L’une des principales préoccupations des entreprises est de voir leurs données sensibles ou celles de leurs clients divulguées à des tiers. Aujourd’hui, les brèches de sécurité des données sont devenues un phénomène quotidien et qui figure dans les actualités du monde entier.
Les pirates peuvent par exemple profiter de ces fuites de données pour les tenir en otage. Autrement dit, les entreprises ne peuvent les récupérer que si elles acceptent de payer une rançon.
Quelle que soit la source de violation de données, sachez qu’il existe des mesures que vous pouvez prendre pour faire face à la situation.
Suivez le plan d’intervention en cas de fuite de données dans votre entreprise
Il ne fait aucun doute que votre entreprise a déjà mis en place un plan pour les tremblements de terre, les incendies et les inondations.
En plus de ces éventuels sinistres, le plan d’intervention en cas de violation de données devrait également tenir compte des catastrophes d’origine humaines, comme les atteintes à la sécurité. En effet, les données doivent être considérées comme un actif commercial à part entière et qu’il faut protéger autant que possible.
Si vous devez formuler un plan d’intervention en cas d’incident, vous pouvez vous inspirer des nombreux modèles qui sont proposés sur Internet. Assurez-vous toutefois de conserver une copie de votre plan hors site, sous forme imprimée.
1. Communiquez avec les personnes appropriées
L’équipe ou la personne qui est en charge d’assurer la sécurité des données doit être contactée immédiatement dès qu’un problème de sécurité informatique se produit.
Assurez-vous donc que tous les employés savent à qui ils pourront s’adresser en cas de besoin. Le service de dépannage informatique doit également rester vigilant pour détecter les signes révélateurs d’une infraction comme :
Les faux messages antivirus
Les barres d’outils du navigateur non souhaitées
Les installations inattendues de logiciels
Les pop-ups de rançon
2. Mener une enquête préliminaire
Une fois le problème détecté, l’équipe de sécurité doit mener une enquête préliminaire dans le but de déterminer son ampleur approximative. Cela ne devrait prendre que quelques minutes.
Selon la politique adoptée par votre entreprise, le réseau peut être désactivé immédiatement pour empêcher tout virus de se propager et d’infecter d’autres équipements.
3. Définir l’incident
L’étape suivante dépend du type d’incident de sécurité. S’il est facile à contenir et à corriger et qu’aucune violation de données ne s’est produite, l’équipe de sécurité se contentera d’informer la direction à propos de l’incident.
Par contre, si un email de phishing a été détecté, il est recommandé d’envoyer à tous les employés des informations sur l’email afin qu’ils puissent éviter de provoquer un nouvel incident.
4. Faites participer les intervenants
Assurez-vous de toujours impliquer deux types d’intervenants, à savoir l’équipe de direction et les gestionnaires d’affaires dont les données peuvent être affectées par l’incident.
5. Lois sur la notification des violations de la sécurité
La loi intervient s’il y a eu une violation de données. Aux États-Unis, 47 États ont des lois sur la notification des violations de la sécurité, dont beaucoup exigent des rapports aux clients ainsi qu’aux organismes de réglementation.
Au Canada par exemple, la province de l’Alberta exige la notification. En ce qui concerne les données de l’UE, le Règlement général sur la protection des données (RGPD) exige que les atteintes à la protection des données soient divulguées dans les 72 heures à compter de 2018.
Selon l’industrie, la Health Insurance Portability and Accountability Act (HIPAA), la loi Sarbanes-Oxley ou une autre loi fédérale étatique ou locale peut imposer l’établissement d’un rapport supplémentaire concernant la violation. Cette tâche incombe au responsable de la conformité de la société.
Le FBI encourage les entreprises à signaler les cyberincidents à son Centre de plaintes pour les crimes sur Internet (www.ic3.gov). Par ailleurs, il est recommandé de produire et de déposer un rapport concernant l’incident auprès du service de police local. Le service juridique devrait être impliqué dans ces activités.
Vous disposez maintenant d’une équipe d’intervention complète. Il est important de tenir tous les membres au courant des progrès réalisés en matière de remédiation.
6. Analyse et mesures correctives contre une fuite de données
L’équipe de sécurité doit travailler rapidement pour analyser le réseau et les points d’extrémité, en examinant en détail les hôtes les plus compromis. Une fois que les causes de la compromission sont trouvées, l’équipe établira rapidement un plan de remédiation.
En général, elle peut déterminer un ou plusieurs des éléments suivants :
Signature du virus
Adresse IP de l’attaquant
Hashage MD5 d’un fichier malveillant
URL ou nom de domaine d’un serveur de commande et de contrôle de botnet
Les pare-feu, les systèmes de détection d’intrusion et/ou les logiciels antivirus devraient être mis à jour pour se défendre contre les menaces cybercriminelles.
De même, il faut que les dispositifs affectés soient remis en état. Si nécessaire, des sauvegardes de données peuvent être utilisées pour restaurer le système à une date précise avant l’attaque. Ces étapes peuvent prendre des heures, des jours ou même des semaines.
7. Qu’arrive-t-il à l’entreprise pendant cette période ?
Selon la gravité de la compromission, le service réseau peut être non opérationnel ou restreint pendant la phase d’analyse et de restauration. Pire encore, les entreprises dont les activités sont essentiellement basées sur des sites web peuvent être durement touchées puisque leurs revenus proviennent de clients en ligne.
D’autres types d’entreprises peuvent également être fortement touchés, comme l’a montré la récente attaque de ransomware contre le Hollywood Presbyterian Medical Center, un hôpital privé situé à Los Angeles :
Sans pouvoir accéder au service de messagerie électronique, les médecins et les infirmières devaient communiquer par fax ou en personne.
Les antécédents de traitement des patients n’étaient pas disponibles puisque les dossiers médicaux étaient conservés en ligne.
Les résultats des tests ne pouvaient pas être facilement partagés au sein de l’hôpital ou avec des entités externes.
Des dossiers papier ont dû être utilisés pour l’enregistrement des patients. Ce système ne pouvait pas traiter le volume habituel de patients, et certains d’entre eux ont dû être transférés dans d’autres hôpitaux.
L’hôpital n’avait aucune sauvegarde de données utilisable pour pouvoir restaurer les opérations. Elle était restée dans cette situation difficile pendant 10 jours et a dû finalement payer plus de 15 000 euros aux cybercriminels pour obtenir les clés leur permettant de déchiffrer leurs propres données.
8. L’incident de sécurité pourrait ne pas être que la pointe de l’iceberg
Il n’est pas rare qu’au cours de l’enquête, l’équipe découvre qu’il y a d’autres problèmes de sécurité. Le système peut avoir été compromis pendant des mois ou même des années. Prenons le cas du virus Heartbleed. Il a été introduit dans un logiciel en 2012, mais n’a été rendu public qu’en avril 2014.
L’incident de sécurité dont il est question pourrait en fait être le prélude à une attaque plus importante. C’est notamment le cas si des emails de phishing sont impliqués. Une petite attaque pourrait faire perdre du temps et des efforts au personnel de sécurité pendant qu’une attaque plus importante se faufile sous leur radar.
Les piratages ne sont pas toujours perpétrés par des personnes extérieures. Les rapports de diverses organisations de sécurité indiquent qu’au moins 15 % des attaques proviennent d’un initié qui peut avoir accès à des informations d’identification pour attaquer le système de manière répétée.
Bien entendu, certains incidents sont le résultat d’erreurs commises par des employés. La formation et l’attribution de justificatifs d’identité selon le principe du moindre privilège sont donc les meilleurs remèdes dans ce cas.
L’incident de sécurité aurait peut-être pu être évité si des logiciels, paramètres logiciels ou matériels appropriés étaient en place. Envisagez d’utiliser un logiciel de filtrage des emails tel que SpamTitan Cloud, une solution robuste pour la sécurité des emails.
Pour les menaces Internet générales, optez pour WebTitan Cloud, un service de filtrage web qui vous permet de surveiller, contrôler et protéger votre entreprise et vos utilisateurs contre les menaces en ligne.
9. Leçons apprises – Revue complète
Dans la semaine suivant le rétablissement d’une brèche, l’équipe devrait se réunir pour déterminer ce qui a bien fonctionné et ce qui a mal fonctionné. Le plan d’intervention en cas d’incident devrait être mis à jour pour tenir compte des leçons apprises.
Étant donné le caractère inévitable des attaques, l’entreprise sera mieux préparée lorsque (et non pas si) une prochaine attaque se produira.
Les ransomwares Sodinokibi et Bourane peuvent être diffusés via le kit d’exploitation RIG, mais un autre kit d’exploitation a récemment rejoint les rangs, bien que sa charge utile soit des chevaux de Troie bancaires.
Les kits d’exploitation sont des programmes utilitaires sur les sites web qui mènent des attaques automatisées contre les visiteurs.
Lorsqu’un internaute atterrit sur une page hébergeant le kit d’exploitation, son navigateur ainsi que les applications basées sur son navigateur sont analysés pour détecter certaines vulnérabilités.
Le trafic vers la page d’atterrissage est généré par des redirections ou des publicités malveillantes. Dans la plupart des cas, le code du kit d’exploitation est également ajouté à des sites web à fort trafic compromis.
Les kits d’exploitation contiennent des exploits pour plusieurs vulnérabilités. Une seule suffit pour permettre le téléchargement et l’exécution d’une charge utile malveillante sur l’appareil de la victime sans qu’elle le sache.
Les kits d’exploitation étaient autrefois le mécanisme de diffusion de malwares de choix, mais ils sont tombés en désuétude à la suite d’une répression des forces de l’ordre.
La menace que représentent les kits d’exploitation n’a jamais disparu, mais le nombre d’attaques a baissé. Au cours des derniers mois, cependant, l’activité d’exploitation a atteint un niveau élevé.
Le nouveau kit d’exploitation s’appelle Spelevo et son but est de livrer deux chevaux de Troie bancaires – Dridex et IceD – via un site web interentreprises. Il a été découvert par un chercheur en sécurité nommé Kafeine en mars 2019.
Spelevo héberge actuellement plusieurs exploits pour Adobe Flash et un pour Internet Explorer. Si un utilisateur visite une page web hébergeant le kit d’exploitation, il ne saurait pas probablement qu’il se passe quelque chose de malveillant.
En effet, un onglet s’ouvrira et le navigateur semblerait passer par une série de redirections avant d’atterrir sur Google.com.
L’ensemble du processus – depuis l’atterrissage de l’utilisateur sur une page hébergeant le kit d’exploitation, jusqu’à l’identification et l’exploitation de la vulnérabilité et la redirection de l’utilisateur vers Google.com – ne prend que quelques secondes.
Le kit d’exploitation peut être hébergé sur un domaine appartenant à un attaquant, mais il est facile de l’ajouter à n’importe quel site web. Une fois qu’un site web est compromis, il suffit d’y intégrer quatre lignes de code.
Les kits d’exploitation sont un moyen efficace et automatisé de fournir une charge utile de malwares, mais ils dépendent des utilisateurs qui n’ont pas mis de correctifs sur leur navigateur et leurs plugins.
Si les navigateurs et les plugins sont maintenus à jour, il ne devrait y avoir aucune vulnérabilité que les pirates pourront exploiter.
Le kit d’exploitation Spelevo semble être utilisé dans une campagne ciblant les entreprises. Les équipes informatiques ont souvent du mal à maîtriser les correctifs et ont une mauvaise visibilité sur les périphériques qui se connectent à leur réseau.
Pourtant, au cas où un périphérique serait compromis, un attaquant peut utiliser divers outils pour lancer des kits d’exploitations et compromettre d’autres périphériques et serveurs.
La principale défense contre les kits d’exploitation est le patch, mais des protections supplémentaires sont nécessaires.
Vous devriez mettre en place un filtre web pour vous protéger contre les attaques pendant l’application des correctifs ; pour empêcher les attaques de réussir en utilisant des exploits de type « zero day » et pour empêcher les utilisateurs de visiter les sites web hébergeant des kits d’exploitation.
WebTitan est un filtre DNS qui permet de détecter et de bloquer les menaces en temps réel. De manière automatisée, il vous protège contre les kits d’exploitation et les attaques de phishing basées sur le web.
La base de données de WebTitan contient trois millions d’URL malveillantes qui sont bloquées lorsqu’un utilisateur tente de les visiter.
La base de données répertorie également plus de 300 000 sites web pouvant contenir des malwares et des ransomwares qui sont bloquées chaque jour pour protéger les utilisateurs finaux.
Si vous souhaitez améliorer la protection contre les menaces basées sur le web ; contrôler les contenus auxquels vos employés peuvent accéder et avoir une visibilité sur ce que vos employés font en ligne, WebTitan Cloud est la réponse.
Cette solution peut être mise en place en quelques minutes seulement.
Ces derniers mois, les villes et les organismes gouvernementaux ont été la cible d’une série d’attaques de ransomware. Les établissements de soins de santé sont les plus touchés, mais ce ne sont pas les seules industries visées.
Les écoles, les collèges et les universités sont des cibles de choix pour les pirates informatiques et les attaques de ransomware sont courantes. Une attaque récente se distingue par son ampleur et la demande massive de rançon qui a été émise.
Le Monroe Collège est la nouvelle victime d’attaque de ransomwares
Les attaquants ont exigé 170 bitcoins (environ 17,9 millions d’euros) contre les clés qui permettaient de déchiffrer le réseau.
Le Monroe Collège à New York a été attaqué à 6 h 45 le mercredi 10 juillet 2019.
Le ransomware s’est rapidement répandu dans son réseau, créant la panne des systèmes informatiques de ses campus de Manhattan, New Rochelle et Sainte-Lucie et détruisant le site web du collège.
Le collège est passé au papier et au crayon et travaillait à la recherche d’une solution pour contourner le problème et pour s’assurer que les étudiants qui suivent des cours en ligne reçoivent leurs devoirs.
Le Monroe Collège n’a pas encore annoncé si les fichiers pourront être récupérés à partir des sauvegardes ou s’il devra payer la rançon.
Il s’agit de l’une des nombreuses attaques récentes de ransomwares aux États-Unis. Bien qu’elles semblent avoir perdu la faveur des cybercriminels en 2018, elles sont de nouveau en vogue et le nombre d’attaques de ransomware est en forte hausse.
170 bitcoins est peut-être un montant particulièrement élevé, mais il y a eu plusieurs attaques récentes impliquant des demandes de rançon de centaines de milliers de dollars. Dans plusieurs cas, les victimes ont dû payer la rançon.
La ville de Riviera Beach City en Floride a été par exemple attaquée. Elle a dû payer une rançon d’environ 537 000 euros pour pouvoir accéder à ses fichiers et remettre ses systèmes informatiques en service.
Lake City en Floride a également payé une rançon importante, de l’ordre de 447 000 euros, tandis que le comté de Jackson a dû payer une rançon de plus de 358 000 euros après une attaque.
Il y a eu plusieurs cas où les rançons n’ont pas été payées. Entre autres, la ville d’Atlanta a été ciblée et environ 45 000 euros ont été exigés par les pirates.
Atlanta a refusé de payer, mais pour réparer les dommages créés par l’attaque, sa facture a déjà dépassé les 2,6 millions d’euros. Avec des coûts aussi élevés, il est clair de voir certaines victimes qui choisissent de payer la rançon.
Protégez votre établissement scolaire des attaques de ransomwares
Dans tous les cas susmentionnés, le coût de la mise en œuvre de solutions de cybersécurité pour se protéger contre les principaux vecteurs d’attaque n’aurait coûté qu’une infime fraction du montant de la rançon ou des coûts d’atténuation après une attaque.
Pour moins de 1,8 euros par employé, vous pouvez vous assurer que votre système de messagerie est sécurisé et que vous êtes bien protégé contre les attaques sur le web. Pour en savoir plus, appelez TitanHQ dès aujourd’hui.
De fausses alertes emails, récemment découvertes, demandent aux utilisateurs de mettre à jour leurs navigateurs Firefox « pour des raisons de sécurité », et incluent un lien de téléchargement vers la fausse mise à jour.
Celle-ci inclut un cheval de Troie qui vole des mots de passe. Alors, ne cliquez pas sur ce lien, sinon risquez de vous faire voler vos mots de passe. D’ailleurs, les utilisateurs doivent toujours faire preuve de prudence lorsqu’ils cliquent sur un lien dans un email.
Dans le passé, SpamTitan a averti à plusieurs reprises ses lecteurs, mais cela vaut toujours la peine d’être répété : N’ouvrez pas les pièces jointes aux emails qui arrivent dans votre boîte de réception et auxquelles vous ne vous attendiez pas.
Si vous ne vous attendiez pas à recevoir un email, le mieux serait d’y répondre et d’attendre la réponse, sans ouvrir la pièce jointe. De cette façon, vous pouvez vous assurer que l’adresse de l’expéditeur n’est pas fausse.
Fausses alertes de sécurité Firefox : SpamTitan recommande aux utilisateurs de :
Maintenir à jour leur logiciel antispam et antivirus pour s’assurer que ces types de messages soient bloqués avant d’arriver dans leurs boîtes aux lettres.
Il est également important de se rappeler que si vous n’avez pas demandé la réinitialisation de votre mot de passe, ignorez simplement un email (probablement un spam) qui cherche à réinitialiser vos mots de passe.
Pour plus d’informations sur les meilleures pratiques en matière de sécurité web et de la messagerie, pourquoi ne pas télécharger notre nouveau livre blanc, conçu en collaboration avec Ostermann Research.
Le déchiffrement gratuit du ransomware Dharma est maintenant possible suite à la publication des clés de déchiffrement utilisées par le gang cybercriminel derrière le ransomware.
Les clefs de déchiffrement du ransomware Dharma peuvent maintenant être utilisées pour développer un déchiffreur permettant de déverrouiller des dossiers chiffrés par Dharma.
Comment déchiffrer le ransomware Dharma gratuitement ?
Si votre organisation a été attaquée par ce ransomware, vous pouvez déverrouiller vos fichiers en utilisant le déchiffreur Dharma développé par Kaspersky Lab ou ESET. À noter qu’il n’y a plus de rançon à payer.
Le déchiffreur disponible sur ESET déverrouillera les fichiers chiffrés par Dharma et son prédécesseur, Crysis. Kaspersky Lab a ajouté les clés de son déchiffreur de ransomware Rakhni.
Il est facile de déterminer quelle variante de ransomware a été utilisée en vérifiant l’extension des fichiers infectés. Par exemple, Dharma ransomware ajoute l’extension « .dharma » aux fichiers qu’il a chiffrés.
Les clés de déchiffrement ont été postées sur un forum d’assistance technique BleepingComputer la semaine dernière par un individu dont le nom d’utilisateur est « gektar ».
L’endroit où cette personne a obtenu les clés de déchiffrement est inconnu, bien que Kaspersky Lab et ESET aient tous deux confirmé que les clés de déchiffrement sont authentiques.
Les clés de déchiffrement pourront fonctionner avec toutes les variantes du ransomware Dharma.
Le nom gektar n’est pas connu des chercheurs en sécurité. Aucun autre message en ligne n’aurait été publié avec ce nom d’utilisateur, lequel semble avoir été créé uniquement pour poster les clés de déchiffrement.
Il semblerait que la personne responsable veuille faire profil bas.
Les ransomwares : une menace persistante
Malheureusement, il existe aujourd’hui plus de 200 familles de ransomwares, avec de nombreuses variantes différentes au sein de chacune de ces familles.
Le dharma n’existe peut-être plus, mais la menace des ransomwares est encore grave. Il n’y a toujours pas de déchiffreurs disponibles pour les ransomwares les plus importantes comme Locky, Samsa (Samsam) et CryptXXX.
Ceux-ci sont encore très prisés par les cybercriminels pour extorquer de l’argent aux entreprises.
Pour s’assurer que les fichiers chiffrés par des ransomwares peuvent être récupérés gratuitement, la meilleure défense que les entreprises peuvent adopter est de s’assurer que les sauvegardes des fichiers critiques sont effectuées sur une base quotidienne.
Ces sauvegardes devraient être stockées sur un dispositif isolé physiquement de tout réseau informatique et aussi dans le cloud.
La récupération des sauvegardes et l’élimination des infections par des ransomwares peuvent demander beaucoup de travail et de temps.
Voici pourquoi des défenses anti-ransomwares devraient également être utilisées pour prévenir l’infection.
Nous vous recommandons d’utiliser SpamTitan pour empêcher les emails de ransomware d’arriver dans les boîtes de réception des utilisateurs finaux et WebTitan pour empêcher les téléchargements de ransomwares par drive-by.
