De nombreuses campagnes de phishing ont été détectées, utilisant le nouveau coronavirus comme appât. Récemment, une nouvelle variante de ransomware appelée CoronaVirus a été détectée et analysée par MalwareHunterTeam.
Le ransomware CoronaVirus est distribué par un site web malveillant et il se fait passer pour un logiciel appelé WiseCleaner. Cet outil peut être utilisé pour nettoyer le registre et supprimer les fichiers dupliqués ainsi que les fichiers indésirables des ordinateurs.
WiseCleaner est un outil logiciel légitime, mais le site web utilisé dans cette campagne est un faux.
On ignore actuellement comment le trafic vers le site web a été généré. Les campagnes de ce type utilisent généralement de la publicité malveillante diffusée via les réseaux publicitaires et qui redirige les utilisateurs vers des sites web malveillants. Ces publicités sont affichées sur de nombreux sites web légitimes qui utilisent des réseaux publicitaires tiers pour générer des revenus supplémentaires.
Si un internaute essaie de télécharger WiseCleaner à partir du site web malveillant (le site web authentique étant wisecleaner.com), un fichier nommé WSHSetup.exe sera téléchargé. L’exécution de ce fichier téléchargera deux charges utiles malveillantes : le ransomware CoronaVirus et le cheval de Troie Kpot.
Le cheval de Troie Kpot est un voleur d’informations qui dérobe une variété d’informations d’identification sur différentes sortes d’applications comme Skype, Steam, Discord, VPN, la messagerie électronique ainsi que les mots de passe FTP.
Le cheval de Troie Kpot vole des informations telles que les références bancaires qui ont été enregistrées dans les navigateurs et peut également voler des porte-clés cryptographiques.
Le fichier exécutable tente également de télécharger d’autres fichiers, bien qu’actuellement seuls deux fichiers aient été téléchargés. En effet, les pirates semblaient vouloir télécharger un cocktail de malwares.
Lorsque CoronaVirus est téléchargé et exécuté, il chiffre une série de fichiers différents. Les fichiers chiffrés sont renommés à l’aide de l’adresse électronique de l’attaquant, mais l’extension de fichier d’origine est conservée. Une note de rançon est déposée dans chaque dossier où les fichiers sont chiffrés.
Il est intéressant de noter que la demande de rançon est très faible. Les attaquants ne font payer que 0,08 Bitcoin, soit environ 512 euros, pour fournir les clés permettant de déchiffrer les fichiers. Cela dit, il semble donc que la « rançon » n’est pas l’objectif principal de la campagne. Il s’agit plutôt de distribuer le cheval de Troie Kpot, d’autres charges utiles et des malwares potentiellement malveillants. Le ransomware CoronaVirus n’est peut-être qu’une diversion.
Il n’existe actuellement aucune solution de déchiffrement connu pour le ransomware CoronaVirus et il n’est pas certain que les attaquants puissent – ou veuillent – fournir des clés valides permettant de récupérer des fichiers chiffrés.
Les entreprises peuvent se protéger contre de telles attaques en veillant à sauvegarder régulièrement tous leurs fichiers et à stocker les sauvegardes hors ligne. Une solution de filtrage web devrait également être mise en place pour empêcher le téléchargement de fichiers malveillants.
Les filtres web peuvent être configurés de manière à empêcher les employés de visiter des sites web malveillants et à bloquer les téléchargements de types de fichiers à risque, comme les fichiers .exe.
Pour plus d’informations sur le filtrage web et pour savoir comment WebTitan – la solution de filtrage web de TitanHQ – peut vous aider à protéger votre entreprise des cyberattaques, appelez l’équipe commerciale de TitanHQ dès aujourd’hui.
L’attaque de ransomware contre la société de change britannique Travelex, qui a débuté aux alentours du 31 décembre 2019, est l’une des récentes attaques de cyber-rançon où les acteurs de la menace ont augmenté la mise en menaçant de publier les données volées aux victimes avant le déploiement du ransomware.
Une nouvelle tendance dans les attaques de ransomware
Pour la plupart des attaques de ransomware – en particulier celles menées par des affiliés utilisant des ransomware-as-a-service – le ransomware est déployé instantanément.
Un employé reçoit une pièce jointe malveillante par e-mail. Une fois qu’il ouvre la pièce jointe, le processus de chiffrement est lancé. Aujourd’hui, plusieurs acteurs de la menace ont pris des mesures pour augmenter la probabilité que leur demande de rançon soit payée.
L’Agence de la cybersécurité et de la sécurité des infrastructures du ministère américain de la sécurité intérieure a récemment émis des avertissements sur l’évolution des tactiques de demande de rançon. Elles impliquent désormais le vol de données avant le chiffrement des fichiers. Cette tactique n’est pas nouvelle, car plusieurs groupes de cybercriminels mènent ce type d’attaque depuis un certain temps, et le nombre d’attaques ne fait qu’augmenter.
Dès que les pirates accèdent au réseau de votre entreprise, ils se déplacent latéralement et accèdent au plus grand nombre de dispositifs possible. Ils peuvent voler des données puis déployer des ransomwares. Dans ce type d’attaques, le délai entre la compromission initiale et le déploiement des ransomwares peut généralement prendre plusieurs mois.
Les données peuvent être volées et vendues en ligne avec le ransomware déployé comme un coup de grâce après un compromis à long terme pour extorquer de l’argent à l’entreprise. Aujourd’hui, il est de plus en plus fréquent qu’une menace soit émise en même temps que la demande de rançon et que les données volées soient publiées ou vendues si la rançon n’est pas payée.
Cette tactique a été adoptée par les pirates derrière le ransomware Maze. Ils sont allés de l’avant, en menaçant de publier les données volées au cas où la rançon ne serait pas payée. Les cybercriminels qui utilisent les logiciels MegaCortex et LockerGoga ont également émis des menaces similaires.
Aujourd’hui, le groupe de pirates derrière le ransomware Sodinikibi (REvil) a également changé de tactique et a commencé à menacer leurs victimes de publier les données qu’ils ont volées, et il l’a fait récemment. Il a attaqué Artech Information Systems, l’une des plus grandes sociétés de recrutement de personnel informatique aux États-Unis.
Lorsque la demande de rançon n’a pas été payée, 337 Mo de données volées ont été publiées sur un forum russe de piratage et de malwares. L’attaque de ransomware contre Travelex est l’une des dernières attaques du logiciel Sodinokibi, et les pirates ont également menacé de publier les données volées.
Focus sur l’attaque de ransomware contre Travelex
La veille du Nouvel An, Travelex a mis ses systèmes hors ligne pour contenir l’infection et limiter les dégâts causés. Plus de deux semaines plus tard, les systèmes de Travelex étaient toujours hors ligne, même si la société a commencé à restaurer certains de ses systèmes. Le nombre d’agences touchées par l’attaque – à l’instar des banques et d’autres entreprises qui dépendent de ses services de change – fait de cette attaque l’une des plus graves et des plus dommageables jamais menées.
Étant donné que ses systèmes étaient hors ligne, Travelex n’a pas été en mesure de fournir ses services de change à des banques telles que HSBC, Royal Bank of Scotland, NatWest, First Direct, Barclays et Lloyds, qui dépendent toutes de Travelex pour la fourniture de leurs services de change.
De nombreuses autres entreprises, telles que les chaînes de supermarchés Sainsbury’s et Tesco, ont également dû cesser de fournir des services de change en ligne à leurs clients. Travelex a été contraint de fournir des services manuellement, à l’aide de stylos et de papiers, pour les échanges de devises de gré à gré dans ses succursales. Plus de 70 pays dans lesquels Travelex opère ont été touchés par l’attaque.
Travelex n’a diffusé qu’une quantité limitée d’informations sur l’attaque, mais les pirates ont été en contact avec plusieurs médias. Selon les premiers rapports, les pirates ont reclamé plus de 2,7 millions d’euros contre les clés de déchiffrement des fichiers, mais la demande a doublé pour atteindre plus de 5,4 millions d’euros lorsque la société n’a pas payé la rançon dans les 2 jours prévus. Les pirates ont également menacé de publier les données volées lors de l’attaque si le paiement n’était pas effectué dans les 7 jours.
Travelex a publié une déclaration affirmant qu’aucune donnée client n’avait été violée et que l’infection était contenue. La situation a été maitrisée, même si les pirates derrière Sodinokibi ont menacé de publier les données clients.
Le pirates qui ont lancé l’attaque via Sodinokibi, par l’intermédiaire d’un porte-parole, a déclaré qu’ils avaient volé 5 Go de données clients. Ces informations comprenaient les noms des clients, leurs dates de naissance, les données relatives aux cartes de crédit, les numéros de sécurité sociale et les numéros d’assurance nationale.
Les pirates ont affirmé que toutes les données volées seraient effacées et ne seraient pas utilisées si la demande de rançon était payée. Par contre, les données seraient vendues si la rançon n’était pas payée. Ils ont également déclaré avoir accès aux systèmes informatiques de Travelex 6 mois avant le déploiement du ransomware.
Comment Travelex a-t-il été attaqué ?
On ne sait pas encore exactement comment le ransomware a été installé sur le réseau de la société, mais plusieurs chercheurs en sécurité ont fourni quelques indices. Selon BleepingComputer, Travelex utilisait des services non sécurisés avant l’attaque.
Le chercheur en sécurité Kevin Beaumont a découvert que Travelex avait des serveurs AWS Windows qui n’avaient pas l’authentification au niveau du réseau activée, ce qui aurait pu donner aux attaquants la possibilité de lancer une attaque.
Une vulnérabilité critique dans la solution d’entreprise Pulse Secure VPN pour les communications sécurisées – CVE-2019-11510 – a été identifiée et a été corrigée par Pulse Secure le 24 avril 2019. Le fait est que de nombreuses entreprises ont tardé à appliquer le correctif, malgré les multiples avertissements de Pulse Secure.
Troy Mursch, directeur de recherche chez Bad Packets, a découvert que Travelex n’avait pas appliqué le correctif au moment où un kit d’exploitation de la vulnérabilité a été publié. Les pirates derrière Sodinokibi ont déclaré avoir compromis le système informatique de Travelex 6 mois avant le déploiement du ransomware.
La reprise est maintenant bien engagée
Le 13 janvier 2020, plus de deux semaines après l’attaque de ransomware, Travelex a publié une déclaration confirmant que le processus de récupération était bien engagé, bien que le site web de l’entreprise soit toujours hors ligne.
La société avait commencé à rétablir ses services de change auprès des banques et de son propre réseau. Le traitement interne des commandes a été rétabli et les systèmes de contact avec la clientèle ont été lentement remis en ligne.
Ce que Travelex n’a pas confirmé, c’est si la société a payé ou non la rançon. Aucune donnée de Travelex ne semble avoir été publiée en ligne, il est donc possible qu’un paiement de rançon ait été négocié avec les attaquants.
Coût de l’attaque de ransomware contre Travelex
Le montant de la rançon était considérable, mais cela ne représente qu’une partie du préjudice si on considère les coûts d’arrêt et de perturbation des services subis par la société.
Aucune donnée client ne semble avoir été mal utilisée, mais Travelex pourrait encore faire face à une avalanche de poursuites de la part de clients, du commissaire à l’information et à la protection de la vie privée et d’autres autorités de protection des données. Travelex a subi d’énormes préjudices, non seulement pour la violation des données de leurs clients, mais aussi pour l’exposition des données ou encore pour le défaut de déclaration dans le cadre du RGPD.
Le RGPD exige que les violations de données soient signalées aux autorités compétentes dans un délai de 72 heures, mais il semble que cela n’ait pas été fait. La sanction financière maximale pour une violation de données selon le RGPD est de 20 millions d’euros ou de 4% du chiffre d’affaires annuel global d’une entreprise, le montant le plus élevé étant retenu.
En 2018, le chiffre d’affaires annuel mondial de Travelex s’élevait à plus de 859 millions d’euros. Une amende de plus de 171 millions d’euros pourrait donc être infligée à la société.
Il convient de noter que même si les données n’ont pas été volées par les attaquants et qu’elles ont simplement été rendues inaccessibles, cela peut être considéré comme une violation de données à signaler dans le cadre du RGPD.
Un paiement de plus de 54,4 millions d’euros ne représenterait qu’une infime partie des pertes totales dues aux temps d’arrêt, aux pertes d’activité, aux poursuites judiciaires et aux amendes réglementaires subis par la société.
Un nouveau ransomware dénommé Ako est apparue. Ce dernier cible les réseaux commerciaux et est distribué via le spam. Il est proposé aux affiliés selon le modèle « Ransomware as a Service ».
Le but des attaquants est clair : maximiser la probabilité de paiement de la rançon en rendant la récupération des données et des fichiers chiffrés plus difficile et en volant des données avant leur chiffrement pour garantir que l’attaque est toujours rentable même si la rançon n’est pas payée.
Le fait que les pirates possèdent les données de la victime pourrait également la convaincre de payer, comme nous l’avons vu dans les récentes attaques impliquant les ransomwares Maze et Sodinokibi, où les pirates menaçaient de publier des données volées si la rançon n’était pas payée.
Comment fonctionne le ransomware Ako ?
Les développeurs du ransomware Ako semblent opter pour des paiements de rançon importantes, car ils ne ciblent pas les postes de travail individuels, mais l’ensemble d’un réseau.
Le ransomware analyse les réseaux locaux à la recherche d’autres appareils et chiffre les partages réseau. Puis il supprime les clichés instantanés qui sont enregistrés sur le système et les sauvegardes récentes. Il désactive également les anciens points de restauration Windows pour rendre la récupération plus difficile si la victime ne paye pas la rançon.
Les fichiers chiffrés reçoivent une extension de fichier générée de manière aléatoire et conservent leurs noms de fichier d’origine. Le montant de la rançon n’est pas indiqué dans la notification de rançon. Les victimes doivent contacter les attaquants pour savoir combien ils devront payer pour obtenir les clés permettant de déchiffrer leurs fichiers.
De quel type d’email faut-il se méfier ?
L’un des e-mails interceptés, et qui ont été utilisés pour distribuer le ransomware, utilise un fichier zip protégé par mot de passe en tant que pièce jointe. L’e-mail semble être un accord commercial que le destinataire est invité à vérifier.
Le mot de passe pour ouvrir et extraire le fichier est inclus dans le corps du message. Le fichier zip attaché, nommé agreement.zip, contient un fichier exécutable qui installera le ransomware Ako une fois qu’il sera exécuté. Le fichier malveillant est appelé agreement.scr.
Comment récupérer ses données suite à une attaque d’Ako ?
Il n’y a pas de déchiffreur gratuit pour le ransomware Ako. La victime ne pourra pas récupérer leurs données si elle ne paye pas la rançon, sauf si celle-ci dispose des sauvegardes viables, c’est-à-dire des données qui n’ont pas été chiffrées par les pirates.
Il est donc important de s’assurer que les sauvegardes sont effectuées régulièrement et qu’au moins une copie de la sauvegarde est stockée sur un appareil non connecté au réseau pour éviter qu’elle ne soit également chiffrée par le ransomware. Les sauvegardes doivent également être testées pour s’assurer que la récupération de fichiers soit possible en cas d’incident.
Comment se protéger contre le ransomware Ako ?
Étant donné que le ransomware Ako est distribué via le spam, cela donne aux entreprises la possibilité de bloquer une attaque. Une solution de filtrage anti-spam avancée doit être implémentée pour analyser tous les messages entrants à l’aide de divers mécanismes de détection.
La solution doit également permettre d’identifier les menaces de malware et de ransomware. Par ailleurs, il faut utiliser un Sandbox, une fonctionnalité importante qui permettra d’analyser en toute sécurité les pièces jointes des e-mails pour détecter toute activité malveillante. Cette fonctionnalité améliorera les taux de détection des menaces du type « zero day ».
La formation des utilisateurs est aussi importante pour garantir que les employés n’ouvrent aucun fichier potentiellement malveillant qu’ils reçoivent par e-mail. La formation devrait obliger les employés à ne jamais ouvrir les pièces jointes dans les e-mails non sollicités provenant d’expéditeurs inconnus. Comme le montre cette campagne, tout fichier protégé par mot de passe envoyé dans un e-mail non sollicité doit être considéré comme une menace importante. En général, c’est la manière la plus courante que les pirates utilisent pour distribuer des ransomwares et des malwares, tout en évitant la détection par des solutions antivirus et des filtres anti-spam.
Les solutions anti-spam et les logiciels antivirus ne pourront pas détecter directement la menace si des fichiers malveillants sont envoyés dans des archives protégées par mot de passe. Les règles doivent donc être définies pour mettre en quarantaine les fichiers protégés par mot de passe, lesquels ne devraient être libérés qu’après avoir été vérifiés manuellement par un administrateur. Avec SpamTitan, ces règles sont faciles à définir.
Le ransomware Ako est l’une des nombreuses nouvelles menaces de ransomware publiées ces derniers mois. Si on compte les attaques de grande envergure contre des entreprises, comme celle menées contre Travelex, qui voient des demandes massives de rançon émises et qui sont dans la plupart des cas payées, les pirates réalisent des gains importants.
Les développeurs de ransomwares continueront de développer de nouvelles attaques tant que celles-ci resteront rentables, et il est peu probable que les affiliés soient prêts à lancer des campagnes de spam pour obtenir leur part d’argent sur les rançons.
Face à l’augmentation des attaques cybercriminelles, il est essentiel que vous disposiez de défenses solides, capables de détecter et de bloquer les malwares, les ransomwares et les menaces de phishing. C’est un domaine où TitanHQ peut vous aider.
Pour en savoir plus sur la façon dont vous pouvez améliorer vos défenses contre les e-mails malveillants et sur les menaces web, appelez l’équipe TitanHQ dès aujourd’hui.
Au cours des deux dernières décennies, TitanHQ a développé de puissantes solutions de cybersécurité pour les petites et moyennes entreprises (PME) et les fournisseurs de services managés (MSP) qui desservent le marché des PME. Naturellement, chez TitanHQ, nous avons une grande confiance en SpamTitan, notre solution de sécurité de la messagerie électronique.
Nous pensons qu’il s’agit de la solution de filtrage de spams idéale pour les PME et les MSP, car elle peut empêcher une myriade d’emails malveillants d’atteindre les boîtes de réception des utilisateurs finaux.
TitanHQ est le premier fournisseur de solution de sécurité des emails dans le cloud pour les MSP sur le marché des PME. Nous recevons régulièrement des commentaires positifs de la part des MSP et des PME sur la façon dont notre solution leur a permis d’économiser des heures de travail par rapport à d’autres solutions de sécurité des emails.
Ces commentaires rapportent également la manière dont notre solution peut aider les MSP et les PME à améliorer la sécurité de leur messagerie électronique, à bloquer davantage de spams et à empêcher les emails contenant des malwares et des ransomwares d’atteindre les boîtes de réception des utilisateurs finaux.
Ces réactions positives prouvent que nous avons raison de dire que notre solution garantit la protection de nos clients contre les malwares, les ransomwares, les virus, les botnets, l’ingénierie sociale et les attaques de phishing. Elles nous incitent également à continuer à l’améliorer dans les années à venir.
Les commentaires positifs ne sont pas seulement communiqués à nos ingénieurs et à nos équipes de service clientèle et de vente. Les décideurs informatiques ont également publié des avis très positifs sur les principales plateformes d’évaluation de logiciels d’entreprise. Ils font part aux autres professionnels de l’informatique de leurs expériences concernant la mise en œuvre de notre solution, de son intégration avec leurs autres solutions de cybersécurité et plateformes de gestion et de ce que représente l’utilisation quotidienne de SpamTitan.
En réalité, sur les différents sites d’évaluation des entreprises, SpamTitan a toujours reçu des notes élevées. Il n’existe aucun autre produit de sécurité de la messagerie électronique sur le marché qui ait obtenu une telle quantité d’avis et de commentaires positifs de la part des utilisateurs finaux.
Certains des avis positifs des principaux sites d’évaluation de logiciels commerciaux sont détaillés ci-dessous :
Avis de SpamTitan sur Gartner Peer Insights
Gartner Peer insights est l’une des plateformes d’évaluation les plus respectées des leaders mondiaux en matière de recherches et de conseils aux entreprises. Bien que Gartner contrôle strictement le site d’évaluation, il est impartial et n’a pas d’intentions cachées.
La plateforme d’évaluation donne aux professionnels de l’informatique la possibilité de donner leurs avis honnêtes sur les solutions logicielles qu’ils ont mises en œuvre pour aider d’autres professionnels de l’informatique à gagner du temps et de l’argent dans leur recherche.
36 utilisateurs qualifiés de SpamTitan ont laissé des commentaires sur le site et la solution a obtenu des réactions très positives avec un score moyen de 4,7 sur 5.
« L’équipe deSpamTitan avec laquelle nous avons travaillé a été très réactive, tant pendant le processus de vente que lors du service après-vente. Les tickets sont traités en quelques heures et ils sont souvent résolus en une journée. Le produit lui-même est très convivial pour les MSP : il permet de déléguer des tâches aux administrateurs des clients, avec de multiples pools de livraison et des prix attractifs. Le taux de détection des spams et des emails malveillants est meilleur que celui d’Exchange Online ». Chef d’équipe Microsoft dans le secteur des services.
« La mise en œuvre et l’utilisation de SpamTitan ne demande que peu de savoir-faire technique. Par contre, il est puissant, flexible et abordable ».Directeur de l’informatique et des télécommunications dans le secteur de la santé.
« SpamTitan est superbe, il redonne le contrôle à l’utilisateur et permet au personnel informatique de gagner du temps. Le produit est étonnant. Il a stoppé 99 % des spams. Il est basé sur le web et il est très facile à migrer. Le service client et de gestion de la migration au siège de TitanHQ est très brillant ». Responsable de la sécurité informatique dans l’industrie manufacturière.
Avis de SpamTitan sur G2 Crowd
G2 Crowd est l’un des principaux sites d’évaluation de logiciels d’entreprise. 139 utilisateurs vérifiés de SpamTitan ont laissé des avis sur le site et la solution a obtenu un score global de 4,6 sur 5. SpamTitan a obtenu une note élevée et constante dans toutes les catégories de notation :
9,3 sur 10 pour la conformité aux exigences et la facilité de faire des affaires
9,2 pour la facilité d’installation et la qualité du service client
9,1 pour la facilité d’utilisation et 9,0 pour la facilité d’administration.
En outre, chaque trimestre, G2 Crowd compile sa grille de sécurité des emails et évalue les solutions en fonction des commentaires des clients. Pendant quatre trimestres consécutifs, SpamTitan a été la meilleure solution de sécurité de la messagerie électronique.
« J’aime beaucoup les nombreuses possibilités de personnalisation disponibles pour ce produit. Nous avons un contrôle total sur l’environnement de filtrage des spams pour tous nos clients. L’environnement est stable, ce qui est très important pour nous et nos clients. L’équipe d’assistance a été formidable lorsque nous avons configuré notre environnement. Le support technique a répondu rapidement à nos emails. Elle nous a toujours aidé en cas de besoin. Le filtrage de spams est de premier ordre et bien meilleur que les autres produits que nous avons déjà utilisés ». Jeff Banks, directeur de la technologie.
« Il s’agit d’une solution antispam abordable, flexible et puissante ». Mike S, directeur de l’informatique et des télécommunications.
« La version cloud est idéale pour les fournisseurs de services managés ». Andrew B, vice-président.
« SpamTitan minimise notre exposition aux malwares et aux spams. » David C, spécialiste des relations extérieures.
Avis de SpamTitan sur Google Reviews
112 utilisateurs de SpamTitan ont pris le temps de soumettre leurs commentaires à Google Reviews. La solution est constamment bien notée par les utilisateurs et a obtenu une note globale de 4,9 sur 5.
Voici quelques-uns des commentaires positifs des utilisateurs :
« TitanHQ est une excellente solution qui coche de nombreuses cases. Elle est simple à mettre en place et offre un large éventail de fonctionnalités à partir d’un seul endroit. Mon expérience en matière de service d’assistance a été formidable grâce à une équipe qui connaît vraiment son produit. Je recommande vivement TitanHQ ». Chris Bell.
« Le filtre SpamTitan est de loin l’un des meilleurs filtres de messagerie électronique que j’ai jamais utilisé. Il est simple à installer et permet aux utilisateurs de sortir rapidement et facilement leurs propres emails de la zone de quarantaine ». Joseph Walsh.
« Super produit. Les spams ont été réduits à presque zéro et les utilisateurs ne se sont pas plaints. La configuration est simple et le service client est génial. J’adore ! » George Homme.
Avis de SpamTitan sur Capterra
Capterra est un site d’examen de logiciels de premier plan qui est actif depuis 20 ans. Il a été racheté par Gartner qui modère actuellement les avis sur le site. Capterra comprend plus de 700 catégories de produits logiciels. C’est l’un des sites d’évaluation de logiciels commerciaux les plus respectés. Les décideurs du monde entier s’appuient sur ce site.
SpamTitan a été évalué par 379 utilisateurs et a obtenu une note globale de 4,6 sur 5.
« C’est le plus proche du concept « set it and forget it » qu’on puisse trouver dans le domaine des technologies de l’information. L’assistance immédiate m’a permis de tout installer en moins de 20 minutes, sans avoir à me soucier du matériel.
Tout ce que j’ai à faire, c’est de vérifier de temps en temps si quelque chose a été bloqué de manière incorrecte, de le mettre en liste blanche, et le tour est joué. J’utilise le logiciel SpamTitan depuis près d’un an et pendant cette période, nous avons bloqué plus de 200 000 spams/emails malveillants pour une entreprise de 30 personnes, et ce, avant même que les messages n’atteignent les boîtes aux lettres de nos employés.
Avec SpamTitan, il est très facile de mettre en liste blanche ou noire des noms de domaines et des emails spécifiques. Les collaborateurs du centre d’assistance sont géniaux. Ils n’hésitent pas à rentrer dans les détails pour résoudre les problèmes s’ils devaient survenir ou même si vous avez juste une question. Ils ont toujours été amicaux, courtois et très sympathiques et ont été parmi les meilleures personnes avec lesquelles j’ai travaillé pendant toutes mes années de travail dans le domaine de l’informatique ». Benjamin Jones, directeur des technologies de l’information.
Spiceworks
Les membres de la communauté Spiceworks ont également attribué une excellente note à SpamTitan. La solution a été évaluée par 56 utilisateurs et a reçu une note globale de 4,6 sur 5.
Software Advice
Le site d’évaluation des logiciels Software Advice comprend 350 évaluations des utilisateurs professionnels de SpamTitan et a obtenu une note moyenne de 5,58 sur 5.
SpamFilterReviews
Selon SpamFilterReviews, SpamTitan est la solution de filtrage de spams la mieux notée sur le site, avec un score de 4,9 sur 5.
Les attaques de ransomware WannaCry, qui ont commencé le 12 mai 2017, ont été bloquées rapidement lorsqu’un « kill switch » a été identifié et activé. Mais combien d’argent les cybercriminels ont-ils gagné grâce à WannaCry pendant cette période ?
WannaCry était une cyberattaque mondiale dévastatrice, comme l’avaient prédit de nombreux professionnels de la cybersécurité. Et c’était vraiment le cas, car WannaCry était devenu le ransomware qui s’est répandu le plus rapidement dans le monde.
WannaCry utilisait un ransomware et un ver, ce qui lui permettait de se propager automatiquement et d’infecter un grand nombre d’appareils sur de nombreux réseau dans le monde. Le ransomware exploitait une vulnérabilité dans Windows Server Message Block (SMBv1) en utilisant un kit d’exploitation de la NSA appelé EternalBlue.
La faille exploitée par EternalBlue avait été signalée à Microsoft et un correctif a été publié en mars 2017, deux mois avant le début des attaques. Cependant, de nombreuses entreprises ont tardé à appliquer le correctif et étaient vulnérables aux attaques.
En quelques heures, environ 200 000 ordinateurs ont été infectés dans 150 pays. Il convient de noter que de nombreux postes ne sont toujours pas soingés deux ans et demi après la publication du correctif, malgré une large couverture médiatique sur la menace d’attaque et son coût énorme. WannaCry est toujours l’une des plus grandes menaces de ransomware et représente un pourcentage important de toutes les attaques de ransomware réussies en 2019.
WannaCry a été bloqué par un chercheur en sécurité britannique. Ce dernier a découvert que le ransomware avait vérifié un nom de domaine avant de chiffrer les données, mais que ce nom de domaine n’avait pas été enregistré. Il a acheté le nom de domaine, empêchant ainsi le chiffrement des fichiers.
Comme le ransomware s’est répandu très rapidement, il a réussi à infecter et à chiffrer de nombreux appareils pendant une courte période de temps. En effet, un grand nombre d’entreprises n’étaient pas protégées avant la désactivation du ransomware via le « kill switch » et beaucoup d’entre elles ont dû payer une rançon pour avoir la clé de déchiffrement de leurs fichiers.
Mais combien les pirates ont-ils vraiment gagné grâce aux attaques par le ransomware WannaCry ?
Le montant de la rançon était très faible, soit environ 270 euros par appareil infecté. Ce montant peut doubler et atteindre environ 541 euros si le paiement n’était pas effectué dans les 3 jours. Il est donc facile de comprendre pourquoi de nombreuses entreprises ont accepté de payer.
De plus, les transactions étaient détaillées dans la chaîne de blocage. Le bénéficiaire reste anonyme, mais ses victimes peuvent consulter les paiements s’ils le souhaitent.
Les trois adresses Bitcoin connues pour avoir été utilisées dans les attaques de WannaCry montrent actuellement que 430 paiements ont été effectués et que plus de 54 Bitcoins ont été envoyés sur ces comptes. La valeur du Bitcoin est quelque peu volatile et était beaucoup plus élevée à certains moments entre aujourd’hui et les attaques, mais au taux de change actuel, cela équivaut à environ 350 000 euros. La plupart des paiements ont maintenant été retirés des comptes, une fois que les attaquants les avaient encaissés. Pourtant, de nombreux autres paiements sont toujours effectués sur ces comptes.
Les derniers paiements à l’une des adresses ont été effectués en décembre 2019.
350 000 euros n’est peut-être pas un gros montant pour les pirates, compte tenu du nombre d’appareils infectés et des dommages causés par l’attaque. De plus, ils devront encore convertir ces cryptomonnaies en argent réel, et une somme considérable sera perdue dans ce processus. Le montant de leur paie était minuscule compte tenu de l’ampleur de l’attaque. Mais pour les entreprises, le coût des attaques était colossal.
Le Service national de santé du Royaume-Uni a été durement touché par WannaCry et le montant de l’opération de nettoyage et le coût des travaux liés à la reprise des activités après l’attaque étaient estimées à plus de 108 millions d’euros.
Ce n’était qu’une seule victime, mais la somme que les pirates ont obtenue était importante. Les estimations du coût total de WannaCry varient actuellement entre des centaines de millions et 3,6 milliards d’euros au niveau mondial.
La prochaine fois que vous tarderez à appliquer un correctif ou à mettre à jour un logiciel, prenez en compte les conséquences dévastatrices que peut causer WannaCry, ainsi que les éventuels coûts relatifs à la réparation de vos équipements et à la récupération de vos données sensibles.
Dans tous les cas ci-dessus – les 200 000 attaques et plus – l’application du correctif aurait permis d’éviter l’attaque et le coût énorme de la réparation des dommages que WannaCry aurait pu causer.
L’année qui vient de s’écouler dépasse probablement les attentes après l’identification, en janvier, de nouvelles souches de malwares intitulées Popcorn Time et Spora. Désormais, une nouvelle souche a dévoilé sa présence sombre et porte bien son nom, Satan.
Satan est la dernière menace malveillante dévoilée sous la forme de Ransomware as a Service ou RaaS. La prémisse derrière RaaS est similaire à la plupart des offres de Software as a Service dans la mesure où une nouvelle variante de ransomware est créée et ensuite commercialisée via des canaux de distribution pour que les clients puissent l’acheter. Les pirates informatiques ayant peu de connaissances ou de compétences ainsi que les gens ordinaires avec peu ou pas de scrupules peuvent s’abonner à RaaS et essentiellement démarrer une entreprise d’extorsion clé en main. Ils peuvent ensuite distribuer des malwares aux victimes potentielles dans l’espoir d’en tirer profit. Chaque fois qu’une victime paie une rançon, l’abonné et le créateur de la rançon se partagent la prise.
Comment fonctionne le ransomware Satan ?
Le virus Satan est accessible via son site web dédié sur Tor, un réseau informatique superposé mondial et décentralisé.
Contrairement aux formes antérieures de RaaS qui facturent des frais initiaux, allant de 39 à 400 $, Satan est gratuit. Le site affiche bien en évidence l’explication suivante :
Satan est libre. Il vous suffit de vous inscrire sur le site.
Satan est très facile à déployer. Vous pouvez créer votre ransomware en moins d’une minute.
Satan utilise Tor et l’anonymat Bitcoin.
L’exécutable de Satan n’est que de 170 kb.
En plus du logiciel de ransomware, les créateurs offrent un certain nombre de fonctions supplémentaires, y compris les relevés de paiement des frais et le suivi des transactions afin que les abonnés puissent voir combien d’instances ont été fructueuses, ainsi que le montant de leurs paiements.
Afin d’aider les vrais amateurs, Satan propose des tutoriels faciles à suivre pour aider les abonnés à créer des compte-gouttes qui servent de mécanisme de diffusion des malwares par le biais d’un spam ou d’un téléchargement par drive-by. L’interface Satan comprend même une zone dans laquelle les abonnés peuvent traduire leur ransomware dans différentes langues afin de communiquer avec leurs victimes pour mieux les guider dans le processus de paiement.
Comme pour la plupart des versions récentes de ransomwares, il existe un portail de service à la clientèle qui permet aux abonnés d’émettre des demandes de service. Une fois inscrits, les abonnés se voient offrir une clé publique pour l’authentification à deux facteurs et sont tenus de connecter un portefeuille bitcoin à leur compte afin de recevoir leur part des paiements en cas d’obtention d’une rançon.
Pour tout cela, les créateurs de Satan ne prennent qu’une commission de 30 %, et ce taux peut être négocié une fois qu’un abonné atteint un volume élevé de transactions réussies. A noter que la rançon recommandée est actuellement de un bitcoin.
La prolifération des ransomwares
Les attaques de Satan et d’autres RaaS augmentent la prolifération des ransomwares, car un plus grand nombre de pirates, avertis ou non, participent à cette activité criminelle rentable.
En raison de la simplicité de la souscription et de la mise en œuvre du plan d’affaires de Satan, cette nouvelle version va certainement assombrir l’année à venir.
Autres nouvelles variantes de Ransomware
Les créateurs de ransomwares continuent d’intégrer les innovations dans leurs produits néfastes. Les dernières fonctionnalités incluent :
Fileless ransomware : Cette variante ne nécessite aucun téléchargement de fichier dédié pour implémenter le processus d’infection. Au lieu de cela, le code malveillant est soit intégré dans un langage de script natif, soit écrit directement en mémoire à l’aide d’outils administratifs légitimes tels que PowerShell, selon les experts en cybersécurité. Ainsi, rien ne doit être écrit sur le disque, ce qui signifie que les antivirus basés sur des signatures ne peuvent pas détecter leur présence.
De nouvelles variantes ciblent maintenant les Snapshots de copie D’ombre de Volume (VSS) et les suppriment, rendant impossible toute tentative de restauration à partir de fichiers de sauvegarde.
Fin janvier, une école d’infirmières de Californie a été victime d’une attaque de ransomware via une clé USB. Non seulement les fichiers locaux de la machine infectée ont été chiffrés, mais le malware était également capable d’attaquer le compte Google Drive de la victime puisque le service de synchronisation Google était exécuté sur l’appareil infecté. Comme il s’agissait de la seule solution de secours de la victime, tous les fichiers ont été perdus depuis que l’école a décidé de ne pas payer la rançon. La bonne nouvelle, c’est que l’infection était limitée à un seul appareil, car il était rapidement déconnecté du réseau dès sa découverte.
Dans la plupart des cas, les attaquants par ransomware ont limité leur cible au système d’exploitation Windows. Pourtant, de nouvelles fonctionnalités ont été découvertes dans lesquelles les cybercriminels commencent à cibler à la fois les systèmes UNIX et Linux afin d’élargir leur couverture et leurs possibilités de bénéficier des transactions réussies.
Heureusement jusqu’à présent, les taux d’infection et d’exposition enregistrés au malware Satan sont faibles. Cela dit, 2017 s’annonce comme une autre année sombre pour la sécurité des réseaux grâce au rythme croissant auquel les nouvelles variantes de ransomwares arrivent sur le marché. Actuellement, les ransomwares sont la menace de malwares dont la croissance est la plus rapide. Leur rythme d’évolution s’accélère également, rendant chaque nouvelle variante plus sophistiquée et plus dangereuse que son prédécesseur.
Les technologies de sécurité doivent être simples et faciles à déployer, car les complexités augmentent les risques de cybercriminalité. La sécurité doit être inhérente et omniprésente dans l’ensemble de l’entreprise, y compris l’ensemble du réseau, le centre de données, les points finaux et le cloud. Appuyez-vous sur vos fournisseurs de sécurité et mettez à profit leur expérience approfondie pour améliorer la sécurité de votre entreprise.
