalisée par TitanHQ et Osterman Research, menée auprès des professionnels de la sécurité informatique, a montré que les incidents de sécurité les plus fréquents subis par les entreprises étaient les attaques par compromission des emails professionnels (BEC).

Qu’est-ce qu’une attaque de compromission d’emails professionnels, ou Business Email Compromise ?

Une attaque de type BEC consiste pour un cybercriminel à usurper la confiance d’un contact ou d’une entreprise, généralement pour inciter un employé à effectuer un virement frauduleux, à envoyer des données sensibles via la messagerie électronique ou à obtenir de l’argent par d’autres moyens.

Lors d’une attaque de type BEC, l’attaquant usurpe généralement un compte de messagerie ou un site web. Il peut aussi utiliser un compte de messagerie authentique et fiable qui a déjà été compromis dans une attaque de phishing.

Si un compte de messagerie compromis n’est pas utilisé, une personne est généralement usurpée en modifiant le nom d’affichage pour faire croire que l’email a été envoyé par un contact authentique, souvent le PDG, le directeur financier ou un fournisseur.

Il est également fréquent que des domaines similaires soient utilisés dans les attaques de type BEC. L’attaquant découvre le format des comptes de messagerie de l’entreprise usurpée et copie ce format en utilisant un domaine qui ressemble beaucoup au domaine authentique utilisé par cette entreprise. À première vue, le domaine usurpé semble parfaitement légitime.

Les attaques de type BEC sont généralement très ciblées. Un email est soigneusement conçu pour cibler une personne au sein d’une organisation ou une personne ayant un rôle particulier.

Étant donné que de nombreuses attaques visent à inciter les employés à effectuer des virements électroniques frauduleux. Les personnes du département financier sont le plus souvent visées, bien que les auteurs des attaques de type BEC ciblent également le département des ressources humaines, le département marketing, le département informatique et les cadres.

Comme les demandes contenues dans les emails sont plausibles et que le format du message, les signatures et la marque sont souvent copiés de emails authentiques, les emails BEC peuvent être très convaincants.

Il n’est pas rare non plus que les attaques impliquent des conversations qui s’étendent sur plusieurs messages avant que l’attaquant ne fasse une demande.

Si les attaques de phishing sont courantes, les pertes dues aux attaques de type BEC sont bien plus importantes. Selon les chiffres du FBI, les attaques de type BEC sont la première cause de pertes dues à la cybercriminalité.

Comment protégez votre entreprise de la compromission d’emails professionnels ?

La défense contre les attaques de type BEC nécessite une combinaison de mesures. Naturellement, comme ces attaques visent les employés, il est important de les sensibiliser à la menace et de leur apprendre à identifier une telle attaque.

Il convient également de mettre en place des politiques et des procédures exigeant que toute demande par courrier électronique de modifications des coordonnées bancaires ou des méthodes de paiement, ou de modification des informations de dépôt direct pour la paie, soit vérifiée à l’aide de coordonnées de confiance. Un appel téléphonique rapide pourrait facilement déjouer une attaque.

Bien que ces mesures soient importantes, la meilleure défense consiste à empêcher les emails BEC d’atteindre les boîtes de réception des utilisateurs finaux, car cela élimine le risque d’erreur humaine.

Pour ce faire, vous devez disposer d’une solide sécurité du courrier électronique. Une bonne solution de sécurité des emails bloquera les tentatives de vol d’identifiants qui sont les précurseurs de nombreuses attaques de type BEC.

Une solution avancée de filtrage du spam qui intègre des techniques d’apprentissage automatique peut détecter et bloquer les attaques de type « zero day » via des messages personnalisés, souvent uniques et utilisés par les attaquants pour cibler des cibles particulières.

Les solutions qui intègrent les protocoles DMARC et SPF permettront de détecter les emails provenant de personnes non autorisées à envoyer des messages depuis un domaine particulier. Il s’agit d’une protection vitale contre les attaques de type BEC.

Optez pour SpamTitan contre la compromission d’emails professionnels

SpamTitan intègre toutes ces mesures — et bien d’autres encore — pour protéger les entreprises. Associé à la formation des utilisateurs finaux et à des mesures administratives, les entreprises peuvent améliorer considérablement leurs défenses contre les attaques de type BEC.

Pour plus d’informations sur la façon dont SpamTitan peut protéger votre entreprise contre toute une série d’attaques par email, appelez l’équipe de TitanHQ dès aujourd’hui.

Découvrez également d’autres mesures que vous pouvez mettre en œuvre pour bloquer les attaques de phishing et de ransomware lors de notre webinaire qui s’est déroulé le 30 juin 2021.

Dans ce webinaire — organisé par TitanHQ et Osterman Research —, vous découvrirez les résultats de la dernière enquête TitanHQ auprès des professionnels de la sécurité et vous obtiendrez de précieuses indications sur la manière dont vous pouvez améliorer votre posture de cybersécurité.

Colonial Pipeline : une attaque  à cause d’un mot de passe non protégé

Colonial Pipeline : une attaque à cause d’un mot de passe non protégé

En avril 2021, des pirates ont accédé au réseau de Colonial Pipeline et ont déployé un ransomware qui a forcé l’arrêt d’un système de pipelines de carburant desservant la côte est des États-Unis. L’approvisionnement en carburant étant menacé, les Américains de la côte est ont acheté du carburant en panique, ce qui a entraîné des pénuries locales.

Le prix de l’essence a atteint son niveau le plus élevé depuis plus de six ans et les stocks d’essence de la côte est ont diminué de 4,6 millions de barils.

L’attaque a été attribuée à l’opération d’un « ransomware-as-a-service (RaaS) » appelé DarkSide, qui a depuis cessé ses activités. Avant la fermeture, Colonial Pipeline a payé une rançon de plus de 3.7 millions d’euros pour obtenir les clés permettant de déverrouiller les fichiers chiffrés.

La décision de payer la rançon a été prise en raison de la menace qui pesait sur l’approvisionnement en carburant.

Colonial Pipeline fournit 45 % du carburant à la côte est, et bien que la décision de payer les attaquants ait été difficile à prendre, le paiement a été effectué en raison de la menace pour l’approvisionnement en carburant, étant donné le temps qu’il aurait fallu pour récupérer sans les clés de déchiffrement fournies par les attaquants.

Une attaque d’une telle ampleur contre une entreprise d’infrastructure critique aurait dû être difficile. Cependant, une enquête sur la cyberattaque a révélé que l’accès au système informatique de l’entreprise n’aurait pas pu être plus simple.

L’origine de l’attaque de ransomware provient d’un mot de passe non protégé

En fait, les attaquants ont utilisé un mot de passe compromis pour accéder à distance aux systèmes de Colonial Pipeline, et ce compte n’était pas protégé par une authentification multifactorielle.

Le mot de passe correspondait à un compte de réseau privé virtuel, selon Charles Carmakal, vice-président senior de la société de cybersécurité Mandiant, qui a participé à l’enquête. Le compte n’était pas utilisé, mais il était toujours possible d’utiliser les identifiants de connexion pour accéder au réseau de Colonial Pipeline.

On ne sait pas comment les pirates ont obtenu le mot de passe. Il a été trouvé dans une base de données de mots de passe usurpée qui a été divulguée sur le darkweb. Il est possible qu’une personne ait défini un mot de passe pour le compte qui avait été utilisé pour un autre compte qui avait été piraté.

Il est fréquent que les mots de passe provenant de violations de données soient tentés dans des attaques par la force brute, car la réutilisation des mots de passe est courante. Les mots de passe sont également souvent obtenus lors des attaques de phishing.

Mandiant a cherché des preuves de la façon dont le mot de passe a été obtenu par les pirates. Les chercheurs n’ont trouvé aucun signe d’activité des attaquants avant le 29 avril 2021, ni aucune preuve de phishing. On ne saura peut-être jamais comment le mot de passe a été obtenu et le nom a été d’utilisateur déterminé.

Ce qui est clair, c’est que l’attaque aurait pu être facilement évitée si les meilleures pratiques en matière de cybersécurité avaient été suivies, comme :

  • La réalisation d’audits des comptes et la fermeture des comptes qui ne sont plus utilisés
  • La définition de mots de passe uniques et complexes pour chaque compte
  • La mise en œuvre d’une authentification multifactorielle pour empêcher l’utilisation de mots de passe compromis
  • La mise en œuvre d’une solution antispam efficace pour bloquer les e-mails de phishing.
Réduire les risques de phishing et de ransomware en entreprise

Réduire les risques de phishing et de ransomware en entreprise

L’introduction du travail à domicile et du confinement causé par la pandémie du Covid-19 ont déplacé l’attention des professionnels de la cybersécurité. En fait, les cybercriminels ont développé des moyens plus sophistiqués pour compromettre les systèmes des entreprises.

Un rapport sur les risques mondiaux indique que l’année 2021 sera axée sur de meilleures stratégies de cybersécurité pour détecter et arrêter le phishing et les attaques de ransomware. Ces deux méthodes d’attaque sont de plus en plus courantes et efficaces pour permettre aux escrocs de voler des données ou d’extorquer des millions d’euros aux entreprises ciblées.

Le paysage actuel des menaces

Selon Osterman Research, les trois principaux enjeux de la cybersécurité en 2021 sont :

  • La protection des points d’extrémité (par exemple, les appareils des utilisateurs ou les ordinateurs connectés à Internet) ;
  • La sensibilisation des utilisateurs aux ransomwares et le fait de les empêcher d’en être victimes ;
  • La protection des sauvegardes pour lutter contre les attaques de ransomwares.

Comme vous pouvez le constater, deux des trois priorités sont les ransomwares. Ils continuent de se positionner comme l’une des menaces les plus dommageables dans le paysage actuel de la cybersécurité.

Ces malwares chiffrent les données à l’aide d’un code cryptographique sécurisé, de sorte qu’il est techniquement impossible pour la victime de remédier au problème.

La seule façon de se remettre d’une attaque de ransomware est d’utiliser les sauvegardes pour restaurer les données ou de payer la rançon. Pour des raisons évidentes, la plupart des entreprises préfèrent utiliser les sauvegardes pour récupérer leurs données.

Comme les sauvegardes sont une solution de récupération pour les victimes, la troisième préoccupation doit être une priorité pour les organisations au cas où elles deviendraient une cible réussie.

Les développeurs des ransomwares programment leurs malwares pour rechercher les sauvegardes sur le réseau, ce qui réduit les chances de récupération pour les victimes ciblées. Sans la sauvegarde des données, la victime ciblée est obligée de payer la rançon, ce qui est l’objectif principal des escrocs.

Si l’entreprise victime ne paie pas la rançon, la stratégie finale des pirates informatiques consiste à menacer de divulguer les données privées de l’organisation. Ils menacent souvent de divulguer la violation des données au public, ce qui pourrait nuire à la réputation de la marque et entraîner des poursuites judiciaires et des sanctions de conformité supplémentaires.

Si l’entreprise ne parvient pas à récupérer les sauvegardes, elle peut parfois négocier avec le propriétaire du ransomware.

Dans les attaques actuelles, le propriétaire du ransomware inclut un numéro de contact numérique (par exemple, WhatsApp ou Telegram) que les victimes peuvent utiliser si elles ont des questions. Par exemple, le district scolaire du comté de Broward a pu négocier avec les auteurs d’un ransomware pour que le paiement passe de 40 à 10 millions de dollars.

Le phishing et le ransomware fonctionnent ensemble lors d’une compromission

Pour installer un ransomware sur un système ciblé, l’attaquant a besoin d’un vecteur. Dans de nombreux cas, le début de la compromission est un courrier électronique. Le message électronique peut contenir un lien vers un site web malveillant.

Le pirate peut également joindre un document contenant une macro qui télécharge le malware sur l’appareil ciblé. La plupart des systèmes de messagerie bloquent les fichiers exécutables, mais les attaquants peuvent utiliser un fichier exécutable ou un script malveillant pour installer le ransomware.

Les utilisateurs doivent être formés pour identifier les emails suspects, mais l’erreur humaine est un problème majeur en matière de cybersécurité. Il suffit qu’un seul utilisateur tombe dans le piège d’un email de phishing pour que les attaquants réussissent à installer un ransomware, ce qui en fait une stratégie efficace.

Comme il suffit d’un seul email de phishing réussi, un attaquant peut en envoyer des centaines à des utilisateurs spécifiques au sein de l’organisation.

Lisez le rapport Osterman & TitanHQ : comment réduire le risque de phishing et de ransomware (en anglais)

La cybersécurité de la messagerie électronique est une défense primaire

La formation à la cybersécurité est souvent la première défense contre les ransomwares et le phishing, mais elle laisse l’organisation ouverte à l’erreur humaine. La seule façon d’empêcher l’erreur humaine est d’empêcher les messages malveillants d’atteindre la boîte de réception du destinataire.

La cybersécurité de la messagerie électronique — qui détecte et filtre les messages suspects — est la principale défense contre les ransomwares et les autres attaques qui commencent par une campagne de phishing.

Les ransomwares sont dommageables pour toute organisation, mais le phishing est également utilisé pour l’injection d’autres malwares. Il est également utilisé pour voler les informations d’identification des utilisateurs pour les comptes personnels ou l’accès au réseau de l’entreprise.

La cybersécurité de la messagerie électronique détecte tous ces messages malveillants et les met en quarantaine avant de permettre aux messages d’atteindre la boîte de réception de l’utilisateur.

Lorsque les défenses de cybersécurité mettent un email en quarantaine, les administrateurs peuvent examiner les messages. En permettant aux administrateurs d’examiner les messages au lieu de les supprimer purement et simplement, les administrateurs peuvent vérifier si les messages sont faussement positifs et envoyer au destinataire ceux qui devraient l’être.

Sans la méthode de mise en quarantaine, les utilisateurs pourraient perdre des messages importants contenant des pièces jointes essentielles. Les administrateurs peuvent également déterminer si une campagne de phishing ciblée est en cours afin de former et d’éduquer davantage les utilisateurs pour qu’ils soient plus vigilants en cas de faux négatifs.

Les ransomwares étant de plus en plus populaires, la cybersécurité des emails est plus importante que jamais. Les sauvegardes sont toujours nécessaires, mais la cybersécurité des emails est votre première défense contre ces attaques.

Le blocage des messages malveillants permet d’économiser de l’argent, du temps et des problèmes potentiels liés à une attaque réussie de ransomware et sert de stratégie pour protéger l’entreprise contre l’erreur humaine.

Nous aimerions vous inviter à découvrir les résultats de notre webinaire qui s’est déroulé le 30 juin lors de laquelle la nouvelle recherche d’Osterman Research a été dévoilée.

Cette étude a été menée auprès de 130 professionnels de la cybersécurité et porte spécifiquement sur les menaces croissantes du phishing et du ransomware, et sur la manière dont les risques de ces deux phénomènes peuvent être réduits.

Epsilon Red: un nouveau supersoldat du ransomware

Epsilon Red: un nouveau supersoldat du ransomware

Un autre mois, une autre souche de ransomware. Celle-ci s’appelle Epsilon Red, un nom qui fait référence à un personnage ennemi peu connu de la série de comics Marvel X-Men. Le personnage de bande dessinée « Super Soldier » est d’origine russe et armé de quatre tentacules mécaniques.

Quant à la souche Epsilon du ransomware, elle utilise des scripts PowerShell plutôt que des tentacules et traque sélectivement les serveurs Exchange non patchés.

Si les noms des descripteurs et les extraits de code changent, les méthodologies restent les mêmes. On ne sait pas si le malware tire parti de l’exploit ProxyLogon rendu célèbre au début de l’année. Ce qui est clair, c’est qu’il a été identifié la semaine dernière après avoir fait sa première victime une semaine plus tôt, pour un montant d’environ 177000 euros.

Le plan d’attaque d’Epsilon Red consiste pour les attaquants à obtenir un point d’entrée dans un serveur Microsoft Exchange non patché. À partir de là, ils utilisent des outils de script pour installer d’autres logiciels sur des machines accessibles depuis le serveur Exchange.

Il s’agit notamment d’une série de scripts PowerShell portant des noms rudimentaires tels que 1.pas1 à 12.ps1.

Bien que les scripts eux-mêmes n’aient rien de très avancé, les analystes affirment qu’ils pourraient être en mesure d’échapper à l’attention des outils antimalware de base suffisamment longtemps pour accomplir les tâches qui leur sont assignées.

Voici quelques-unes des tâches assignées :

  • Modifier les règles du pare-feu local pour permettre aux attaquants d’établir des connexions à distance ;
  • Désactiver le processus susceptible de verrouiller les fichiers et d’empêcher leur chiffrement ;
  • Supprimer toute copie d’ombre de volume afin d’empêcher la récupération locale des fichiers ;
  • Désinstaller les logiciels de sécurité tels que Trend Micro, MalwareBytes, Webroot, etc. ;
  • Désactiver Windows Defender ;
  • Supprimer les journaux de Windows Even ;
  • Étendre les permissions sur le système afin que le groupe « Tout le monde » ait accès à tous les lecteurs ;
  • Copier le gestionnaire de comptes de sécurité de Windows pour récupérer les mots de passe stockés sur un ordinateur local.

Jusqu’à présent, les attaquants ont également téléchargé et installé une application commerciale appelée « Remote Utilities » et le navigateur Tor comme alternative de secours pour obtenir le contrôle d’un réseau.

La dernière étape effectuée par les scripts consiste à livrer la charge utile proprement dite. La charge utile consiste en un fichier appelé Red.exe. Une fois téléchargée, la charge utile se met au travail et analyse les disques durs locaux afin de compiler une liste de tous les fichiers et chemins de répertoire.

C’est à ce moment-là que le processus de chiffrement commence. Une fois qu’un fichier est chiffré, il porte l’extension « .epsilonred ».

L’étape finale consiste à déposer une note de rançon pour alerter la victime et lui fournir des instructions supplémentaires.

Bien que la note du ransomware présente des points communs avec les notes émises par le gang du ransomware REvil, on pense que le groupe à l’origine de la variante EpsilonRed est composé d’armatures.

Certains experts sont sceptiques quant à la récupération des fichiers, car le processus de chiffrement utilisé n’exclut pas les fichiers système critiques et les bibliothèques de liens dynamiques, ce qui peut empêcher l’ordinateur de redémarrer correctement.

Une autre tendance croissante en matière de ransomware

Nous avons parlé de Ransomware 2.0 à plusieurs reprises sur le blog de TitanHQ, et de la façon dont les pirates exfiltrent les fichiers avant de les chiffrer afin de doubler leur pouvoir d’extorsion. De cette façon, si l’organisation victime est en mesure de récupérer ses fichiers par elle-même, elle peut menacer de rendre les fichiers publics ou de les vendre sur le marché libre.

Récemment, une nouvelle méthode d’attaque a été découverte, impliquant un double chiffrement. Dans ce cas, les attaquants utilisent plusieurs types de ransomwares en tandem pour chiffrer les fichiers d’un réseau ciblé.

Il existe deux façons d’utiliser ces souches multiples dans une attaque. La première consiste à chiffrer les fichiers à l’aide d’un type de ransomware, puis à les rechiffrer avec une autre variante.

L’autre consiste à utiliser ce que l’on appelle le chiffrement côte à côte, c’est-à-dire que les fichiers ne sont chiffrés qu’une seule fois, mais que différents systèmes sont chiffrés avec des variantes différentes.

Cette nouvelle tactique s’explique par un certain nombre de raisons. Au minimum, l’utilisation de plusieurs souches de ransomware complique et allonge le processus de restauration.

Par conséquent, la probabilité qu’une victime se remette d’une attaque par ses propres moyens est considérablement réduite. Cela donne également aux attaquants la possibilité de déterminer l’efficacité de différentes souches à la fois.

Le véritable avantage est toutefois la possibilité d’augmenter le montant de la rançon. Les attaquants peuvent émettre deux notes de rançon au début pour s’assurer que la victime est consciente de la complexité supplémentaire de sa situation.

Dans d’autres cas, les victimes ne voient qu’une seule note de rançon et ne découvrent la deuxième couche de chiffrement qu’après avoir payé pour éliminer la première.

La cybersécurité est une cible mouvante. Les créateurs de ransomwares continuent de publier de nouvelles souches pour tirer parti des nouveaux kits d’exploitation découverts ainsi que de nouvelles innovations furtives pour éviter la détection.

En même temps, les escrocs expérimentent de nouvelles tactiques et stratégies afin d’améliorer leur efficacité. Voici pourquoi il est important de s’allier à d’excellents partenaires en matière de cybersécurité.

Vous pouvez protéger votre entreprise contre la menace toujours plus grande des ransomwares.

TitanHQ protège votre entreprise en utilisant une sécurité multicouche pour bloquer les menaces avancées.

Contactez l’équipe TitanHQ et parlez à un expert en matière de cybersécurité dès aujourd’hui.

De nouvelles campagnes de ransomware visent les enseignants

De nouvelles campagnes de ransomware visent les enseignants

La pandémie a changé la façon dont le monde travaillait et apprenait. Les enseignants ont fait l’expérience unique de changer leur façon de travailler et d’enseigner à leurs élèves. Ils étaient contraints de proposer un enseignement en ligne, ce qui signifie que les étudiants communiquaient principalement par le biais d’applications VoIP (voix sur IP) et de messages électroniques.

Les escrocs se sont emparés du changement de communication dans l’enseignement et ont utilisé des attaques de phishing conçues pour ressembler à des étudiants rendant leur travail. Les emails contenaient des pièces jointes malveillantes avec des macros qui téléchargeaient un ransomware et cryptaient les fichiers des enseignants. Pour récupérer leurs données, ils avaient trois choix : payer une rançon pour obtenir la clé de déchiffrement ; les restaurer à partir d’une sauvegarde ou perdre définitivement leurs fichiers essentiels.

Les enseignants victimes de nouvelles campagnes de ransomware

Alors que tout le monde s’acclimatait aux changements de leur mode de travail à cause du confinement, les enseignants ont mis en place une communication en ligne et des sites Web pour que les élèves puissent poser des questions et rendre leurs devoirs. La dernière campagne de phishing a imité les communications entre élèves et enseignants. Le message électronique prétendait être le parent d’un élève et comportait un fichier joint contenant une macro malveillante.

Le message indiquait à l’enseignant que les messages précédents n’avaient pas permis de remettre le devoir de l’élève. Les chercheurs pensent que les attaquants ont récolté les adresses électroniques des enseignants ciblés en utilisant les listes de contacts des professeurs sur le site Web de l’école. Comme ces pages contiennent le nom de l’enseignant, l’attaquant pouvait alors adresser l’email avec le nom de l’enseignant, faisant croire que le message était légitime. Après que l’enseignant a ouvert le fichier joint, la macro a téléchargé les fichiers exécutables du ransomware.

L’un des aspects de cette attaque était que les exécutables malveillants envoyaient un message SMS à l’attaquant pour l’avertir de la présence d’une nouvelle victime. Un autre aspect unique de cette souche de ransomware est qu’elle a été écrite dans le langage de programmation Go, contrairement à de nombreuses autres souches standards. Les fichiers chiffrés par le ransomware sont répertoriés dans un fichier texte nommé « About_Your_Files.txt » et stocké sur le bureau de l’utilisateur.

Le ransomware visait les particuliers et non les entreprises. Les attaques au niveau des entreprises demandent des dizaines de milliers d’euros, ce qui oblige l’entreprise à payer la rançon ou à perdre l’accès à ses données essentielles.

Les ransomwares ciblant les enseignants demandent environ 60 euros en bitcoins, ce qui les rend abordables pour que les particuliers choisissent de payer la rançon au lieu de récupérer les sauvegardes. Les auteurs de ransomwares destinés aux entreprises demandent généralement des montants plus élevés, sachant que les entreprises disposent de plus de fonds.

Des ransomwares retardent les cours dans tous les États-Unis

Comme les écoles ne disposent pas souvent des ressources nécessaires pour stopper les attaques sophistiquées, elles sont des cibles privilégiées pour les attaques de ransomwares. Tout au long de l’année 2020, les ransomwares ont retardé les sessions de cours dans plusieurs écoles aux États-Unis. Par exemple, un ransomware a retardé le premier jour de classe d’une école de Hartford, dans le Connecticut. Le ransomware de cette attaque a visé 200 serveurs de la ville, ne permettant pas à l’école d’obtenir des listes et des informations sur les élèves.

En septembre 2020, une attaque de ransomware a touché le district scolaire du comté de Clark à Las Vegas, dans le Nevada. Les responsables de l’école ont refusé de payer la rançon et, en retour, les attaquants ont publié les numéros de sécurité sociale, les notes des élèves et d’autres données privées recueillies par leur malwares.

Cet incident décrit de nombreux scénarios lorsque les victimes refusent de payer la rançon. Dans de nombreux cas, les attaquants font chanter la victime ciblée en exposant des données privées, ce qui peut être tout aussi dommageable, voire plus que la perte des données elles-mêmes.

Comment les écoles peuvent-elles se défendre contre les ransomwares ?

Outre les contrôles de cybersécurité qui bloquent les malwares traditionnels, le blocage des ransomwares nécessite l’éducation des utilisateurs finaux, des filtres de messagerie et des sauvegardes. Les sauvegardes constituent la première défense réactive contre les ransomwares. Si un malware parvient à chiffrer des fichiers, les sauvegardes permettent aux écoles et autres organisations de restaurer les données sans payer la rançon.

Les sauvegardes doivent être stockées hors site afin que les ransomwares ne puissent pas y accéder. Les sauvegardes dans le cloud sont principalement utilisées dans les stratégies de reprise après sinistre requises après une attaque de ransomware.

L’utilisation de filtres de messagerie est une autre stratégie de cybersécurité. En étant proactive, une organisation éducative peut arrêter les pièces jointes de ransomware avant qu’elles n’atteignent les boîtes de réception des utilisateurs ciblés. Avec les filtres de messagerie, votre système de sécurité pourra détecter les messages et pièces jointes malveillants et les envoyer en quarantaine.

La quarantaine est un lieu de stockage sûr où les administrateurs peuvent examiner le contenu du courriel et déterminer s’il s’agit d’un faux positif. S’il s’agit d’un faux positif, les administrateurs le transmettent à la boîte de réception du destinataire. Les messages contenant des malwares peuvent être supprimés ou examinés en vue d’améliorer la stratégie de l’organisation.

L’éducation des utilisateurs est une troisième option. Comme les enseignants communiquent souvent avec leurs élèves en ligne, les sensibiliser aux dangers des malwares et du phishing leur permet d’identifier ces messages.

Les enseignants sont des cibles récentes, et leurs propres appareils sont à risque s’ils continuent à enseigner depuis leur domicile. En dispensant l’éducation et la formation à la cybersécurité nécessaires pour identifier le phishing, les enseignants seront moins susceptibles d’être la prochaine victime d’une telle attaque. Ils doivent également savoir que l’ouverture des pièces jointes doit se faire avec prudence et que les macros ne doivent jamais être exécutées.

Technologie et éducation

La plupart des écoles ont adopté le numérique pour communiquer et collaborer avec les élèves. Les appareils tels que les Chromebooks et les iPads sont monnaie courante. La productivité et la collaboration entre le corps enseignant, les élèves et les parents ont augmenté en conséquence.

Cette transformation numérique du secteur de l’éducation présente des défis en matière de sécurisation des communications et de protection des étudiants contre les attaques en ligne. Les universités et les écoles doivent être en mesure de protéger rapidement et facilement leurs étudiants et leur personnel contre les menaces en ligne.

WebTitan on-the-go (OTG) pour les Chromebooks est maintenant disponible, pour protéger tous les utilisateurs de vos Chromebooks contre les menaces en ligne. Conçu pour le secteur de l’éducation, il s’agit d’une solution de filtrage de sécurité rapide et abordable pour les Chromebooks qui prend en charge la conformité CIPA, ce qui permet à votre école ou votre bibliothèque de bénéficier de réductions E-rate pour des services autres que la téléphonie.

Les organisations qui utilisent le produit WebTitan peuvent désormais appliquer facilement des politiques pour tous leurs utilisateurs de Chromebook par groupe. Si vous voulez en savoir plus sur WebTitan on-the-go (OTG) pour les Chromebooks.