En février dernier, l’attaque contre l’hôpital presbytérien de Hollywood a fait la une des journaux.
Après avoir perdu l’usage de leur système informatique interne et l’arrêt de leurs activités, les cadres supérieurs ont pris la décision de payer une rançon négociée de plus de 15 000 euros. À l’époque, une telle somme semblait choquante.
Le coût d’une attaque de ransomware a atteint plus de 895 000 euros
Le 10 juin 2017, la société d’hébergement web sud-coréenne Nayana a été victime d’une attaque de ransomware appelé Erebus.
Bien qu’à l’origine, le ransomware ait été conçu pour compromettre le système d’exploitation Windows, il a été récemment modifié pour cibler les serveurs web Linux.
La façon dont le malware a infecté le système n’a pas été identifiée. Ce qui est certain, c’est qu’aucun des 153 serveurs Linux qui composaient l’infrastructure d’hébergement web n’a été correctement mis à jour.
La société Nayana étant complètement fermée, la direction est venue à la table des négociations pour conclure un accord avec les pirates.
Le prix final convenu était de plus de 895 000 euros, soit nettement moins que le prix demandé à l’origine, à savoir de plus de 39,4 millions d’euros. La rançon est payée en trois versements et chaque versement a permis de déchiffrer un lot de serveurs de la société.
Le paiement de rançon pour les entreprises est souvent de l’ordre de 8 900 à plus de 22 000 euros. Pourtant, les pirates derrière cette attaque ont exigé 550 bitcoins pour déchiffrer les accès aux réseaux, soit environ 1,45 millions d’euros.
Le 14 juin 2017, la société Nayana a signalé qu’elle avait négocié un paiement de 397,6 bitcoins, soit plus de 905 000 euros, ce qui est en fait d’elle l’un des plus grosses rançons jamais signalées et payées.
Vous avez bien lu, plus de 905 000 euros. Pourtant, cet incident aurait pu être évité si la société avait mis en œuvre le correctif approprié.
Anatomie d’une attaque de ransomware
Un mois plus tard, une entreprise canadienne a également été frappée par une attaque de ransomware et elle doit s’estimer chanceuse, car elle n’a dû payer qu’environ 380 000 euros.
L’équipe de la direction n’a pas eu d’autres choix que de payer, car l’attaque permettait aux pirates de chiffrer toutes les sauvegardes de l’entreprise.
Une équipe médico-légale qui enquête sur les conséquences de l’attaque pense que les pirates savaient exactement où se trouvaient les serveurs de base de données et les sauvegardes.
Le malware a été lancé par une attaque de phishing visant six cadres supérieurs de l’entreprise. Des e-mails malveillants ont été envoyés par les pirates.
Ils semblaient provenir d’une entreprise de messagerie et avaient pour objet des factures impayées. Les soi-disant factures étaient jointes aux messages au format PDF.
Deux cadres étaient tombés dans le piège et la charge utile malveillante contenue dans les pièces jointes s’est rapidement répandue dans tout le réseau de l’entreprise.
Bien entendu, si l’entreprise avait appliqué la stratégie de sauvegarde 3-2-1, qui consiste à faire 3 copies de toutes les données dans 2 formats différents, avec une copie hors site, le paiement par extorsion aurait peut-être été évité.
Devriez-vous payer ou ne pas payer la rançon en cas d’attaque ?
Avec des rançons d’un montant aussi épique, le conseil logique peut être de ne pas payer la rançon. C’était l’état d’esprit du centre médical du comté d’Erié à New York lorsqu’il a été victime d’une attaque de ransomware en avril dernier.
Au début, l’attaque visait le serveur web de l’hôpital, mais elle a finalement mis hors service 6 000 ordinateurs.
Une fois que les pirates ont obtenu l’accès à distance au serveur du centre médical, ils ont commencé à lancer une attaque de bourrage d’identifiants pour avoir accès au système.
Le compte compromis n’était protégé que par un mot de passe par défaut et c’est ce qui leur a permis de compromettre le réseau.
Les attaquants se sont alors connectés au système de l’entreprise et ont commencé à tout chiffrer de façon à compliquer la capacité du centre à restaurer ses données.
Plus tard, les cybercriminels ont exigé une rançon de plus de 26 000 euros pour le déchiffrement des données, mais l’équipe de direction du centre n’a pas décidé de payer une telle somme.
Après trois mois, l’organisation a dû dépenser près de 895 000 euros pour réparer les dommages.
Selon une source d’information de l’HIPAA, environ la moitié de cette somme a été consacrée au matériel informatique, aux logiciels et à l’assistance nécessaire pour éviter les représailles des pirates.
L’autre moitié a été allouée à la rémunération des heures supplémentaires du personnel et au recouvrement de pertes de revenus liés à l’arrêt du système.
De plus, l’hôpital a dû débourser environ 223 000 euros par mois depuis l’apparition de cet incident pour mettre à niveau sa technologie et pour améliorer la formation de ses employés en matière de cybersécurité.
La décision de payer une rançon pour obtenir les clés de déchiffrement des données est une question complexe. Du point de vue des coûts et de la productivité, elle peut s’avérer moins coûteuse.
D’un autre côté, il n’y a aucune garantie que les pirates vont donner les clés une fois la rançon payée.
Certains affirment également que les victimes d’une attaque de ransomware subissent souvent des attaques répétées, car les pirates savent que l’organisation sera toujours prête à payer.
Selon une étude réalisée par Symantec en avril 2017, 64 % des victimes d’attaques cybercriminelles aux Etats-Unis affirment être prêtes à payer la rançon, contre 34 % à l’échelle internationale.
La somme d’argent demandée lors de ces différentes attaques est considérable. En réalité, une seule attaque peut désormais mettre une entreprise en faillite. Ce qui est encore plus bouleversant, c’est que ces attaques ont pu être évitées grâce à de simples mesures de sécurité.
Des mesures de sécurité simples permettent de se protéger contre les attaques de ransomware
La première chose à faire est de sauvegarder régulièrement vos fichiers. Aucune stratégie de sauvegarde n’est à 100 % infaillible, mais la méthode 3-2-1 est celle la plus solide possible.
L’autre conseil est de ne pas activer les macros qui sont souvent envoyées par des e-mails. Ces messages tentent de convaincre l’utilisateur d’activer les macros pour pouvoir lancer une attaque. L’administrateur système devrait donc mettre en place une politique d’utilisation acceptable pour empêcher les employés d’activer eux-mêmes des macros contenus dans des e-mails dont la source n’est pas fiable.
N’ouvrez pas les pièces jointes aux e-mails non sollicitées. Si vous utilisez une solution de sécurité antispam comme SpamTitan, les fichiers chargés de malwares seront automatiquement mis en quarantaine avant d’atteindre votre ordinateur. Quoi qu’il en soit, tous les utilisateurs doivent suivre une règle simple, à savoir de ne pas ouvrir les pièces jointes ou les e-mails inattendus provenant d’expéditeurs inconnus.
Mettez à jour régulièrement vos systèmes et applications. Les équipes informatiques doivent intégrer la redondance dans leur infrastructure. En effet, lors de l’application d’une mise à jour, un système peut tomber en panne. Un autre devrait donc être opérationnel et prendre le relai pendant ce temps.
Sensibilisez vos employés concernant les menaces cybercriminelles. Bien que la plupart des organisations fournissent à leurs employés un manuel de sécurité, un guide de sécurité est tout aussi important. Ce document devrait comprendre des conseils sur l’hygiène des e-mails, les politiques de l’entreprise en matière de mots de passe, la politique BYOD et les informations concernant les menaces auxquelles les employés doivent être conscients et où ils peuvent obtenir de l’aide au besoin.
Les cybercriminels préfèrent s’attaquer aux réseaux ouverts et non segmentés. Une fois à l’intérieur d’un réseau non segmenté, ils peuvent voler vos données sensibles et mener d’autres attaques sur votre système. Vous aurez donc intérêt à segmenter le réseau de votre entreprise.
Vous êtes un professionnel de l’informatique et vous souhaitez vous assurer que vos données et périphériques sensibles soient protégés ? Parlez à un de nos spécialistes ou envoyez-nous un e-mail à info@titanhq.com pour toute question.
Pour les cybercriminels, tous les moyens sont bons pour se faire de l’argent. Actuellement, les établissements scolaires constituent l’une de leurs principales cibles pour mener des attaques de ransomware ou de phishing.
Le Centre de partage et d’analyse de l’information multi-états (MS-ISAC), une division de la Sécurité intérieure des États-Unis, a lancé une alerte le 4 décembre 2017 à tous les districts scolaires de la maternelle à la 12e année (K12).
Voici comment se présente le résumé de l’alerte :
« Les attaquants utilisent des attaques de phishing pour capturer les identifiants de connexion des employés de l’école qui accèdent à leurs comptes de dépôt direct.
Ils utilisent ensuite les identifiants de connexion qu’ils ont capturés pour modifier les informations de dépôt direct et charger des cartes prépayées qu’ils peuvent utiliser à leur tour. »
Les cybercriminels lancent leurs attaques de la façon suivante :
Ils envoient des emails de phishing aux employés du district scolaire. Le message contient un document Microsoft Office qui capture l’adresse email du destinataire et envoie d’autres messages de phishing à ses contacts. Le malware est lancé via la fonction de prévisualisation de Microsoft Office et ne nécessite pas que l’utilisateur ouvre le document.
L’email usurpe l’identité du service de la paie et informe le personnel qu’il met à jour le portail de paiement en ligne. Un lien est intégré au message afin que les membres du personnel puissent mettre à jour leurs informations de dépôt direct et leurs justificatifs d’identité. Le message inclut également le logo de l’établissement scolaire pour qu’il ait l’air authentique.
Le lien redirige les utilisateurs vers un domaine tiers géré par les pirates informatiques qui saisissent ensuite les données d’identification de l’utilisateur, après quoi, l’email s’efface automatiquement.
Les cybercriminels utilisent ensuite les informations capturées pour se connecter aux comptes compromis et rediriger les paiements vers une série de cartes prépayées.
Patch de mise à jour contre les attaques de phishing visant les écoles
Cette nouvelle forme d’attaque présente un avantage et un inconvénient. L’avantage est qu’elle peut être atténuée si votre logiciel Microsoft Office est entièrement patché, car la menace tire parti d’une vulnérabilité dans la fonction d’aperçu de Microsoft Office.
Si vous gardez vos systèmes entièrement patchés, vous pouvez donc contrer plus efficacement la majorité des cyberattaques.
L’inconvénient est que les districts scolaires sont des cibles faciles.
Souvent, le personnel informatique est peu nombreux ; ou bien, il est trop occupé par les tickets, le dépannage et la maintenance ; ou encore parce qu’il n’a pas le temps ni la base de connaissances nécessaire pour garantir la cybersécurité.
Selon la revue académique « The Journal », il faut en moyenne 221 jours aux K12 pour identifier une brèche et 83 jours pour la contenir, alors qu’il faut respectivement 155 et 34 jours pour les professionnels dans le secteur financier.
Force est de constater que les districts scolaires disposent souvent de plus d’informations sur les personnes que la plupart des entreprises.
Les pirates informatiques ciblent les districts scolaires pour pénétrer dans leurs systèmes d’information afin de voler les renseignements personnels des élèves et du personnel, comme les numéros de sécurité sociale et les renseignements fiscaux.
Dans certains cas, il peut s’écouler des années avant que les victimes apprennent que leurs renseignements personnels ont été compromis.
Les données sur les adolescents sont particulièrement attrayantes pour les pirates informatiques. C’est pour cette raison qu’ils sont assez patients pour attendre que ces élèves commencent à établir leur crédit plus tard dans leur vie.
Un certain nombre d’écoles ont déjà été la cible d’attaques de ransomware. Ces établissements constituent d’excellentes cibles puisque la plupart d’entre eux sont complètement dépendantes de la technologie pour l’enseignement en classe.
Les écoles doivent même s’inquiéter des attaques d’élèves qui tentent de modifier les notes ; de voler des tests ou de mettre en œuvre des attaques DDoS afin de perturber les tests en ligne.
Puisque les districts scolaires sont considérés comme des cibles faciles à atteindre, ils sont parfois utilisés comme moyen de s’introduire dans d’autres institutions gouvernementales.
En octobre dernier, un groupe de pirates informatiques a pénétré dans quatre districts scolaires de Floride pour tenter de pénétrer dans d’autres systèmes gouvernementaux sensibles, notamment les systèmes de vote de l’État.
Compte tenu des failles dans la sécurité web des districts scolaires, il n’est pas surprenant que 445 incidents de sécurité aient eu lieu dans le secteur de l’éducation. C’est ce que le rapport d’enquête de Verizon sur les atteintes à la sécurité des données a rapporté l’an dernier.
Les résultats d’une récente enquête menée par le Consortium for School Networking (SoSN) et l’Education Week Research Center sont aussi surprenants.
Selon ledit rapport, seulement 15 % des responsables dans établissements scolaires ont déclaré avoir mis en place un plan de cybersécurité dans leur propre district.
Voici quelques-uns des résultats :
37 % ont affirmé que les escroqueries de phishing constituent une menace importante, tandis que 11 % les ont identifiées comme une menace très importante
27 % ont déclaré que les malwares et les virus constituent une menace importante, tandis que 6 % les ont identifiés comme une menace très importante
20 % considèrent les ransomwares comme une menace importante, tandis que 7 % les ont identifiés comme très importants
12 % des répondants considèrent les attaques DDoS comme une menace importante, tandis que 6 % les ont identifiées comme une menace très importante
10 % affirment que le vol d’identité constitue une menace importante, tandis que 6 % l’ont qualifié de menace très importante.
Les recommandations du MS-ISAC pour contrer le phishing visant les écoles
Utiliser une authentification à deux facteurs pour l’accès aux sites web de dépôt direct des employés
Les environnements Microsoft Office ne doivent pas être configurés pour une connexion mobile sans vérification du système ou de l’adresse IP
Tapez manuellement l’adresse du site web de votre compte de dépôt direct. Ne vous fiez pas aux hyperliens intégrés dans les emails non sollicités qui prétendent provenir de votre site web de dépôt direct
Les changements apportés au site web de dépôt direct pour les employés devraient comprendre une question de contestation
Ne fournissez pas de renseignements personnels ou financiers en réponse à une demande par email
Les districts scolaires ont reconnu la valeur de l’intégration de la technologie dans l’apprentissage. De la même manière, ils doivent aussi reconnaître les risques que peuvent représenter les vulnérabilités du monde numérique.
Le fait de ne pas sécuriser chaque appareil qui se connecte au réseau de l’école offre l’ultime espace ouvert aux pirates informatiques. Alors, ne les laissez pas franchir la porte d’entrée de votre établissement scolaire.
Vous êtes un professionnel de l’informatique dans une école ? Vous souhaitez vous assurer que les données et les périphériques sensibles des élèves et du personnel sont protégés ? Parlez à un spécialiste ou envoyez-nous un email à info@titanhq.com pour toute question.
Pour une PME à court d’argent, la sécurité semble être un luxe, et non une nécessité. Pourtant, c’est un élément crucial pour la survie de votre organisation, notamment en cas d’attaque cybercriminelle.
Dans notre précédent article, nous avons discuté de la façon dont les PME peuvent gérer l’informatique comme les grandes organisations, en adoptant les meilleures pratiques de sécurité web.
Dans ce dossier, nous allons examiner les mesures qui peuvent faire la plus grande différence dans la posture de sécurité de votre entreprise.
En effet, certaines des défenses les plus solides contre les pirates informatiques peuvent être tout simplement des actions de bon sens. Vous pouvez les adopter pour vous protéger des éventuelles menaces avec peu de frais, ou gratuitement.
Évaluez les risques
Si vous voulez mettre en place une sécurité informatique solide, la première étape consiste à décider ce qu’il faut sécuriser. Une évaluation des risques donne une image globale des besoins de sécurité de votre entreprise.
Elle sert également de base pour établir l’ordre de priorité lorsque vous voulez investir dans la sécurité informatique.
Développez une politique d’utilisation acceptable
Les politiques écrites offrent une protection juridique. Tout aussi importantes, elles permettent de sensibiliser les employés pour qu’ils puissent adopter une bonne conduite.
Il existe de nombreux types de politiques. Elles sont toutes essentielles, que ce soit pour les PME ou les grandes entreprises.
Une politique acceptable décrit comment les employés peuvent utiliser les systèmes et les ressources de l’entreprise, tout en contribuant grandement à protéger vos investissements.
Formez gratuitement vos employés à la sécurité résau
De nombreuses infractions à la sécurité informatique résultent de l’ignorance des employés. Connaissez-vous l’arnaque du prince nigérian ? En effet, les pirates ont misé sur la crédulité de leurs cibles pour leur soutirer de l’argent. Ce genre d’arnaque a fait beaucoup de ravages.
Vous n’avez pas besoin de créer votre propre matériel de formation. De nombreux sites web publient d’excellents programmes gratuits que vous pouvez utiliser.
Le centre américain d’alerte et de réaction aux attaques informatiques (US-CERT) propose par exemple « Protect Your Workforce Campaign », une campagne de formation prête à l’emploi disponible sur :
Quand avez-vous changé votre mot de passe Wifi pour la dernière fois ? Vous devez savoir qu’un signal Wi-Fi ne s’arrête pas aux murs de votre bureau.
Pour constituer votre première ligne de défense, vous aurez donc besoin de créer de bons mots de passe qui doivent être changés au moins une fois par mois.
Les serveurs, les routeurs, les commutateurs et tout autre appareil constituant votre système informatique devraient avoir des mots de passe fiables.
N’oubliez pas que de nombreux appareils ont des mots de passe par défaut. Vous aurez donc intérêt à les changer immédiatement après l’installation de l’équipement.
Effectuez un contrôle de sécurité du réseau
Pour vérifier le niveau de sécurité de votre système informatique, utilisez un contrôle de sécurité gratuit. Vous en trouverez sur de nombreux sites web.
Attention toutefois, car certains de ces portails en ligne ne sont pas réputés et peuvent infecter votre ordinateur avec des malwares. Assurez-vous donc d’utiliser l’un des sites web référencés sur :
Pour vérifier le niveau de sécurité de votre réseau, utilisez également un outil de test de pénétration gratuit tel que Metasploit.
Protégez-vous contre les malwares
Utilisez les filtres de phishing et le logiciel de sécurité qui sont déjà intégrés à votre navigateur. En fonction du type de navigateur, sélectionnez « Options » ou « Paramètres ».
Vous verrez le filtre de contenu et les paramètres des fenêtres contextuelles, des témoins et des certificats.
Vous n’avez absolument aucune excuse pour ne pas installer un logiciel de protection contre les malwares.
Celui-ci doit automatiquement mis à jour sur tous les appareils, y compris les dispositifs mobiles personnels, du moment qu’ils utilisent le Wifi de l’entreprise (assurez-vous d’intégrer les mises à jour dans votre politique d’utilisation acceptable).
L’un des meilleurs investissements que vous puissiez faire est le filtrage des emails. Bien entendu, les attaquants savent que les PME ne disposent pas toujours d’une solution de filtrage des emails sophistiquée et coûteuse.
Mais sachez qu’un système de filtrage des emails fiable ne doit pas toujours vous coûter une fortune. SpamTitan est une solution antispam vraiment flexible et peut être déployée en fonction des besoins de votre entreprise, à savoir :
sur place ou sur site, comme une appliance sur un serveur physique à locataire unique
sur site ou en local, en tant qu’appliance VMWare sur un serveur partagé.
dans le cloud (SpamTitan Cloud). Pour ce cas précis, il vous suffit de procéder à une configuration minimale de votre compte de messagerie, de définir votre mot de passe. Ajoutez ensuite votre domaine de messagerie (ou plusieurs domaines si vous en avez), puis modifiez vos enregistrements MX afin de commencer le filtrage.
Sauvegardez vos données
Selon une étude de Kroll Ontrack, 40 % des pertes de données sont dues à des erreurs humaines.
Selon le site web TechRadar :
« Ce sont le plus souvent des événements quotidiens tels que la suppression accidentelle de fichiers ou le renversement d’une boisson chaude sur un matériel informatique qui peuvent provoquer la plus grande perturbation d’une entreprise si les données ne sont pas correctement stockées et sauvegardées ».
Il existe de nombreux choix pour la sauvegarde des données. Bien entendu, il faut déterminer cela en fonction du volume de données que vous devez conserver et protéger.
Parmi ces options, on compte la synchronisation de fichiers et la sauvegarde des données dans le cloud et l’utilisation d’un logiciel de sauvegarde traditionnel.
Appliquez régulièrement les mises à jour de vos logiciels
Du point de vue de la sécurité, il est essentiel d’appliquer les mises à jour des logiciels qui constituent votre système dès qu’elles sont disponibles.
Cela s’applique aux systèmes d’exploitation (Windows, Mac OS, Linux) et tout autre logiciel de sécurité tel qu’un antivirus. L’idéal serait de choisir des solutions de sécurité réseau qui se mettent à jour automatiquement.
Logiciel et matériel de contrôle pour la sécurité du réseau
L’installation de logiciel sur le serveur ou sur tout appareil professionnel doit être préalablement approuvée par le responsable informatique.
Ceci est particulièrement important, car les logiciels de nos jours sont de plus en plus open-source, ce qui rend difficile l’application des contrôles réguliers.
N’oubliez pas que chaque application supplémentaire introduit de nouvelles vulnérabilités, augmentant ainsi la surface d’attaque de votre entreprise.
Par exemple, il peut être pratique d’avoir un accès à distance au serveur de l’entreprise, mais cela offre aux attaquants un autre moyen de pénétrer votre réseau.
L’installation d’un logiciel d’accès à distance doit donc être considérée comme une décision d’affaires à travers laquelle les risques doivent être évalués en fonction des avantages.
Chaque fois que de nouveaux périphériques sont ajoutés au réseau de votre entreprise, vous risquez de perdre des données ou d’être victime de malwares.
Si vous permettez à vos employés d’apporter et d’utiliser leurs propres appareils dans le cadre du travail, chacun d’entre eux doit se conformer aux mêmes normes de sécurité que tout autre appareil de l’entreprise.
Si votre PME utilise davantage le cloud, notamment pour les applications SAAS (software-as-a-service), l’accès aux ressources du cloud doit aussi avoir les mêmes restrictions que l’accès aux ressources locales de l’entreprise.
Améliorez la posture de sécurité de réseau de votre entreprise
Les mesures décrites ci-dessus exigent un minimum de temps et de dépenses, mais cela en vaut la peine si on considère qu’une atteinte à la sécurité pourrait menacer la survie de votre entreprise.
Gardez aussi à l’esprit que la mise en place d’un logiciel de sécurité globale coûteux serait inefficace si les mesures susmentionnées ne sont pas adoptées.
Vous êtes un professionnel de l’informatique et vous voulez protéger les données et les appareils des employés au sein de votre entreprise ? Parlez à un de nos spécialistes ou envoyez-nous un email à info@titanhq.com pour toute question.
Brian Krebs, blogueur célèbre en matière de cybersécurité et ancien journaliste du Washington Times, était l’un des orateurs invités à la conférence Aruba Atmosphere qui s’est déroulée à Nashville la semaine dernière.
Son exposé intitulé « Les défis de la cybersécurité de l’IoT » a été l’un des séminaires les plus suivis de cette conférence de deux jours.
Le blog de Brian Krebs est largement lu à travers le monde. Bien qu’il écrive sur toutes les facettes de la cybersécurité, il a tendance à se concentrer sur le sujet du dark web et sur les cybercriminels en quête de profit et qui le fréquentent, dont la plupart résident en Europe de l’Est.
En plus de ses écrits, les recherches journalistiques de Brian Krebs ont mis au grand jour un certain nombre d’infractions, notamment les attaques contre Target, Home Depot et Neiman Marcus. En conséquence, il a de nombreux sponsors qui financent ses recherches.
Il est détesté, mais bien respecté par la communauté des hackers. Son identité a été volée à six reprises par des cybercriminels d’Europe de l’Est, lesquels continuent également de faire tomber son site web.
Sa vie a été menacée et de nombreuses tentatives ont été faites pour le piéger. Par exemple, ses adversaires ont usurpé un appel au 911, demandant à une équipe du SWAT d’intervenir à son domicile.
En effet, Sony Pictures envisage de sortir un film basé sur Brian Krebs, lequel aurait blogué avec un fusil de chasse de calibre 12 à ses côtés.
Comment prévenir une cybermenace ?
« Les personnes derrière les claviers sont vos points d’extrémité les plus faibles », a-t-il déclaré au début de son exposé. « Les entreprises doivent investir du temps et des ressources dans l’éducation des utilisateurs finaux, mais même en faisant cela, il y aura toujours des gens qui vont cliquer sur n’importe quoi ».
Ensuite, il a expliqué comment chaque service informatique doit sonder et tester ses utilisateurs, tout simplement parce que les pirates informatiques le font. Il est impératif de trouver les maillons les plus faibles (employés) avant que les cybercriminels ne les trouvent et ne violent votre réseau et votre propriété intellectuelle.
Selon Brian Krebs, « Une fois infiltré, le pirate n’est plus un attaquant. C’est un utilisateur. Et, une fois qu’il opère depuis votre réseau, il est extrêmement difficile de détecter sa présence ».
Il a comparé cela à un jeu d’échecs ou de dames dans lequel un joueur est capable de promouvoir une pièce qui atteint la dernière rangée de son adversaire à la pièce de son choix.
Pour un pirate informatique, l’élément de choix est le compte utilisateur d’un Directeur général, d’un Directeur financier ou d’un Administrateur d’Enterprise. Les cybercriminels d’aujourd’hui sont très patients lorsqu’ils infiltrent une entreprise.
Au lieu de frapper immédiatement, ils prennent le temps d’apprendre la culture de l’entreprise et la façon dont les dirigeants ciblés communiquent entre eux.
Les cabinets d’avocats sont souvent attaqués pour obtenir des informations sur leurs clients
Les administrateurs système et les responsables des ressources humaines sont les cibles les plus populaires d’une attaque cybercriminelle, et ce, pour une multitude de raisons.
Pourtant, les cabinets d’avocats sont aussi fréquemment attaqués, non pas pour obtenir la propriété intellectuelle du cabinet, mais pour en savoir plus sur leurs clients.
Les informations personnelles des clients peuvent ensuite être vendues à d’autres organisations qui, à leur tour, vos entrer en négociations avec ces mêmes clients pour en tirer profit.
Lors de sa présentation, Brian Krebs a mis l’accent sur la façon dont l’internet des objets (IoT) a modifié le spectre des cyberattaques. Le risque de prise de contrôle de comptes en est un exemple frappant.
Le bourrage de justificatifs d’identité représente une menace croissante. Sachez qu’environ 90 % de toutes les activités de connexion sur les systèmes Internet des entreprises du Fortune 100 sont attribuées au bourrage de justificatifs d’identité.
Jusqu’à récemment, ce genre d’attaque était relativement facile à détecter, car des dizaines de milliers de tentatives de connexion proviennent d’une seule adresse IP.
Une fois exposées, les connexions à partir de ces adresses IP malveillantes peuvent simplement être interrompues. Cependant, avec l’IoT, d’énormes botnets peuvent maintenant être utilisés pour acheminer les demandes de mots de passe à travers des centaines, voire des milliers d’appareils.
Brian Krebs a déclaré : « Nous avons besoin de systèmes plus vérifiables pour identifier les gens. Les identificateurs statiques tels que le nom du père, l’adresse physique, le lieu de naissance, etc., sont devenus complètement inutiles ».
Il a expliqué qu’un pirate informatique peut trouver n’importe quoi sur n’importe quelle personne de plus de 35 ans, pour environ 4 $ en bitcoin.
Il a même lancé un défi à l’audience : si une des personnes présentes lui donnait 4 dollars et une carte de visite avec une adresse de messagerie électronique, il lui enverrait un rapport complet sur son profil par e-mail. Après la présentation, quelques personnes ont relevé le défi par simple curiosité.
Attaques DDOS
L’IoT a propulsé l’utilisation des attaques DDOS, car les cybercriminels peuvent facilement exploiter et piéger des centaines de milliers de dispositifs IoT pour former des armées de botnets, dont la taille est sans précédent.
Les attaques DDOS sont infligées à des organisations comme une forme de censure. Des sites — qui sont susceptibles d’exposer ces organisations et leurs méthodologies — sont régulièrement piratés dans le but de les faire tomber.
L’une de ces organisations malfaisantes, vDOS, a été organisée par deux adolescents israéliens qui ont gagné plus de 600 000 dollars en deux ans pour aider leurs clients à coordonner plus de 150 000 attaques DDOS destinées à mettre hors ligne des sites web.
À la fin de sa présentation, Brian Krebs a ouvert la foire aux questions. Un membre de l’auditoire lui a demandé quelle était la plus grande cybermenace d’aujourd’hui : les attaques BEC, les ransomwares ou les attaques DDOS ? Il a répondu : « La plus grande cybermenace est l’apathie ! »
L’article a été fourni par IT Pro, Brad Rudisail, qui a assisté à l’exposé de Brian Krebs à la conférence Aruba Atmosphere.a
Si votre ordinateur a été infecté par Petya, WannaCry ou un autre ransomware similaire, il n’est pas certain que vous allez pouvoir récupérer vos fichiers et données, même si vous payez la rançon.
La plupart d’entre nous savent que les pirates peuvent utiliser le ransomware pour chiffrer vos données et demander ensuite un paiement pour les déchiffrer.
Mais ce que vous devez aussi noter, c’est que le nombre d’attaques de ransomware a atteint son plus haut niveau historique en avril 2016, soit une augmentation de 159 % par rapport à mars, selon Enigma Software.
Bien qu’il s’agisse d’une hausse inhabituelle, les attaques de ransomware augmentent de 9 à 20 % par mois depuis un certain temps. Il y a plusieurs raisons à cela :
Les attaquants profitent de la panique causée par chaque nouvelle attaque.
Les technologies de chiffrement de haut niveau, comme la version 2048 bits de l’algorithme cryptographique RSA, sont de plus en plus répandues.
Les innovations dans le traitement des devises numériques telles que Bitcoin ont rendu encore plus difficile la traçabilité des transferts.
Les attaquants n’ont plus besoin d’avoir une connaissance approfondie sur les nouvelles technologies pour mener une attaque. La plupart des ransomwares sont disponibles sous forme de kits d’exploitation prêts à être utilisés.
Quelle est l’ampleur de la menace que représentent les ransomwares ?
L’attaque de ransomware est aujourd’hui l’une des plus grandes menaces de cybersécurité. De nouvelles variantes sont publiées en permanence, ce qui rend les attaques plus difficiles à contrer, et le nombre d’attaques ne cesse d’augmenter.
En 2017, les spécialistes prévoyaient que les cybercriminels s’attaqueront aux serveurs et PC critiques des entreprises.
En retenant ces dispositifs sensibles en otage, les cybercriminels pouvaient exercer des pressions au bon moment dans le but d’obtenir des rançons, et ce, le plus rapidement possible.
Les entités publiques paniquaient déjà lorsque les gouvernements américain et canadien ont lancé conjointement une alerte aux demandes de rançon en mars 2016. En mai 2016, un sous-comité judiciaire du Sénat des États-Unis a tenu une audience pour étudier la question.
Rappelons que le Hollywood Presbyterian Medical Center en Californie a été paralysé par une attaque de ransomware de grande envergure pendant dix jours. Il n’est donc pas surprenant que l’État ait rédigé une loi visant à établir des sanctions spécifiques pour les ransomwares.
Le paiement de la rançon est une décision d’affaires
Dans une récente étude menée par BitDefender, la moitié des victimes des ransomwares ont déclaré qu’elles avaient payé la rançon, et les deux cinquièmes des personnes interrogées ont déclaré qu’elles seraient prêtes à le faire si jamais elles se trouvaient une telle situation.
Payer la rançon n’est pas une décision de sécurité, mais une décision commerciale. Récupérer des fichiers à partir d’une sauvegarde prend du temps et des efforts. De plus, cela peut entraîner une perte de revenus pour les entreprises victimes de l’attaque.
Devriez-vous payer la rançon ?
La réponse est non ! Nous vous recommandons de ne jamais le faire. Une telle pratique soutient les criminels, perpétue leurs cycles d’attaque et les encourage à continuer.
En ce qui concerne le ransomware Petya, comme tout autre ransomware, il y a de fortes chances que vous ne récupériez pas vos données même si vous acceptez de payer la rançon.
Avec Petya, l’adresse e-mail utilisée pour la demande de rançon n’était plus accessible. Elle avait été fermée par le fournisseur de messagerie.
Si vous constatez une infection avant l’apparition d’une demande de rançon, éteignez immédiatement votre machine. En aucun cas, vous ne devriez pas la redémarrer, car il est possible que tous vos fichiers et données ne soient pas encore chiffrés.
Et même si vous payez, les attaquants peuvent choisir de ne pas vous fournir une clé valide ou un code de déverrouillage approprié pour déchiffrer vos fichiers.
Selon le FBI, la plupart des organisations qui paient la rançon n’arrivent pas toujours à retrouver l’accès à leurs données. C’est entre autres le cas de l’hôpital du Kansas Heart. Le 18 mai 2016, l’hôpital a été victime d’une attaque de ransomware et a payé la rançon.
Pourtant, les attaquants ont exigé plus d’argent pour la clé de déverrouillage. L’hôpital a refusé de payer à nouveau.
Il y a un autre problème avec la variante du ransomware Cerber. Il s’agit d’un ransomware qui peut potentiellement « dormir » dans le réseau ciblé.
Plus tard, il pourra être converti en botnet et lancer des attaques par déni de service distribué (DDoS). Grâce aux caractéristiques du botnet, les victimes devaient payer une rançon, encore et encore.
Pouvez-vous faire confiance aux criminels pour déverrouiller vos données ?
Comme pour toute entreprise, il est en fait dans son intérêt de tenir ses promesses. Les attaquants de CryptoWall sont connus pour déchiffrer les fichiers après le paiement de la rançon.
Ils ont même guidé leurs victimes dans la procédure d’obtention de Bitcoins et leur ont accordé des prolongations du délai pour le règlement de la rançon. Mais d’autres auteurs de ransomwares ont une réputation moins fiable.
Les professionnels de l’informatique sont contre le paiement de la rançon
Le FBI a publié un avis en juin au sujet des ransomwares. Le Bureau fédéral d’enquête conseille aux victimes de communiquer avec les représentants du FBI dans leur localité au cas où leurs données feraient l’objet d’une demande de rançon.
Mais certains agents du FBI ont averti qu’ils ne peuvent pas, le plus souvent, déchiffrer les données compromises. Un agent a même déclaré : « La façon la plus simple pour sortir de la situation est peut-être de payer la rançon. »
Cependant, certains professionnels suggèrent que le fait de payer la rançon encourage les criminels à attaquer de nouveau et à demander un montant plus élevé.
Dans la foulée, certaines victimes affirment avoir décidé de payer la rançon afin d’éviter que les pirates causent plus de dommages en représailles.
La communauté informatique en général est contre le fait de payer. Dans un sondage mené auprès de la communauté Spiceworks, un réseau en ligne de professionnels de l’informatique, il y a eu une quasi-unanimité contre le paiement de la rançon.
Cette opinion était même partagée par les membres dont les réseaux avaient été infectés.
Ces victimes ont déclaré que la plupart des données étaient récupérables à partir des sauvegardes, bien qu’elles aient subi une perte de données en raison des sauvegardes ratées, non surveillées, et de la perte des données dans les 24 heures qui suivent leur dernier cycle de sauvegarde.
En effet, votre organisation a le choix de payer la rançon ou non en cas d’attaque de ransomware. Mais si vous ne disposez pas de sauvegardes non affectées, vous n’aurez pas d’autre choix que de le faire.
Donnez plusieurs options à votre organisation
Il y a beaucoup de mesures que vous pouvez adopter pour atténuer les dommages causés par une attaque de ransomware, voire pour en empêcher une de se produire ou de réussir. Inscrivez-vous à notre blog si vous souhaitez recevoir notre prochain article directement dans votre boîte de réception.
