Le ransomware Locky est distribué via des spams contenant des pièces jointes infectées et des liens vers des sites web malveillants. Cette nouvelle souche de ransomware utilise l’extension de fichier Locky lorsque tous vos fichiers importants ont été chiffrés.
Alors que nous entrons dans le deuxième trimestre de 2016, les demandes de rançon distribuées par le biais des spams de fausses factures continuent de faire les gros titres en matière de sécurité informatique. De nouvelles souches apparaissent chaque jour et leurs méthodes d’infection changent. Le dernier-né, Locky, tente de brouiller de nombreux fichiers sur tous les disques qu’il peut trouver. Cela inclut les lecteurs amovibles, les partages réseau et les lecteurs mappés sous Windows, Linux ou MAC OSX.
Comme pour tous les ransomwares, vous ne pouvez déchiffrer vos fichiers qu’une fois que vous avez payé la rançon. Les victimes sont invitées à visiter le dark-web et à payer les escrocs en bitcoins, après quoi la clé de déchiffrement est fournie.
Cela dit, l’attaque semble similaire à celles des autres ransomwares. La différence ici est la façon dont le logiciel malveillant est distribué.
La principale source d’infection est spam, la plupart du temps déguisé en fausses factures. La pièce jointe est un document Word contenant le vénérable vieux porteur de virus : la macro. C’était la méthode de prédilection des auteurs de virus à la fin des années 1990 et, en tant que telle, elle avait été reléguée à l’histoire une fois que Microsoft avait pratiquement désactivé la fonction d’exécution automatique.
Toutefois, avec Locky, le destinataire est invité à activer l’édition dans le document, ce qui permet l’exécution du malware. Cette pratique a été assez efficace pour persuader le lecteur innocent de cliquer sur le bouton jaune « Enable Editing ».
Une fois la macro exécutée, elle télécharge le ransomware, qui commence alors le chiffrement de tous vos précieux fichiers.
A propos du Ransomware locky
Locky est apparu en 2016 lorsque des experts en sécurité ont constaté que les auteurs de malwares délivrent ce ransomware via un e-mail, demandant un paiement via une facture jointe à un document Microsoft Word malveillant qui exécute des macros infectieuses.
Le document – lorsqu’il est ouvert par un employé – ne serait pas dans un format lisible. Une boîte de dialogue s’ouvre avec une phrase « Activer la macro si l’encodage des données est incorrect. » Il s’agit d’une simple technique d’ingénierie sociale utilisée comme appât pour tromper vos employés et leur transmettre l’infection.
Lorsqu’un employé active les macros, les pirates exécutent un fichier binaire qui installe ensuite le cheval de Troie de chiffrement qui verrouille tous les fichiers ayant des extensions spécifiques. Ensuite, les noms de fichiers sont remplacés par une combinaison de lettres et de chiffres.
Une fois les fichiers chiffrés, le malware demande de télécharger le navigateur Tor et d’accéder à un site Web spécifique qui est en fait malveillant. Il demande aussi de payer une rançon pour déverrouiller le fichier chiffré.
Qui est visé par Locky ?
Locky est une menace très dangereuse, capable d’infecter une variété de formats de fichiers, notamment les fichiers créés par les concepteurs, les développeurs, les ingénieurs et les testeurs. La particularité de Locky est qu’il cible essentiellement les petites entreprises.
Les principaux pays touchés par Locky sont les États-Unis, l’Allemagne, la Grande-Bretagne, l’Espagne, la France, l’Italie, la République tchèque, le Canada et la Pologne.
En fait, d’où vient Locky ?
Les auteurs du malware transmettent l’infection via des spams accompagnés de pièces jointes malveillantes comprenant des fichiers .doc, .xls. ou zip.
Les experts en matière de sécurité ont trouvé des preuves que le ransomware Locky a été développé par les pirates qui ont développé ArcTitan. Le ransomware Locky pourrait également provenir de la Russie et il cible tous les ordinateurs du monde entier, sauf la Russie.
Comment détecter le ransomware ?
Les e-mails infectés par Locky semblent authentiques, ce qui rend difficile pour les utilisateurs finaux d’identifier les e-mails malveillants. L’objet des e-mails ressemble souvent au suivant : « Paiement à venir – préavis d’un mois ». Ils peuvent aussi être accompagnés d’un document Microsoft Word contenant des macros malveillantes.
Si le ransomware s’exécute et infecte les fichiers de vos employés, il sera difficile de les récupérer. Ils seront informés qu’ils doivent payer une rançon pour déverrouiller les fichiers.
Comment supprimer le ransomware locky ?
Au cours du processus de démarrage de votre ordinateur, appuyez sur la touche F8 de votre clavier jusqu’à ce que le menu « Options avancées » de Windows apparaisse, sélectionnez « Mode sans échec » avec invite de commande dans la liste des menus, puis appuyez sur « Entrée ».
Lorsque le mode « Invite de commande » se charge, tapez sur « cd restore » et appuyez sur « Entrée ».
Tapez ensuite sur « rstrui.exe » et appuyez sur « Entrée ».
Cliquez sur « next » dans la fenêtre ouverte.
Sélectionnez les points de restauration et cliquez sur « next » afin de restaurer votre système avant l’infiltration de locky ransomware sur votre ordinateur.
Cliquez ensuite sur « YES » dans la fenêtre qui s’ouvre.
Une fois que votre ordinateur est restauré, scannez le système via un logiciel antivirus efficace et recommandé. Supprimez tous les fichiers locky ransomware restants.
Les campagnes de spams Locky sont bien pourvues en ressources
Des rapports suggèrent que les campagnes de spams de Locky étaient bien financées, à une échelle beaucoup plus grande que la plupart des autres attaques. De nombreux e-mails avaient un sujet qui commençait par « ATTN: Invoice… » ou « Tracking documents ».
Le malware s’est répandu très rapidement — ce qui a surpris de nombreux éditeurs de logiciels antivirus — et a frappé des entreprises qui n’avaient aucune politique de mises à jour régulières et fréquentes de leur sécurité informatique.
Les victimes ont reçu un message de ce type sur leurs ordinateurs :
Malgré sa notoriété, le ransomware n’est qu’un autre type de malware qui menace les données de votre entreprise, votre réputation ou votre solde bancaire. Ce qui est inquiétant, c’est le fait que les criminels utilisent des escroqueries de plus en plus convaincantes pour persuader leurs victimes d’ouvrir des pièces jointes malveillantes ou de suivre des liens vers des sites web douteux.
Malgré toutes les informations et les avertissements destinés à rendre les utilisateurs d’ordinateurs méfiants face aux e-mails non sollicités, les cybercriminels trouvent davantage de moyens efficaces qui rendent leurs messages aussi légitimes et innocents que possible.
Les campagnes de spam semblent aujourd’hui plus localisées, c’est-à-dire qu’elles sont lancées dans le pays ou même la région de la victime. Les sujets sont familiers et le message, ainsi que la pièce jointe, prétendent concerner les processus et les services communs au destinataire. Les e-mails provenant des entreprises, des services publics, des organisations partenaires et des fournisseurs légitimes sont couramment utilisés pour tromper les gens à ouvrir le document ou à cliquer sur le lien fourni. Même la personne la mieux informée et intentionnée pourrait donc être dupée.
Tout cela signifie qu’un simple antivirus et une base d’utilisateurs bien informés ne suffisent plus pour vous protéger et pour protéger vos données.
Mieux vaut donc prévenir que guérir, surtout lorsque la guérison ne sera pas possible sans payer les criminels.
Votre meilleure protection est un ensemble de défenses à plusieurs niveaux
Vous ne pouvez plus vous fier à un ou deux systèmes pour vous protéger d’un attaquant déterminé. Au lieu de cela, vous devriez disposer de plusieurs systèmes pour défendre à nouveau les multiples « vecteurs d’attaque » pouvant être utilisées par les criminels.
Jetons un coup d’œil aux solutions que vous devriez mettre en place :
Sauvegarde
C’est votre dernière ligne de défense contre les ransomwares.
Les sauvegardes hors site vous sauveront non seulement en cas d’attaque de malwares, mais aussi dans de nombreuses situations désastreuses.
Utilisez des sauvegardes chiffrées pour sécuriser vos données.
La principale raison d’une sauvegarde de données est de disposer d’une archive sécurisée de vos informations importantes, qu’il s’agisse de documents confidentiels pour votre entreprise ou de photos précieuses de votre famille. Ceci vous permet de restaurer votre appareil rapidement et sans problème en cas de perte de données.
Pourtant, 30 % des employés ne sauvegarde jamais leurs données dans leurs appareils. Cela peut sembler peu jusqu’à ce que vous le mettiez en perspective, avec la fréquence des pertes de données.
Selon les données de Norton.com ;
113 téléphones sont perdus ou volés chaque minute. (Données fournies lors de la Journée mondiale de la sauvegarde) ;
Les ransomwares attaquent les entreprises toutes les 14 secondes, selonCybercrime Magazine ;
Chaque mois, 1 ordinateur sur 10 est infecté par des. (Source : Journée mondiale de la sauvegarde) ;
Les ordinateurs portables sont volés toutes les 53 secondes aux États-Unis. (Kensington)
Plus de 70 millions de téléphones portables sont perdus chaque année. (Kensington)
Considérez donc la sauvegarde des données comme la pierre angulaire de votre plan de reprise après sinistre. En sauvegardant vos appareils, vous avez déjà une longueur d’avance sur les cybermenaces qui pourraient entraîner une perte de données.
Il convient toutefois de noter que la perte de données n’est pas toujours le résultat de cybermenaces. Il peut également arriver que votre disque dur externe ou votre ordinateur s’use et que vous perdiez vos données. C’est la nature même de tout matériel, et la sauvegarde de vos données peut vous aider à les restaurer sur un nouvel appareil.
Patchs
Assurez-vous que votre système d’exploitation et vos logiciels de productivité sont à jour. Pour ce faire, vous pouvez utiliser des mises à jour sur Internet ou créer des systèmes de mise à jour internes.
Les mises à jour logicielles comprendront fréquemment des correctifs pour les vulnérabilités de sécurité nouvellement découvertes et qui pourraient être exploitées par des attaquants.
Effectuez un correctif complet de l’application tierce (en plus des correctifs du système d’exploitation). Certains logiciels tiers, comme Adobe Flash, sont souvent la cible de malwares et doivent être tenus à jour.
Vous travaillez d’arrache-pied sur votre ordinateur ou votre appareil et un message s’affiche soudainement indiquant qu’une mise à jour logicielle est disponible. Vous êtes occupé, alors vous cliquez sur « annuler » au lieu de « installer », en pensant que vous y reviendrez plus tard, mais vous ne le faites jamais. Cela vous semble familier ?
La vérité est qu’il est facile d’ignorer les mises à jour logicielles, car elles ne prennent que quelques minutes de notre temps et ne semblent pas si importantes. Mais c’est une erreur qui laisse la porte ouverte aux pirates pour accéder à vos informations privées, ce qui vous expose à un risque d’usurpation d’identité, de perte d’argent, de crédit et bien plus encore.
Vous avez peut-être entendu parler de la récente violation de données d’Equifax, qui a touché 143 millions d’Américains, dont les numéros de sécurité sociale, les dates de naissance et les adresses personnelles ont été exposées. Les pirates ont pu accéder aux données de l’agence d’évaluation du crédit grâce à une vulnérabilité connue dans une application web. Un correctif pour cette faille de sécurité était en fait disponible deux mois avant la violation, mais la société n’a pas mis à jour son logiciel. C’est une leçon difficile, mais dont nous pouvons tous tirer des enseignements. Les mises à jour logicielles sont importantes, car elles contiennent souvent des correctifs critiques pour les failles de sécurité.
En fait, la plupart des attaques de malwares les plus dangereuses que nous observons tirent parti des vulnérabilités logicielles des applications courantes, comme les systèmes d’exploitation et les navigateurs. Ce sont de gros programmes qui nécessitent des mises à jour régulières pour rester sûrs et stables. Au lieu de remettre à plus tard les mises à jour logicielles, considérez-les comme l’une des mesures les plus essentielles que vous puissiez prendre pour protéger vos informations.
Outre les correctifs de sécurité, les mises à jour logicielles peuvent également inclure des fonctionnalités nouvelles ou améliorées, ou une meilleure compatibilité avec différents appareils ou applications. Elles peuvent également améliorer la stabilité de votre logiciel et supprimer les fonctionnalités obsolètes.
Maintenez à jour vos logiciels de sécurité et antivirus
La qualité de vos solutions antivirus, antispam et de filtrage de contenu dépend de la qualité de leur dernière mise à jour.
Vous devez conserver une politique de mise à jour régulière et fréquente pour vous protéger des dernières menaces. Faire cela une fois par jour ne suffit pas !
Pourquoi faut-il mettre à jour un logiciel antivirus ?
S’il y a une chose que nous aimerions que vous reteniez de cet article, c’est la suivante : votre version actuelle de l’antivirus ne vous protège que des virus déjà connus. Lorsque vous cessez de la mettre à jour, vous restez exposé face aux nouveaux virus et malwares qui se répandent sur le web. Et il y a beaucoup, beaucoup de nouveaux virus qui sortent chaque jour.
Cela devrait être une raison suffisante pour vous inciter à mettre à jour votre logiciel antivirus. Après tout, essayez de faire un parallèle entre l’utilisation de la dernière version de l’antivirus et le fait d’aller à l’école tous les jours. En tant qu’enfant, si vous sautez vos journées d’école, vous vous retrouverez souvent privé d’informations précieuses. Parfois, il s’agit d’informations qui vous aideront à réussir un futur examen avec brio. D’autres fois, il s’agit d’informations qui pourraient étonnamment, mais littéralement vous sauver la vie plus tard.
Votre antivirus doit « aller à l’école » tous les jours et apprendre tout ce que ses « professeurs » ont à lui apprendre. Sinon, un nouveau virus arrive et vous pourriez vous retrouver à devoir réinstaller le système d’exploitation juste pour vous en débarrasser. Ou, pire encore, vous pourriez devoir payer une rançon pour récupérer vos données.
Lorsque vous maintenez votre antivirus à jour, vous ne protégez pas seulement votre appareil et vos précieuses données ! Mais vous contribuez également à la suppression des virus pour lesquels vous avez reçu des mises à jour de signatures. Car le plus souvent, les virus pourraient être efficacement supprimés, si seulement tous les internautes s’unissaient pour le supprimer de leurs appareils.
Comme ce n’est pas le cas, nous nous retrouvons avec les mêmes vieux virus. Ils se propagent d’un appareil non protégé (ou obsolète) à un autre, profitant de notre paresse pour y mettre un terme.
Chaque jour, des centaines de nouveaux virus informatiques et chevaux de Troie sont développés. Le rythme auquel nous les découvrons et trouvons des solutions n’est peut-être pas très élevé. Pourtant, il est suffisamment important pour que les développeurs d’antivirus publient de nouveaux fichiers de signatures tous les deux jours. Parfois, c’est même tous les jours. Ou plusieurs fois par jour.
Comme nous l’avons déjà dit, plus nous sommes confrontés à des périls, plus les mises à jour sont nombreuses. Tout comme les chercheurs étudient les nouveaux virus qui provoquent des maladies et trouvent des remèdes et des antidotes, les développeurs de codes font de même. Ils travaillent chaque jour à identifier et à combattre les virus informatiques.
De cette façon, lorsqu’ils trouvent une solution, ils la diffusent auprès de leur communauté d’utilisateurs. En fait, c’est le moment idéal pour vous d’en profiter. Il n’y a pas vraiment de meilleure réponse à la question de savoir à quelle fréquence vous devez mettre à jour votre protection antivirus, ou aussi souvent que votre antivirus mette une mise à jour à votre disposition.
Tests d’intrusion
Effectuez régulièrement des évaluations de la sécurité de votre réseau et des tests de pénétration pour découvrir les vulnérabilités inconnues.
Pour arrêter un pirate informatique avant même qu’il ne pense à s’introduire dans votre réseau, votre administrateur de système doit essayer de s’introduire lui-même dans le système ciblé en utilisant les mêmes techniques que celles utilisées par les escrocs.
Le test d’intrusion pour les systèmes informatiques a pour objectif de rechercher les vulnérabilités du système, comme les failles de sécurité, les ports ouverts et d’autres problèmes de sécurité.
Les professionnels dans ce domaine recherchent et essaient d’exploiter les systèmes qu’ils sont chargés de tester.
Ceci étant fait, ils se comportent de la même manière qu’un pirate informatique dans un scénario réel. Pourtant, l’avantage est que les personnes qui font ce type de travail légalement ont souvent accès à des recherches et à des outils plus fiables que ceux dont dispose un pirate informatique ordinaire.
Leur connaissance combinée à des failles des systèmes sont généralement bien plus importante que celle d’un seul pirate attaquant un système, ce qui leur permet de rechercher, en tant que professionnels, une grande variété de failles possible.
Un outil populaire pour ce type de test s’appelle ArcTitan. Il s’agit d’une solution complète et open source, capable de trouver et d’exploiter les failles de sécurité d’un système.
Comme pour toute chose, il y a une courbe d’apprentissage assez raide associée à une plateforme telle qu’ArcTitan, et nous ne suggérons pas à ceux qui ont peu ou pas d’expérience dans ce domaine de placer toute leur confiance en un seul endroit. C’est un outil dont l’utilisation ne requiert aucune connaissance particulière. Chez TitanHQ, nous fournissons une assistance 24 heures sur 24 dont les entreprises qui traitent des données sensibles ont souvent besoin.
Pour arrêter un pirate avant même qu’il ne pense à s’introduire dans le système cible, un administrateur système doit essayer de s’introduire lui-même dans le système en utilisant les mêmes techniques que celles utilisées par un pirate.
Pourquoi est-ce important ?
Les tests d’intrusion sont extrêmement importants à notre époque et le deviennent de plus en plus. À mesure que la technologie progresse et que notre dépendance à l’égard des réseaux et des systèmes utilisés par les entreprises s’accroît, les types de risques augmentent également.
Selon certains rapports, près de 90 % des sites web commerciaux ont, à un moment ou à un autre ; été piratés ou compromis d’une manière ou d’une autre. La vérité est que les méthodes de cybercriminalité se développent aussi vite, voire plus vite, que celles de la cybersécurité. C’est pourquoi il est absolument nécessaire que les entreprises qui se prennent au sérieux, ainsi que leurs clients, produits et services, adoptent une approche pratique et agressive de leur propre sécurité.
De nouveaux moyens de pénétrer dans les systèmes sont découverts en permanence, et en adoptant une approche active et agressive afin de trouver les failles et les colmater. Un administrateur système peut garder une longueur d’avance sur les pirates qui cherchent à tirer parti de leurs vulnérabilités.
Systèmes de sécurité web
Utilisez une approche de la sécurité par couches afin de protéger vos utilisateurs et vos systèmes contre les malwares.
Les menaces de vol de propriété intellectuelle, de données financières, de données de titulaires de cartes, de PII (informations personnellement identifiables) sont plus diverses et de plus en plus difficiles à défendre. Le traditionnel « vandalisme sur Internet » des virus est toujours un problème, mais le « paysage des menaces » en 2017 est beaucoup plus diversifié et dangereux que jamais.
Il devient non seulement plus difficile de protéger vos données confidentielles, mais aussi plus importantes. Votre entreprise est attaquée en ce moment même et, en cas d’intrusion réussie, vous pourriez perdre votre propriété intellectuelle ; vos données sensibles relatives à la planification et aux finances de l’entreprise ; vos informations sur le marché ; et, avec elles, votre avantage concurrentiel global pourrait reculer de plusieurs années.
Mais cela pourrait être le meilleur scénario possible. Si vous perdez les données des titulaires de cartes ou les informations personnelles des clients, non seulement vous devrez payer les coûts de compensation financière et de réparation des systèmes. Mais la valeur de votre marque et la réputation de votre entreprise seront gravement compromises.
Les chevaux de Troie et les virus sont toujours présents et représentent une menace renouvelée lorsqu’ils sont associés à des techniques d’ingénierie sociale pour la distribution.
Les systèmes antivirus ne seront jamais efficaces à 100 %, même contre les malwares connus, tandis que les « menaces du jour zéro », c’est-à-dire les malwares inconnus jusqu’alors, ne cessent de se multiplier.
Les menaces de l’intérieur
Par définition, elles contournent même les meilleurs pare-feu, systèmes de protection contre les intrusions et défenses antivirus. Il est clair qu’il est très avantageux de se trouver à l’intérieur du pare-feu, mais lorsque l’attaquant dispose de droits d’administration sur des systèmes clés, une approche différente de la protection des données est nécessaire.
Attaques de phishing
Les utilisateurs contournent les pare-feu, les systèmes de protection contre les intrusions et les antivirus en accueillant involontairement des malwares.
Exploitation des vulnérabilités – année après année, lorsque le Top 10 des failles de sécurité est publié, les exploitations directes de Cross-Site Scripting (XSS) et d’injection SQL des applications Web figurent toujours en tête de liste ou presque.
Les menaces persistantes avancées (APT)
Les attaques professionnelles les mieux orchestrées jouent sur le long terme. L’APT classique est une campagne tactique menée sur une période prolongée de plusieurs mois sous forme de piratage progressif.
L’APT a généralement pour origine une attaque de phishing. Dans ce cas, l’attaque est soigneusement ciblée. Un « Inside Man » peut implanter un logiciel espion, qui peut ensuite être utilisé comme vecteur pour pénétrer plus profondément dans les systèmes et voler des données sur une période de plusieurs mois.
En réalité, il n’existe pas de meilleure mesure de défense. L’éventail des menaces en termes d’anatomie et de sophistication, associé à des astuces et à la ruse, signifie que nous devons également combiner et exploiter toutes les mesures de sécurité à notre disposition. Pour l’essentiel, l’éventail des mesures peut être résumé comme suit :
Le pare-feu et le système de protection contre les intrusions utilisent des règles et la reconnaissance des signatures d’attaque pour les bloquer
L’antivirus utilise un dictionnaire de signatures de fichiers pour bloquer et supprimer les malwares.
Procédures de sécurité fondées sur les meilleures pratiques, comme le durcissement, le contrôle des changements, la gestion des comptes d’utilisateur, les mises à jour et la sécurité physique.
Le DLP ou « Data Leakage Prevention » fonctionne en bloquant les fonctions d’exportation de données comme les ports USB, les graveurs de DVD et d’autres mécanismes de transfert pour la copie de données.
Le chiffrement et la tokénisation rendent les données inutilisables de différentes manières. Le chiffrement, par exemple brouiller les données pour les rendre illisibles sur tout appareil non autorisé à les utiliser, alors que la tokénisation traduit les données en un jeton, les jetons résultants n’ayant aucune signification, à moins d’être utilisés en conjonction avec le magasin de données à jetons.
La liste blanche bloque l’exécution de tout processus non autorisé sur un système, ce qui permet de prévenir les virus et les chevaux de Troie.
Le SIEM ou « Security Incident and Event Management » fournit une analyse et une corrélation de toutes les activités du journal des événements du système afin d’identifier les activités irrégulières ou inhabituelles.
Le FIM ou « File Integrity Monitoring » détecte toute activité du système de fichiers affectant les fichiers système/programme, ainsi que tout changement de configuration susceptible d’affecter la sécurité.
Utilisez des logiciels de sécurisation des nœuds d’extrémité
Cela inclut les pare-feu basés sur le client.
Les solutions de protection des points d’extrémité offrent aux entreprises, une solution de sécurité gérée de manière centralisée pour sécuriser les postes de travail, les points d’extrémité (serveurs, etc.), qui sont connectés aux points d’extrémité et les dispositifs de ces derniers.
Elle est considérée comme la meilleure, car elle intègre un antivirus, un anti-spyware, un pare-feu et un contrôle des applications qui comporte des techniques HIPS (prévention des intrusions dans l’hôte) – le tout dans une seule console.
Il combine la gestion des correctifs, la capacité de configuration et l’évaluation des vulnérabilités pour permettre une protection proactive des fichiers de données et le cryptage des disques.
Désactiver l’exécution des macros par défaut dans Microsoft Office
Faites une sauvegarde des fichiers vitaux sur des disques externes ou dans le cloud.
Bien que Microsoft détecte et supprime Locky, nous vous recommandons de désactiver les macros afin d’empêcher cette menace et d’autres menaces téléchargées par macros d’infecter votre PC, puis de n’activer que les macros auxquelles vous faites confiance, au cas par cas.
Pour assurer la sécurité de votre entreprise, envisagez d’utiliser un emplacement de confiance pour les fichiers de votre entreprise, où vous pourrez stocker les documents nécessitant des macros. Vous pouvez également utiliser nos services de protection dans le cloud pour renforcer votre protection..
Logiciel d’analyse des e-mails
Bloquez les fichiers exécutables et les autres types de fichiers malveillants ou indésirables.
Listes de blocage en temps réel
Analyse antispam
Analyse antivirus
Contrôle du contenu
Analyse du web
Analyse antivirus
Protection contre les malwares
filtrage des URL
analyse SSL
Bloquez les fichiers exécutables et autres types de fichiers malveillants ou indésirables.
Gestion des applications
Autres solutions de sécurité du réseau
Pare-feu
Inspection dynamique des paquets
Système de prévention d’intrusions (IPS)
Ce qui est certain au sujet des attaques de ransomwares, c’est qu’il est pratiquement impossible de récupérer vos données chiffrées suite à un tel incident. Il est donc préférable de vous protéger correctement dès le départ.
On ne saurait trop insister sur l’importance des sauvegardes dans la lutte contre les ransomwares. Il est essentiel de sauvegarder les fichiers pour pouvoir les récupérer après une attaque de ransomware et de s’assurer que le disque de sauvegarde n’est pas accessible par un malware.
L’importance de mettre en œuvre de bonnes politiques de gestion des correctifs a été clairement soulignée par les attaques de ransomware WannaCry en mai. Les attaques par ransomware ont été rendues possibles en raison des mauvaises politiques de gestion des correctifs dans des centaines d’entreprises.
Les attaquants ont profité d’une vulnérabilité dans Windows Server Message Block (SMB) à l’aide d’exploits développés par (et volés à) la National Security Agency des États-Unis.
Les exploits, c’est-à-dire des éléments de programme permettant à un pirate ou à un logiciel malveillant d’exploiter une vulnérabilité informatique, ont profité des failles SMB qui, au moment où ils allaient être rendus publics, avaient été corrigées par Microsoft. Heureusement pour les individus à l’origine des attaques, et malheureusement pour de nombreuses entreprises, la mise à jour n’avait pas été appliquée.
Contrairement à la majorité des attaques par ransomware qui nécessitent une certaine implication de l’utilisateur – par exemple en cliquant sur un lien ou en ouvrant une pièce jointe infectée — les failles SMB pouvaient être exploitées à distance sans aucune interaction de l’utilisateur.
WannaCry n’était pas la seule variante de malware qui a tiré parti des systèmes non mis à jour. Le mois suivant, les attaques NotPetya (ExPetr) ont utilisé un exploit similaire appelé EternalBlue. Encore une fois, ces attaques n’avaient pas besoin de l’intervention des utilisateurs. NotPetya était un malware de type wiper (qui détruit les données), qui a été utilisé pour le sabotage informatique. Les dommages causés par ces attaques étaient considérables. Des systèmes entiers ont dû être remplacés, des entreprises ne pouvaient pas fonctionner et, pour de nombreuses entreprises, les perturbations se sont poursuivies pendant plusieurs semaines après les attaques. Pour d’autres entreprises, les pertes causées par ces attaques se chiffraient en millions de dollars.
Ces attaques auraient pu être facilement évitées, en appliquant un seul patch (MS17-010). Le patch était disponible depuis deux mois avant les attaques WannaCry. Même des politiques de gestion des correctifs — qui exigeaient que les logiciels soient vérifiés une fois par mois — auraient pu les prévenir. Dans le cas de NotPetya, les entreprises concernées n’avaient pas non plus réagi à WannaCry, même si les attaques par ransomware ont été largement couvertes par les médias et si le risque lié au retard de la mise à jour a été clairement souligné.
Le message à retenir est que les vulnérabilités de sécurité non résolues peuvent être exploitées par des cybercriminels. Les entreprises peuvent acheter une variété de solutions de sécurité coûteuses pour sécuriser leurs systèmes, mais celles dont les politiques de gestion des correctifs sont inadéquates subiront des brèches de données. La question n’est plus de savoir s’il y aura une brèche de données, mais quand cela va se produire.
Les mauvaises politiques de gestion des correctifs coûtent plus de 5 millions de dollars à une compagnie d’assurance
Une autre bonne raison de procéder rapidement à la mise à jour a été constatée ce mois-ci. Nationwide Mutual Insurance Company et sa filiale, Allied Property & Casualty Insurance Company a du payer une somme conséquente à plusieurs procureurs généraux dans 32 États. En effet, Nationwide a accepté de payer 5,5 millions de dollars pour résoudre l’enquête sur la violation de ses données en 2012.
Il s’agissait d’un vol de données concernant 1,27 million de preneurs d’assurance et de particuliers qui ont obtenu des soumissions d’assurance de la compagnie. Dans ce cas, le vol de données a été possible en raison d’une vulnérabilité non traitée dans une application tierce. Même si la vulnérabilité a été jugée critique, l’assureur n’a pas procédé à sa mise à jour. La vulnérabilité n’était pas corrigée pendant trois ans. Le correctif n’a été appliqué qu’après le vol de données.
L’enquête sur la brèche a été menée conjointement par George Jepsen, procureur général du Connecticut. Lorsqu’il a annoncé le paiement de la somme, M. Jepsen a déclaré : « Il est extrêmement important que les entreprises prennent au sérieux la maintenance de leurs systèmes informatiques et de leurs protocoles de sécurité des données. »
Les vulnérabilités non traitées seront exploitées par les cybercriminels. Les attaques entraîneront des vols de données, des dommages matériels, des poursuites judiciaires intentées par les victimes d’infractions, des amendes imposées par les procureurs généraux et des amendes imposées par d’autres organismes de réglementation. Ces coûts peuvent tous être évités avec de bonnes politiques de gestion des correctifs.
Un nouveau type d’attaque de ransomware pourrait se profiler à l’horizon. La méthode d’attaque, appelée ransomcloud, a été mise au point par un pirate white hat pour démontrer à quel point il est facile de lancer une attaque qui entraîne le chiffrement des emails dans le cloud.
Une attaque réussie permettra à l’attaquant de prendre le contrôle total d’un compte de messagerie dans le cloud, ce qui lui permettra de déployer une charge utile de ransomware qui chiffre tous les emails dans le compte. Cette méthode pourrait également être utilisée pour obtenir le contrôle total du compte qui va servir à des fins de spamming et à d’autres fins malveillantes.
L’attaque fonctionne sur tous les comptes de messagerie dans le cloud qui permettent aux applications tierces d’accéder aux comptes via OAuth, y compris aux comptes Gmail et Office 365.
L’attaque de ransomcloud commence par un email de phishing. Dans cet exemple, le message semble avoir été envoyé par Microsoft et offre à l’utilisateur la possibilité de s’inscrire et d’utiliser un nouveau service de filtrage du spam appelé AntiSpamPro. L’email inclut le logo Microsoft et semble être un nouveau service de la marque qui offre à l’utilisateur une meilleure protection contre le spam.
Afin de profiter de ce service, l’utilisateur doit cliquer sur un lien hypertexte dans l’email pour autoriser l’installation du nouveau service. Lorsqu’il clique sur le lien, une fenêtre contextuelle apparaîtra, dans laquelle il devra autoriser l’application à accéder à son compte de messagerie.
Une telle demande est tout à fait raisonnable, car une application qui offre une protection contre le spam nécessiterait naturellement l’accès au compte de messagerie. Les emails doivent être lus pour que l’application puisse déterminer si les messages sont authentiques ou s’il s’agit de spam. Cliquer sur « accepter » donnerait à l’attaquant le contrôle total du compte de messagerie via un jeton d’accès OAuth. Si l’accès est accordé, l’utilisateur perd le contrôle de son compte de messagerie.
Dans cet exemple, lorsque le ransomware est installé, il chiffre le corps du texte de tous les emails du compte. Un email apparaît alors dans la boîte de réception contenant la demande de rançon. L’utilisateur est tenu de payer une rançon pour récupérer l’accès à ses emails.
De plus, l’attaquant peut revendiquer le compte de messagerie comme le sien et verrouiller l’accès de l’utilisateur. Il peut également envoyer des emails de phishing à tous les contacts de l’utilisateur, accéder à des renseignements sensibles dans les emails, utiliser les renseignements dans les emails pour en apprendre davantage sur la personne et utiliser informations dans de futures attaques comme des campagnes de spear phishing.
La méthode d’attaque de ransomcloud est étonnamment simple à mettre en œuvre et pourrait être adoptée par les cybercriminels comme un nouveau moyen d’extorquer de l’argent et d’avoir accès à des informations sensibles.
Le ransomware Locky a fait l’objet d’une distribution effrénée ces derniers temps et il cherche de nouvelles façons d’atteindre des taux d’infection encore plus élevés. Ce malware se concentre sur le changement de tactique ; sur l’expérimentation de nouvelles extensions et sur le développement de nouveaux appâts pour inciter les utilisateurs qui ne se doutent de rien à cliquer sur des liens malveillants. Dans leur dernière vague de spam, les cyberattaquants ont utilisé Dropbox pour distribuer cette célèbre souche de ransomwares.
Qu’est-ce que Dropbox ?
Dropbox est un service de partage et de stockage de fichiers basé dans le cloud. Comme il est très populaire, les cybercriminels profitent de sa notoriété pour mener différentes sortes d’attaques via le web.
Cette plate-forme de partage de fichiers est considérée comme une incroyable réussite technologique. Il n’est donc pas surprenant qu’actuellement, elle compte plus de 500 millions d’utilisateurs enregistrés et que, chaque jour, plus de 1,2 milliard de fichiers soient téléchargés sur la plateforme, aussi bien par des particuliers que par les professionnels dans le monde entier.
Tout cela fait de Dropbox un outil très familier pour les internautes. Depuis sa création en 2007, les gens l’utilisent quotidiennement pour améliorer leurs communications et pour stocker différents documents et fichiers. Cela a créé un sentiment de confiance entre la marque et ses utilisateurs. Ces derniers confient à Dropbox certaines de leurs données les plus personnelles et le considèrent comme un canal de communication efficace pour le partage d’informations sensibles avec d’autres parties.
En dépit de la présence prolifique de Dropbox dans notre vie personnelle et professionnelle, il se trouve actuellement dans la ligne de mire des pirates informatiques. Si on ajoute à cela la confiance que nous accordons à la plate-forme, le fait qu’elle peut communiquer avec nous directement via nos boîtes aux lettres électroniques, et le fait qu’il est désormais possible de communiquer plus facilement avec nos contacts via ce service, on obtient la combinaison parfaite pour que les pirates puisse mener des attaques de phishing et de ransomware réussies.
Comment un ransomware infecte-t-il votre ordinateur via Dropbox ?
Les attaques de phishing
Il existe deux principaux types d’attaques de phishing par Dropbox. La première consiste à envoyer un lien qui demande aux utilisateurs de vérifier leur adresse électronique. En cliquant sur le lien, ils sont dirigés vers un site Web Dropbox usurpé qui ressemble de près au site Web officiel. Ils sont ensuite invités à entrer leurs identifiants de connexion dans le cadre du processus de confirmation.
Une autre arnaque de phishing a également été signalée par Symantec. Lors de cette attaque, un utilisateur a reçu un e-mail qui ressemble beaucoup aux messages envoyés par le service d’assistance de Dropbox. L’e-mail prévient la victime qu’un fichier trop lourd pour être envoyé par e-mail a été envoyé via Dropbox. Il invite donc ce dernier à cliquer sur un lien pour y accéder. Une fois qu’il clique sur le lien, il est dirigé vers une fausse page Dropbox. Ironiquement, la page frauduleuse est hébergée au sein même de Dropbox et demande à l’utilisateur de se connecter. Lorsqu’il saisit ses informations d’identification, celles-ci sont ensuite volées par le cybercriminel.
Dans d’autres attaques, le cybercriminel propose aux utilisateurs de Dropbox de s’y connecter en utilisant des sites sociaux tels que Google et Outlook afin de pouvoir récolter d’autres informations d’identification. Une fois en possession de ces informations confidentielles, il dispose de l’accès au compte Dropbox de l’utilisateur qui, quant à lui, sera en même temps redirigé vers la véritable plate-forme.
Ces types d’arnaques reposent généralement sur quatre éléments, à savoir la familiarité des utilisateurs avec la plate-forme, la confiance qu’ils accordent au service Dropbox, leur curiosité à vouloir découvrir le fichier mystère envoyé par les pirates et, souvent, le sentiment d’urgence intégré à l’e-mail. Bref, les pirates tentent d’utiliser votre propre psychologie contre vous pour vous inciter à vous comporter d’une certaine manière.
Les attaques de malwares
Les attaques de phishing par Dropbox sont également utilisées pour diffuser des malwares tels que les chevaux de Troie bancaires et les ransomwares. Un lien est envoyé aux utilisateurs concernant un fichier partagé. Lorsque ces derniers cliquent sur le lien fourni, ils téléchargent un malware, au lieu d’accéder au document.
Cette tactique utilise à nouveau la confiance des internautes comme levier pour mener une attaque de phishing. Elle consiste à utiliser une autre entreprise de confiance dans le but de susciter un comportement spécifique de la victime.
Un exemple de cette arnaque est la récente attaque de phishing qui utilisait une fausse version du site web du Better Business Bureau. La plate-forme malveillante a envoyé des e-mails à des personnes qui semblaient avoir été envoyés par le FBI. Le message demandait à l’utilisateur de cliquer sur un lien qui le redirigeait vers un faux site Dropbox. Sur le site, un fichier contenant un malware ou un ransomware était fourni. Si l’utilisateur télécharge le fichier, le malware pouvait donc s’installer sur son ordinateur.
Les cybercriminels peuvent utiliser différentes variantes d’attaques de malwares. Pour augmenter leur chance de réussir, ils peuvent ajouter un certain degré d’urgence dans un faux courriel ; associer cette urgence à une peur (perte financière, compromission d’un compte, etc.,) ; ou ajouter une marque connue et de confiance.
Rappelons qu’en septembre 2016, un hôpital a été infecté par Locky qui s’est propagé via de fausses factures Microsoft Word. Lorsqu’une personne peu méfiante a tenté de télécharger la facture, elle a été invitée à activer des macros. Une fois activées, les macros commençaient à télécharger et à exécuter un chiffrement qui verrouillait le système informatique. Les conséquences d’une telle attaque sont énormes pour les hôpitaux, car elle peut affecter des milliers de dossiers privés.
Locky se propage via une campagne massive de spams
Au cours des derniers jours, il y a eu une campagne massive utilisant ces deux méthodes d’attaque impliquant des millions de spams. La semaine dernière, plus de 23 millions de messages ont été envoyés en une seule journée.
La plupart des emails distribuaient des ransomwares Locky, et un plus petit pourcentage servait à diffuser des ransomwares Shade. Il n’y a pas un outil de déchiffrement gratuit disponible pour déverrouiller les fichiers chiffrés par les ransomware Locky et Shade. Si les fichiers ne peuvent pas être récupérés à partir des sauvegardes, les victimes devront creuser profondément.
En tant qu’arme de choix pour la cybercriminalité, les ransomwares ne cessent de prendre de l’ampleur. Désormais, ils peuvent être lancés même par des personnes qui n’ont que peu d’expérience en informatique. De plus, les cybercriminels amateurs peuvent embaucher des pirates sur le Dark Web et lancer des logiciels de phishing auto-exécutoires, capables de répliquer d’eux-mêmes.
Locky peut brouiller tous vos fichiers
Une fois qu’il a infecté votre machine, le ransomware peut bloquer tous vos fichiers, y compris les images, les vidéos, les codes sources et les fichiers Office. Il peut même brouiller votre fichier wallet.dat, c’est-à-dire votre portefeuille Bitcoin, si vous en avez un. En d’autres termes, si vous avez plus de Bitcoins dans votre portefeuille que le prix de la rançon, il est fort probable que vous allez payer.
Locky peut aussi supprimer les fichiers VSS (Volume Snapshot Service), connus sous le nom de copies d’ombre. Les fichiers VSS sont un moyen de faire des snapshots de sauvegarde en direct sur Windows sans avoir à arrêter de travailler, car vous n’avez pas besoin de vous déconnecter ni de fermer vos applications. Il s’agit donc d’une alternative rapide et populaire et d’une procédure de sauvegarde très prisée.
Enfin, sachez que Locky peut chiffrer les fichiers dans n’importe quel répertoire sur n’importe quel disque monté sur votre appareil, y compris les disques amovibles, les serveurs, etc. Si vous vous connectez en tant qu’administrateur réseau, vous pourriez être victime d’une demande de rançon et l’attaque pourrait causer des dommages très importants.
Une fois que Locky s’apprête à vous demander la rançon, il s’assure que vous voyez le message en changeant le fond d’écran de votre ordinateur. Si vous cliquez sur le lien intégré au message, alors, vous recevez les instructions de paiement via le Dark Web. Malheureusement, si vous ne payez pas, vous ne pourrez pas récupérer vos données au cas où vous n’auriez pas réalisé une sauvegarde récente.
Les coûts peuvent être énormes
Une récente étude publiée par Exabeam met en avant la tendance récente dans le paysage des ransomwares. La société a observé qu’au cours de la campagne de recherche qu’elle a menée, le prix des ransomwares a considérablement augmenté.
Il y a quelques mois, au moment de la rédaction du rapport, la rançon moyenne pour chaque machine infectée était évaluée à 0,5 jusqu’à 1,25 Bitcoins, soit l’équivalent de 3693 à 9232 euros. Cependant, étant donné que les ransomwares ont connu un grand succès, leurs prix ont fortement grimpé. Par exemple, la rançon exigée par Cerber, un ransomware populaire, a grimpé d’environ 1,25 à 2 Bitcoins, soit environ 9232 à 14771 euros. Pendant la même période, une attaque réussie via Locky était évaluée à 0,5 à 5 Bitcoins, soit environ 3692 plus de 36928 euros.
En raison de l’augmentation de la valeur du Bitcoin ces derniers temps, le coût de la récupération est considérable. Les acteurs malveillants à l’origine de ces attaques exigent 0,5 Bitcoin par dispositif infecté (environ 3693 euros). Pour une entreprise où plusieurs appareils ont été infectés, la récupération des données pourrait donc coûter des dizaines, voire des centaines de milliers d’euros.
Selon F-Secure, la majorité des spams malveillants détectés récemment (90 %) sont utilisés pour distribuer Locky. D’autres chercheurs en sécurité ont publié des rapports similaires, faisant état d’une recrudescence des infections Locky et des campagnes de spam par email.
Comment savoir si un e-mail provient réellement de Dropbox ?
Les e-mails envoyés officiellement par Dropbox n’apparaîtront que sur ou à partir de l’un de noms de domaine Dropbox comme dropbox.com ou dropboxmail.com. Mais pour être certain, vous pouvez consulter les en-têtes complets du message pour savoir s’il provient ou non d’une adresse falsifiée.
Gmail
Avant d’ouvrir l’e-mail, cliquez sur « … » (Plus) dans le coin supérieur droit.
Cliquez sur « Afficher l’original ».
Vérifiez l’adresse e-mail sous De : …
Yahoo Mail
Avant d’ouvrir l’e-mail, cliquez sur (Plus).
Cliquez sur « Afficher le message brut ».
Vérifiez l’adresse e-mail sous De :…..
Microsoft Outlook
Double-cliquez sur l’email afin qu’il s’ouvre dans une nouvelle fenêtre.
Sélectionnez l’onglet « Fichier » et cliquez sur « Propriétés ».
Web uniquement : cliquez sur « Détails du message » (une enveloppe sur laquelle se trouve un petit document)
Vérifiez l’adresse e-mail sous De :….
Apple Mail
Faites un clic droit avec votre souris sur l’e-mail et sélectionnez « Afficher la source dans le menu contextuel ».
Vérifiez l’adresse e-mail sous De :….
Ces quelques astuces vous permettront de reconnaitre si le message provient réellement de dropbox.com, de dropboxmail.com ou non.
N’oubliez pas de signaler le mail suspect à Dropbox
Si vous avez reçu un e-mail suspect, il est recommandé d’envoyer le message complet à abuse@dropbox.com. De même si vous recevez un lien suspect, envoyez-le à cette adresse en incluant une description de la manière dont vous avez reçu l’URL complète du lien.
Vous pouvez également contacter l’équipe Dropbox pour d’autres informations à abuse@dropbox.com. Au cas où une éventuelle violation de la politique d’utilisation serait constatée (telle qu’une attaque de phishing, de spamming ou de malwares), l’équipe Dropbox prendra immédiatement les mesures nécessaires.
Que faire si vos fichiers ont été corrompus par un ransomware ?
Si votre compte Dropbox a été infecté par un ransomware, vous pouvez adopter quelques mesures pour vous assurer de sa sécurité. Et si vous n’utilisez pas encore ce service, découvrez comment Dropbox peut faciliter la récupération de vos fichiers.
1. Déconnectez-vous à distance de vos appareils
C’est la première chose que vous devez faire si vous ne savez pas quel appareil est infecté par un malware tel que Locky.
2. Restaurez vos fichiers ou dossiers
Si vous voulez restaurer un fichier individuel, vous devez accéder à la page de l’historique des versions dudit fichier, puis sélectionner une version du fichier qui a été sauvegardée avant l’attaque de ransomware. Ce faisant, vous n’avez plus qu’à cliquer sur restaurer.
Il est également possible de restaurer un grand nombre de fichiers sur Dropbox. Le moyen le plus simple étant d’utiliser Dropbox Rewind. Cette fonctionnalité vous permet de rétablir l’intégralité de votre compte ou d’un dossier. Pour ce faire, vous devez remonter le temps jusqu’au moment qui a précédé l’attaque de ransomware. A noter que option est réservée aux utilisateurs de Dropbox Family, Dropbox Plus, Dropbox Professional et Dropbox Business.
3. Connectez-vous à votre appareil
Avant de faire cela, il est recommandé de vérifier que votre appareil n’est pas infecté par un malware. Ensuite, vous devez supprimer le dossier Dropbox contenant les fichiers chiffrés. Lorsque vous vous reconnectez à votre appareil, assurez-vous de ne télécharger que les fichiers récupérés et non chiffrés auprès de Dropbox.
Comment éviter les attaques de ransomwares ?
Pour prévenir les attaques de Locky, les entreprises doivent installer une solution avancée de filtrage de spams afin d’empêcher les emails malveillants d’être envoyés dans les boîtes de réception des utilisateurs finaux. Il est également important que tous les utilisateurs reçoivent une formation de sensibilisation à la sécurité pour les aider à identifier les emails malveillants.
Un filtre web peut éventuellement être très efficace pour bloquer les tentatives de visite de sites web malveillants où des malwares pourraient être téléchargés. Par ailleurs, le fait d’actualiser les solutions antivirus et antimalware permet de détecter et de mettre en quarantaine les fichiers malveillants avant leur ouverture.
Des sauvegardes de toutes les données et de tous les systèmes devraient aussi être effectuées. Celles-ci devraient être stockées sur un dispositif isolé. Les variantes de ransomware telles que Locky peuvent supprimer les copies Windows Shadow Volume et, si un périphérique de sauvegarde reste connecté, il est probable que les fichiers de sauvegarde risquent également d’être chiffrés par les pirates informatiques.
Les meilleures pratiques pour la sauvegarde des données impliquent la création de trois fichiers de sauvegarde sur deux supports différents, avec une copie stockée hors site et hors ligne. Les sauvegardes doivent également être testées pour s’assurer que les fichiers peuvent être restaurés en cas de sinistre.
L’augmentation des attaques de ransomwares a incité le National Institute of Standards and Technology (NIST) à élaborer de nouvelles directives (NIST SPECIAL PUBLICATION 1800-11) sur la récupération des données suite à des attaques de ransomwares et d’autres sinistres. Les lignes directrices de ces directives peuvent être téléchargées ici.
Conclusion
Il faut reconnaître que les cybercriminels sont de plus en plus ingénieux et ils ne cessent de trouver différents moyens de vous envoyer vers des faux sites web, mais qui sont plus vrais que nature. Ils utilisent la renommée de grands groupes pour tenter de vous duper, d’infecter vos appareils ou votre réseau par des malwares, ou encore de dérober vos données sensibles.
Dans ce dossier, nous avons parlé d’une infection par Locky, une menace que vous devez craindre si vous êtes un utilisateur de la plate-forme Dropbox. La raison est simple : Dropbox est actuellement l’un des moyens préférés des internautes pour sauvegarder des fichiers ; sa flexibilité ainsi que ses capacités de synchronisation font de lui une solution attrayante, mais il est aussi la cible de prédilection des pirates informatiques.
Faites des efforts supplémentaires pour protéger vos fichiers et données sensibles. Formez vos collaborateurs pour qu’ils puissent identifier les menaces de malwares et prendre les mesures adaptées en cas d’attaques cybercriminelles. Enfin, mettez en place un filtre Internet et une couche de protection supplémentaire pour éviter les attaques de phishing lancées via le web et le courrier électronique.
L’attaque de ransomware SamSam contre la ville d’Atlanta — qui a détruit plusieurs services municipaux essentiels pendant près d’une semaine en mars dernier — a montré à quel point les municipalités locales sont vulnérables aux attaques cybercriminelles.
Bien que la ville ait refusé de payer la rançon correspondante, l’attaque s’est révélée coûteuse au-delà de toutes les estimations initiales. Selon un document de sept pages examiné par deux médias locaux, le montant demandé par les pirates est d’environ 17 millions de dollars. Cette estimation comprend 11 millions de dollars associés au processus de nettoyage de virus dans les équipements ainsi qu’à l’achat de nouveaux matériels.
Les 6 millions de dollars restants sont alloués à de tiers entrepreneurs pour les services de sécurité et les mises à niveau logicielles nécessaires pour réparer les vulnérabilités et prévenir tout dommage futur.
Cet incident est le résultat d’un seul clic sur un lien contenu dans un e-mail, réalisé par un employé.
Environ 90% des cyberattaques commencent par un message électronique.
Avec la numérisation rapide des services des villes et l’intégration de technologies de ville intelligente utilisant des dispositifs IoT de mise en réseau, la tendance croissante des pirates à cibler les municipalités et les administrations locales semble certaine. Voici une courte liste des nombreuses attaques dont nous avons été témoins cet été.
Les attaques par ransomware ciblent aussi la Géorgie
Cinq mois après l’attaque d’Atlanta, le comté de Coweta qui se trouve au sud du comté d’Atlanta, a perdu l’usage de la plupart de ses serveurs, dont certains étaient hors service pendant près de deux semaines. Les auteurs de l’attaque exigeaient 50 Bitcoins, ce qui équivaut à environ 340 000 $.
Heureusement, pour le comté, tous les systèmes avaient été sauvegardés la veille de l’attaque du 19 août, ce qui explique en grande partie pourquoi le comté n’a jamais envisagé de payer la rançon. Le personnel informatique a été en mesure de rétablir le service à l’aéroport local, les services de sécurité publique et l’inscription des électeurs dans les 48 heures. Par la suite, ils ont rétabli les services du bureau gouvernemental, de tous les services judiciaires et d’autres services au cours des dix jours après l’attaque.
L’attaque contre le comté de Coweta montre comment les sauvegardes récurrentes constituent un moyen efficace de récupérer d’une cyberattaque telle que les ransomwares. L’attentat aurait dû coûter 17 millions de dollars aux contribuables, ce qui en fait l’un des attentats les plus coûteux pour les administrations locales en 2018.
Deux victimes dans les villes de l’Alaska
Situé juste à l’extérieur d’Anchorage, en Alaska, l’arrondissement de Matanuska-Susitna se remet encore d’une attaque qui a eu lieu le 24 juillet. L’arrondissement compte plus de 100 000 habitants et les employés municipaux ont dû avoir recours aux machines à écrire, à l’estampillage et à la documentation manuscrite.
Bien que la protection des logiciels locaux ait détecté des parties du malware qui ont infiltré le réseau le 17 juillet, ils n’ont pas détecté d’autres composants dormants qui ont déclenché l’infestation une semaine plus tard (c’est un excellent exemple qui démontre pourquoi vous ne devriez pas compter sur une seule couche de cybersécurité).
L’infection par les ransomwares a paralysé les réseaux gouvernementaux de l’arrondissement et a entraîné la fermeture d’une grande partie des systèmes informatiques infectés. Les experts en cybersécurité ont signalé que l’attaque était très avancée et elle a permis de chiffrer certaines sauvegardes du comté.
En conséquence, le système de messagerie était irrécupérable selon le responsable informatique. D’autres systèmes sont en cours de restauration avec des données datant d’un an, obligeant les employés à reconstruire manuellement les ordinateurs affectés.
C’était une attaque très insidieuse et très bien organisée. Le « virus » a été identifié comme étant le ransomware BitPaymer. Cette souche de ransomware a été vue pour la première fois en juillet 2017, lorsqu’elle a frappé une série d’hôpitaux écossais.
Après avoir accédé à un système d’information hospitalier, les attaquants se déplacent latéralement sur le réseau pour installer BitPaymer manuellement sur chaque système compromis. Il a été rapporté que le ransomware a ensuite chiffré les fichiers avec une combinaison d’algorithmes de chiffrement RC4 et RSA-1024. Les chercheurs disent qu’il n’y a actuellement aucun moyen de déchiffrer les fichiers verrouillés par le ransomware BitPaymer.
Quelques jours seulement après cette attaque, la ville de Valdez, en Alaska, a perdu l’usage de l’ensemble de son réseau en raison d’une attaque séparée contre ses installations. Selon le directeur municipal, l’attaque a commencé par quelques problèmes sur le site Web du service de police.
Lorsque le système antivirus installé n’a pas réussi à combattre la menace, tous les systèmes ont été arrêtés pour empêcher le cryptovirus de se propager aux services essentiels.
Le FBI a été alerté et la ville a réussi à se remettre de l’attaque en une semaine.
Perturbation dans les écoles de deux districts scolaires
En mars 2016, le Cloquet School District du Minnesota a été forcé d’annuler les cours pendant une journée afin de donner suffisamment de temps à son personnel informatique pour se remettre d’une attaque de rançon. Le même scénario s’est répété au sein du district scolaire le 13 août.
Tous les serveurs de l’école ont été chiffrés une fois de plus lors de cette attaque, mais les précieuses connaissances acquises lors de l’attaque précédente ont permis au district de s’en remettre beaucoup plus rapidement, sans trop d’interruption.
Pendant ce temps, un lycée public néo-zélandais a été victime d’une autre attaque liée à des clics sur des liens intégrés à des e-mails.
En réalité, les élèves de l’école secondaire Hawera ont perdu l’accès à une grande partie des travaux qu’ils ont récemment terminé. L’attaque a eu lieu le 2 août et les cybercriminels qui l’ont perpétrée ont demandé 5 000 $ pour déchiffrer les fichiers.
Heureusement, l’école était en train de migrer son système de stockage de données vers le cloud, ce qui a permis de préserver une grande partie de ses données vitales. Les cours se sont déroulés comme prévu, mais les enseignants ont dû relever le défi d’enseigner sans l’aide de la technologie pendant plusieurs jours.
Les autorités sanitaires perdent les dossiers de 1,5 millions de patients à cause de pirates informatiques
La ville de Hong Kong a avancé que son Département de la Santé était la cible d’une attaque de ransomware survenue le 3 août 2018.
L’attaque était le résultat d’une brèche de connées survenue deux semaines plus tôt. Trois des serveurs de l’organisation ont été touchés, rendant toutes ses données inaccessibles, sans aucune communication de la part des attaquants. Contrairement à l’attaque à grande échelle qui a eu lieu contre le ministère de la Santé de Singapour — qui a eu lieu deux semaines auparavant et entraîné la perte de plus de 1,5 million de dossiers médicaux —, aucune donnée n’a été compromise et le ministère a réussi à rétablir les dossiers perdus.
Hong Kong a également connu plusieurs cas majeurs de piratage informatique cette année. En avril, les données personnelles de 380 000 clients du Hong Kong Broadband Network — y compris les détails de plus de 40 000 cartes de crédit — ont été consultées sans autorisation.
En janvier, des ordinateurs de deux agences de voyages locales — Goldjoy Holidays et Big Line Holiday — ont été piratés et les renseignements personnels de leurs clients ont été confisqués par les pirates qui voulaient les échanger contre une rançon.
Les pirates utilisent actuellement des tactiques de plus en plus sophistiquées et des techniques d’autopropagation. Ainsi, il est plus important que jamais de bloquer les infections avant qu’elles n’atteignent votre réseau et se propagent.
Après une attaque par ransomware, une analyse complète du système doit être effectuée pour s’assurer qu’aucune porte dérobée (qui donne un accès secret au logiciel) n’a été installée et que toutes les traces de malwares sont supprimées.
Des protections supplémentaires doivent ensuite être mises en place pour s’assurer que de futures attaques ne se produiront plus.
Le coût réel d’une attaque par ransomware est considérable. Il est essentiel que les entreprises de toutes tailles disposent de protections appropriées pour prévenir ce genre de cybercriminalité et limiter sa gravité au cas où elle se produirait.
SamSam ne partira pas de si tôt.
Il suffit d’un simple clic pour que vous soyez confronté à des décisions similaires et contraint de payer des factures importantes. Empêchez les e-mails malveillants d’atteindre les boîtes de réception des utilisateurs de votre réseau informatique.
SpamTitan, par exemple, peut vérifier chaque URL d’un e-mail en se référant à des listes noires connues, avec une couverture Web active à 100 %. Cette solution vous permet d’empêcher vos utilisateurs de cliquer sur des liens dans les e-mails et qui pointent vers des sites malveillants.
Pour en savoir plus sur les principales fonctionnalités en termes de protection web de SpamTitan et sur les différentes solutions que vous pouvez mettre en place pour éviter de vous exposer aux attaques par ransomware, contactez l’équipe TitanHQ dès aujourd’hui.
2017 a vu une augmentation importante des attaques de malwares dans les écoles. Alors que les cybercriminels ont mené des attaques à l’aide d’une variété de malwares différents, l’un des plus gros problèmes est celui des ransomwares.
Un ransomware est un logiciel malveillant qui chiffre les fichiers, les systèmes et même les tables de fichiers maître, empêchant ses victimes d’accéder à leurs données. L’attaque s’accompagne d’une demande de rançon. Les victimes doivent payer une rançon pour chaque appareil infecté, dont le montant peut varier de quelques centaines à plusieurs milliers de dollars par appareil. Les demandes de rançon de dizaines de milliers de dollars sont désormais courantes.
Les données peuvent être restaurées à partir d’une sauvegarde, mais seulement si elles sont sauvegardées de manière fiable. Mais souvent, les fichiers de sauvegarde sont chiffrés, ce qui rend la récupération impossible à moins que la rançon ne soit payée.
Les attaques de ransomwares peuvent être aléatoires, le code malveillant étant installé par le biais de campagnes de spam à grande échelle, impliquant des millions de messages.
Les écoles sont souvent ciblées. Les cybercriminels savent très bien que les moyens de défense en matière de cybersécurité dans les écoles sont généralement insuffisants et que les rançons sont plus susceptibles d’être payées parce qu’elles ne peuvent pas fonctionner si elles n’ont pas accès à leurs données.
D’autres variantes de malwares sont utilisées pour enregistrer des informations sensibles telles que les identifiants de connexion. Ceux-ci sont ensuite relayés aux attaquants et sont utilisés par les pirates pour accéder aux réseaux informatiques des écoles. Les attaquants recherchent des informations personnelles comme les détails fiscaux, les numéros de sécurité sociale et d’autres renseignements qu’ils peuvent utiliser pour le vol d’identité.
En ce qui concerne les attaques de ransomwares, elles peuvent rapidement être découvertes, car les notes de rançon sont placées sur les ordinateurs et les fichiers ne sont pas accessibles. Contrairement, les enregistreurs de frappe et les autres formes de vol d’informations prennent souvent plusieurs mois à détecter.
Les récentes attaques de malwares dans les écoles peuvent entraîner le sabotage de l’ensemble de leurs réseaux.
Les attaques NotPetya impliquaient par exemple une forme de malware qui chiffre la table de fichiers maître, empêchant l’ordinateur de localiser les données stockées. Leur but était de saboter des infrastructures essentielles. Il n’y avait aucun moyen de récupérer la table de fichiers principale chiffré en dehors d’une restauration complète du système.
Les conséquences des attaques de malwares à l’encontre des écoles peuvent être considérables. Elles entraînent des pertes financières, les données peuvent être perdues ou volées, les équipements informatiques peuvent être rendus inutilisables et les établissements d’enseignement peuvent faire l’objet de poursuites ou d’actions en justice en raison des attaques.
Dans certains cas, les établissements scolaires ont été contraints de refuser des élèves afin de résoudre les problèmes causés par les infections de malwares, en remettant leurs systèmes en ligne.
Principales attaques de malwares dans les écoles en 2017
Vous trouverez ci-dessous quelques-unes des principales attaques de malwares qui ont eu lieu dans les écoles en 2017.
Ce n’est qu’une très petite sélection parmi un grand nombre d’attaques signalées au cours des six derniers mois.
Fermeture pendant une journée du Minnesota School District en raison d’une attaque de malwares
Les attaques de malwares dans les écoles peuvent avoir des conséquences majeures pour les élèves. En mars, le district scolaire de Cloquet, au Minnesota, a subi une attaque de ransomware qui a entraîné le chiffrement d’importantes quantités de données, empêchant l’accès à de nombreux fichiers. Les attaquants ont émis une demande de rançon de 6 000$ pour déverrouiller le chiffrement.
Le fonctionnement du district scolaire est axé sur la technologie, de sorte que sans accès à ses systèmes, les cours ont été gravement perturbées. L’école a même dû fermer pendant une journée pour que le personnel de soutien informatique puisse restaurer les données.
Pour ce cas précis, les données sensibles n’ont pas été compromises, bien que la perturbation causée ait été grave. Le ransomware était censé avoir été installé à la suite de l’ouverture par un membre du personnel d’un e-mail de phishing qui a permis d’installer le ransomware sur le réseau.
Le district scolaire Swedesboro-Woolwich a souffert d’une attaque par cryptoransomware
Le district scolaire Swedesboro-Woolwich de New Jersey comprend quatre écoles primaires et compte environ 2 000 élèves. Elle a été également victime d’une attaque de cryptoransomware qui a mis ses systèmes informatiques hors d’usage. L’attaque s’est produite le 22 mars et a entraîné le chiffrement de documents et de feuilles de calcul, bien que les données sur les étudiants n’aient pas été apparemment touchées.
L’attaque a mis hors service une partie importante du réseau, y compris les systèmes de communications internes et externes du district scolaire, voir le système de point de vente utilisé par les élèves pour payer leurs repas.
L’école a été obligée de recourir à un stylo et à du papier suite à cet incident. Son administrateur réseau a dit : « On est de nouveau en 1981 ! ».
Los Angeles Community College District (LACCD) a dû verser une rançon de 28 000$
Un ransomware a été installé sur le réseau informatique du LACCD, mettant non seulement les postes de travail du collège hors service, mais aussi son système de messagerie électronique et son système de messagerie vocale.
Des centaines de milliers de fichiers ont été chiffrés, et l’incident a touché la plupart de ses 1 800 employés et 20 000 étudiants.
Une demande de rançon de 28 000$ a été émise par les attaquants. L’école n’avait d’autre choix que de payer la rançon pour déverrouiller ses systèmes.
Le Calallen Independent School District a rapporté une attaque par ransomware
Le Calallen Independent School District, dans le nord-ouest de Corpus Christi, est l’une des dernières victimes d’une attaque par rançon.
En juin, l’attaque a commencé avec un poste de travail avant de se propager à d’autres systèmes. Cette fois, aucune donnée étudiante n’a également été compromise ou volée et le service informatique était en mesure d’agir rapidement pour pouvoir isoler les parties du réseau touchées, ce qui a mis un terme à sa propagation.
L’attaque a quand même causé des perturbations considérables, notamment pour la réparation des serveurs et des systèmes. Le district scolaire a également dû faire un investissement conséquent pour améliorer son système de sécurité afin de prévenir des attaques similaires.
Prévention des attaques de malwares et de ransomwares dans les écoles
Les attaques de malwares dans les écoles peuvent se produire par l’intermédiaire d’un certain nombre de vecteurs différents. Les attaques de NotPetya ont par exemple profité des vulnérabilités logicielles qui n’avaient pas été corrigées.
Les attaquants ont pu les exploiter à distance, sans interaction de l’utilisateur. Mais Microsoft a publié un correctif pour pouvoir corriger les failles et les empêcher deux mois avant l’attaque.
Les vulnérabilités logicielles peuvent également être exploitées via des kits d’exploitation. Il s’agit de kits de piratage chargés sur des sites Web malveillants qui recherchent les vulnérabilités des navigateurs et des plug-ins et exploitent ces vulnérabilités pour télécharger discrètement des ransomwares et des malwares.
S’assurer que les navigateurs et les plug-ins sont à toujours à jour est un des moyens pour prévenir ces attaques. Cependant, il n’est pas possible de garantir que tous les ordinateurs sont à 100 % à jour à tout moment. De plus, il y a toujours un certain délai entre le développement d’un kit d’exploitation et la sortie d’un correctif.
Ces attaques de malwares sur le web dans les écoles peuvent être évitées en utilisant une solution de filtrage Web. Un filtre Web peut empêcher les utilisateurs finaux d’accéder à des sites Web malveillants qui contiennent des kits d’exploitation ou des malwares.
La méthode la plus courante de diffusion de malwares est le spam. Les malwares (ou téléchargeurs de malwares) sont envoyés sous forme de pièces jointes malveillantes dans les spams. L’ouverture des pièces jointes entraîne une infection. Les liens vers des sites Web qui téléchargent des malwares sont également envoyés par ce moyen.
Vous pouvez empêcher les utilisateurs de visiter ces sites malveillants si vous utilisez un filtre Web. Par ailleurs, une solution avancée de filtrage des spams peut bloquer les attaques de malwares dans les écoles en garantissant que les e-mails malveillants ne sont pas envoyés dans les boîtes de réception des utilisateurs finaux.
TitanHQ peut aider les écoles, collèges et universités à améliorer leurs défenses contre les malwares
TitanHQ offre deux solutions de cybersécurité qui peuvent prévenir les attaques de malwares dans les écoles. WebTitan est un filtre Web 100% dans le cloud qui empêche les utilisateurs finaux de visiter des sites Web malveillants, y compris les sites de phishing et ceux qui téléchargent des malwares et des ransomwares.
WebTitan ne nécessite aucun matériel et aucun téléchargement de logiciel. Il peut être installé facilement et rapidement, même si vous n’avez aucune compétence technique. WebTitan peut également être utilisé pour bloquer l’accès à des contenus inappropriés tels que la pornographie, ce qui aide les écoles à se conformer à la CIPA ou « Children’s Internet Protection Act ».
SpamTitan est une solution avancée de filtrage de spam pour les écoles. Il peut bloquer plus de 99,9 % des spams et empêcher les messages malveillants d’être envoyés aux utilisateurs finaux. Si vous l’utilisez avec WebTitan, votre école sera bien protégée contre les attaques de malwares et de ransomwares.
Pour en savoir plus sur WebTitan et SpamTitan et si vous voulez plus d’informations sur les prix, contactez l’équipe de TitanHQ dès aujourd’hui. À noter que ces deux solutions sont disponibles pour un essai gratuit de 14 jours, sans obligation d’achat, ce qui vous permet de les tester et déterminer leur capacité à bloquer les cybermenaces.
