Une faille dans le navigateur Safari mobile a été exploitée par des cybercriminels et utilisée pour extorquer de l’argent à des individus qui ont déjà utilisé leur appareil mobile pour regarder de la pornographie ou d’autres contenus illégaux.
Comment fonctionne le Scareware utilisé contre Safari ?
Le scareware empêche l’utilisateur du navigateur Safari d’accéder à Internet sur son appareil et charge une série de messages popup.
Un popup s’affiche pour informer l’utilisateur que Safari ne peut pas ouvrir la page demandée.
Cliquer sur « OK » pour fermer le message déclenche un autre avertissement popup.
Safari est alors verrouillé dans une boucle sans fin de messages popup qui ne peuvent pas être fermés.
Un message s’affiche en arrière-plan indiquant que l’appareil a été verrouillé, car il a été découvert que l’utilisateur avait consulté un contenu Web illégal.
Certains utilisateurs ont signalé des messages contenant des bannières d’Interpol, dont le but est de faire croire à l’utilisateur que la serrure a été placée sur son téléphone par les forces de l’ordre.
La seule façon de déverrouiller l’appareil, selon les messages, est de payer une amende.
L’un des domaines utilisés par les attaquants est police-pay.com.
Cependant, peu d’utilisateurs seraient probablement trompés en pensant que le verrouillage du navigateur avait été mis en place par un service de police, car l’amende devait être payée sous la forme de carte-cadeau iTunes.
D’autres messages ont menacé l’utilisateur d’une action de la police si le paiement n’est pas effectué.
Dans ce cas, les attaquants ont affirmé qu’ils enverront l’historique de navigation de l’utilisateur et les fichiers téléchargés à la Metropolitan Police.
Cette campagne de scareware sur Safari n’est pas nouvelle, bien que la vulnérabilité « zero day » qui a été exploitée pour afficher les messages l’était.
Les attaquants ont chargé du code sur un certain nombre de sites Web, exploitant ainsi une vulnérabilité dans la façon dont le navigateur Safari gère les fenêtres pop-up JavaScript. Le code visait les versions 10.2 et antérieures d’iOS.
La campagne scareware sur Safari a récemment été découverte par Lookout qui a transmis les détails du kit d’exploitation à Apple le mois dernier.
Apple vient de publier une mise à jour de son navigateur pour empêcher l’attaque de se produire.
Les utilisateurs peuvent donc protéger leurs appareils contre une telle menace en mettant à jour leurs navigateurs avec la version 10.3 d’iOS.
Quelle est la différence entre un scareware et un ransomware ?
Les scarewares sont différents des ransomwares, bien que les deux soient utilisés pour extorquer de l’argent.
Dans le cas d’un ransomware, l’accès à un dispositif est obtenu par l’attaquant et un malware de chiffrement de fichiers est téléchargé.
Ce malware verrouille alors les fichiers des utilisateurs à l’aide d’un chiffrement puissant.
Si une sauvegarde des fichiers chiffrés n’appartient pas à l’utilisateur, ce dernier risque de perdre des données, sauf s’il paie les attaquants pour qu’ils déchiffrent les fichiers verrouillés.
Les scarewares peuvent impliquer des malwares, bien que le plus souvent — comme ce fut le cas pour cette campagne sur Safari — il s’agit de codes malveillants sur des sites Web.
Le code est exécuté lorsqu’un utilisateur doté d’un navigateur vulnérable visite une page Web infectée.
L’idée derrière le scareware est d’effrayer l’utilisateur final pour qu’il paie la rançon demandée afin de déverrouiller son appareil.
Contrairement aux attaques par ransomwares, qui ne peuvent être déverrouillés sans une clé de déchiffrement, il est généralement possible de déverrouiller les navigateurs verrouillés par un scareware avec un peu de savoir-faire informatique.
Pour notre cas, le contrôle du téléphone pouvait être récupéré en vidant le cache du navigateur Safari.
Le mardi 27 juin 2017, une importante cyberattaque utilisant des ransomwares a eu lieu.
Elle ciblait des organisations à travers le monde.
Les analystes de TitanHQ ont enquêté sur cette nouvelle vague d’attaques de ransomwares.
Les premiers résultats de notre fournisseur antivirus Kaspersky suggèrent qu’il ne s’agit pas d’une variante du ransomware Petya, telle que rapportée publiquement, mais d’un nouveau ransomware qui n’a jamais été vu auparavant.
Bien qu’il présente des chaînes de caractères similaires à celles de Petya, il possède des fonctionnalités complètement différentes. Kaspersky l’a nommé « ExPetr ».
Il s’agit d’une attaque complexe impliquant plusieurs vecteurs de malwares.
Nous pouvons confirmer que les kits d’exploitation modifiés d’EternalBlue et d’EternalRomance — lesquels ont été utilisés lors de l’attaque ransomwares avec WannaCry en mai — ont été utilisés par les criminels pour propager des virus dans le réseau des entreprises.
Kaspersky a nommé les variantes de cette menace de différentes manières, à savoir :
Multi.Generic
Trojan-Ransom.Win32.ExPetr.a
Trojan-Ransom.Win32.ExPetr.gen
Win32.Generic
Win32.Generic.
Protection SpamTitan contre le ransomware ExPetr
Les clients utilisant SpamTitan sont protégés contre toutes les variantes récentes du ransomware ExPetr.
Notre service antivirus peut bloquer cette menace et nous travaillons en étroite collaboration avec des fournisseurs spécialisés pour assurer une protection optimale de vos réseaux d’entreprise.
TitanHQ a détecté l’infection initiale à l’aide de la fonction de protection Kaspersky.
Que devriez-vous faire ?
Nous conseillons à toutes les organisations de mettre à jour leurs logiciels Windows : les utilisateurs de Windows XP et Windows 7 peuvent se protéger en installant le correctif de sécurité MS17-010.
Nous conseillons également à toutes les organisations de s’assurer qu’elles disposent de systèmes de sauvegarde des données, notamment la méthode de sauvegarde 3-2-1. Un système de sauvegarde approprié et opportun peut être utilisé pour restaurer les fichiers originaux après une perte de données.
S’assurer que tous les mécanismes de protection antivirus sont activés.
Évitez d’ouvrir des pièces jointes à des emails auxquels vous ne vous attendez pas ou provenant de destinataires que vous ne connaissez pas.
Couches de sécurité
De nos jours, les entreprises ont besoin de plusieurs niveaux de sécurité pour stopper les emails qui passent à travers votre pare-feu, par le biais d’un antispam et d’une solution antivirus pour votre serveur de messagerie.
Si l’email parvient à contourner votre système de défense, il sera alors arrêté par l’antivirus.
Au cas où un malware s’installerait sur votre poste de travail, il va également être détecté dès qu’il commence à fonctionner de façon suspecte.
Vous pouvez donc vous protéger contre les virus, les attaques de phishing et de ransomwares, et bien d’autres menaces en ligne.
Corriger – Répondre – Atténuer
En cas d’attaque par des ransomwares, les sauvegardes sont essentielles, tout comme la mise à jour régulière de vos systèmes.
Le problème est que les entreprises ne peuvent pas toujours appliquer les correctifs le jour où elles sont disponibles, car les entreprises doivent encore tester les modifications et s’assurer que les mises à jour n’auront aucun impact sur leur fonctionnement.
Il est également crucial pour les équipes informatiques d’intégrer la redondance dans l’infrastructure, de sorte que lorsqu’un système sera mis hors service pendant la période de test, un autre système pourra fonctionner correctement.
Les équipes informatiques doivent disposer d’un plan pour hiérarchiser les mises à jour de sécurité ou mettre en place des mesures de protection pour celles qui ne peuvent pas être corrigées.
La seule certitude concernant les ransomwares, c’est qu’ils évoluent tout le temps. Rien qu’en janvier, 37 nouvelles variantes se sont apparues, dont :
F Society
CyberHub
Spora
Marlboro
Dark OverLord
Pour n’en citer que quelques-unes.
Avec autant de souches différentes qui circulent sur le web, les précautions restent les mêmes :
Les entreprises doivent maintenir des sauvegardes
Utiliser une sécurité efficace de la messagerie électronique et du web
Traiter le spam comme un vecteur sérieux de malwares plutôt que comme une simple nuisance.
Les statistiques concernant les attaques de ransomwares montrent clairement comment les entreprises ignorent ou n’accordent pas la priorité aux correctifs.
Avez-vous appliqué tous vos correctifs après les attaques de WannaCry ?
Avez-vous été victime d’une attaque par le ransomware ExPetr ?
Si vous êtes un professionnel de l’informatique et vous voulez vous assurer que vos données et vos appareils sensibles soient protégés, parlez-en à nos spécialistes ou envoyez-nous un email à info@titanhq.com pour toute question.
Les pirates informatiques ont ciblé les utilisateurs de PDF avec une nouvelle technique d’injection. Les pièces jointes au format PDF ont été couramment utilisées comme cheval de Troie qui télécharge des malwares ou des ransomwares sur les appareils des utilisateurs de courrier électronique sans méfiance.
Cependant, les pirates ciblent maintenant les fichiers PDF eux-mêmes en utilisant des techniques d’injection de code. L’une de ces attaques, découverte au début du mois, permet aux pirates d’injecter du code qui lance des attaques de type « cross-site scripting » (XSS) dans le document PDF lui-même. L’objectif final de ces attaques est d’extraire des données sensibles des fichiers PDF.
Qu’est-ce qu’une attaque XSS ?
Selon l’OWASP (Open Web Application Security Project), les attaques XSS sont couramment utilisées pour injecter des scripts malveillants dans des sites web bénins et fiables. L’OWASP a classé les attaques XSS dans son Top 10 des menaces pour la sécurité des applications web depuis qu’il a commencé à publier cette célèbre liste il y a près de 20 ans.
Lorsqu’il est utilisé au sein d’applications web, le navigateur de l’utilisateur final n’a aucun moyen de savoir que le script malveillant ne doit pas être fiable et l’exécute. Une fois le script exécuté, l’attaquant peut accéder à des cookies, des jetons de session ou d’autres informations sensibles conservées par le navigateur de l’utilisateur lors d’une session web. Les exploits XSS peuvent être mis en œuvre n’importe où avec une application web.
Pourquoi les attaques par injection de PDF constituent-elles une menace ?
Les pirates n’utilisent pas d’attaques par injection pour accéder aux fichiers PDF ordinaires des bureaux. La véritable cible est constituée par les fichiers PDF générés côté serveur qui sont créés en permanence dans le monde numérique actuel. Ils se présentent sous la forme de billets électroniques, de reçus, de cartes d’embarquement, de factures, de fiches de paie, etc. Si des pirates informatiques parviennent à accéder à ces documents et à influencer la structure du PDF lui-même, ils peuvent injecter du code et capturer les données incluses.
Par exemple, si un pirate peut contrôler une partie d’un PDF qui contient des coordonnées bancaires, ces coordonnées peuvent être exfiltrées et téléchargées vers un site malveillant. Quand on sait la quantité de fichiers PDF avec lesquels nous travaillons tous, on comprend pourquoi les pirates les ciblent avec autant de vigueur.
Comment fonctionne l’attaque par injection de PDF ?
La menace d’injection de PDF récemment découverte fonctionne de la même manière que la méthode traditionnelle d’attaque des applications web. Dans le cas des fichiers PDF, les pirates profitent de ce que l’on appelle les caractères d’échappement, en particulier les barres obliques inverses et les parenthèses. Ces caractères d’échappement sont généralement utilisés pour accepter les entrées de l’utilisateur dans les flux de texte ou les URL d’annotation. Cela ouvre la porte à un pirate informatique qui peut ainsi injecter ses propres URL ou code JavaScript.
En injectant leurs propres caractères d’échappement, les pirates peuvent injecter leur propre code. L’injection d’un simple lien peut facilement compromettre l’ensemble du contenu d’un PDF, selon l’un des chercheurs qui ont découvert la méthodologie d’attaque. Cette méthodologie d’attaque a été démontrée lors d’une récente conférence en ligne de Black Hat en Europe ce mois-ci, montrant à quel point il était facile de télécharger des données exfiltrées sur un serveur distant en utilisant un simple lien injecté. Les présentateurs ont également révélé le fait que certaines des plus grandes bibliothèques PDF du monde sont vulnérables aux attaques par injection.
Comment éviter une telle attaque ?
Ce qui rend les attaques XSS possibles, c’est un codage bâclé. De la même manière que les utilisateurs ordinaires prennent des raccourcis lorsqu’il s’agit de créer un mot de passe, les développeurs de code prennent souvent des raccourcis lorsqu’ils écrivent du code Web 2.0. Dans le cas des injections de fichiers PDF, cela est dû au fait que les bibliothèques PDF ne parviennent pas à analyser correctement le code de ces types de caractères d’échappement dans les formats non protégés.
Dans le cas d’une vulnérabilité spécifique, Adobe a publié le 9 décembre une mise à jour de sécurité qui corrige cette faille de sécurité. Si votre organisation crée des PDF sous quelque forme que ce soit, il est fortement recommandé d’installer immédiatement la mise à jour.
TitanHQ peut vous aider à vous protéger contre les menaces liées aux PDF
Bien que TitanHQ ne puisse pas vous aider à analyser vos bibliothèques PDF, nous pouvons vous protéger des pièces jointes PDF infectées par des malwares. Notre solution avancée de sécurité des e-mails, appelée SpamTitan, est conçue pour découvrir et éradiquer les pièces jointes qui contiennent des virus et des codes malveillants. Pour ce faire, elle utilise une double protection antivirus et des techniques de sandboxing.
Prenez contact avec l’un des membres de l’équipe SpamTitan pour savoir comment mieux vous protéger contre les pièces jointes infectées par des malwares.
Les statistiques sur les ransomware en 2021 ne rendent pas la lecture agréable. Les attaques de ransomware ont continué d’augmenter.
Le coût de l’atténuation ces attaques ainsi que le nombre de variantes de ransomware a également grimpé en flèche. En outre, rien n’indique que ces attaques vont cesser.
De plus en plus de preuves démontrent que l’épidémie de ransomware va s’aggraver en 2018.
Statistiques clés 2021 sur les ransomwares
Nous avons compilé certaines des statistiques importantes sur les ransomwares de 2021, à partir de recherches menées par diverses entreprises au cours des derniers mois.
Les recherches menées par Kaspersky Lab suggèrent que les attaques de ransomware sur les entreprises se produisaient toutes les 2 minutes au premier trimestre 2021, mais qu’au troisième trimestre, elles étaient beaucoup plus fréquentes, se produisant environ toutes les 40 secondes.
Cybersecurity Ventures prévoit que la fréquence des attaques augmentera. En 2019, on pourrait s’attendre à voir une attaque toutes les 14 secondes.
Cette enseigne prévoit également que les ransomwares continueront d’être un problème majeur pour les entreprises en 2018 et 2019.
Par ailleurs, le coût total des attaques de ransomwares pourrait atteindre 11,5 milliards de dollars d’ici 2019.
L’industrie des soins de santé est susceptible d’être fortement ciblée en raison de la facilité relative des attaques à leur encontre et de la probabilité qu’une rançon soit payée.
Selon encore Cybersecurity Ventures, il y aura quatre fois plus d’attaques de ransomware contre les établissements de soins de santé d’ici 2019.
Les recherches d’IBM en 2020 indiquaient que 70 % des entreprises payaient des rançons pour récupérer leurs données. Cependant, en 2021, ce pourcentage a considérablement chuté.
Beaucoup moins d’entreprises envisagent maintenant de payer des rançons à cet effet.
Le rapport 2021 de Symantec sur les menaces de sécurité Internet indique que les demandes de rançon ont augmenté de 266 % entre 2015 et 2021.
Cela dit, il existe donc des variations considérables dans les statistiques publiées sur les ransomwares en 2021.
Malwarebytes rapporte qu’il y a eu une augmentation de 90 % des attaques de ransomware en 2021. Beazley, quant à lui, souligne que l’augmentation a été de 18 % et que 45 % de ces attaques visaient le secteur de la santé.
Selon un récent rapport de McAfee, le nombre d’attaques de ransomware a augmenté de 59 % pour l’année et de 35 % d’un trimestre à l’autre au quatrième trimestre 2021.
En se référant au Microsoft Security Intelligence Report, l’Asie a connu le plus grand nombre d’attaques de ransomware en 2021, le Myanmar et le Bangladesh étant les pays les plus touchés.
Ce rapport indique également que les appareils mobiles ont été les plus touchés.
La variante de ransomware la plus fréquemment rencontrée est LockScreen, qui empêche les utilisateurs d’accéder à leur système Android.
55 % des entreprises ont subi une attaque de ransomware en 2021
Le cabinet de conseil en recherche et marketing CyberEdge Group a mené une étude qui a montré que 55 % des organisations interrogées avaient subi au moins une attaque de ransomware en 2021.
Parmi les organisations dont les données ont été chiffrées au moyen d’un ransomware, 61 % n’ont pas payé la rançon.
87 % des entreprises ayant subi une attaque ont pu récupérer leurs données chiffrées à partir de sauvegardes.
13 % des entreprises victimes ont toutefois perdu leurs données en raison de leur incapacité de récupérer des fichiers à partir des sauvegardes.
Les organisations qui sont prêtes à payer une rançon ne disposent pas de clés viables garanties pour récupérer leurs fichiers chiffrés.
Le sondage de CyberEdge a révélé qu’environ la moitié des entreprises ayant décidé de payer la rançon n’ont pas été en mesure de récupérer leurs données.
En 2021, FedEx a rapporté que l’attaque de NotPetya a coûté environ 300 millions de dollars à l’entreprise, le même chiffre cité par la compagnie maritime Maersk et la compagnie pharmaceutique Merck.
La maison d’édition WPP, quant à elle, a déclaré que les dégâts liés à l’attaque NotPetya lui ont coûté environ 15 millions de dollars.
Les entreprises sont en train de développer des stratégies pour réagir rapidement aux attaques par ransomware. Certaines sociétés, notamment britanniques, ont payé en Bitcoin des rançons pour permettre une reprise rapide de leurs activités.
Selon Exeltex Consulting Group, un tiers des entreprises de taille moyenne au Royaume-Uni ont choisi cette option.
Mais il faut dire que valeur du Bitcoin est en baisse. Ainsi, de nombreux cybercriminels sont passés à d’autres formes de cryptomonnaie et n’acceptent plus le Bitcoin.
Les cyberattaques n’ont cessé d’augmenter depuis l’apparition du COVID-19, et nous n’avons peut-être pas encore atteint le sommet.
Une étude a montré une augmentation de 30 % des cyberattaques entre les mois de juillet et août de cette année.
Le 18 août, 1 746 611 cyberattaques ont été enregistrées sur une période de 24 heures, ce qui constitue un record. Il est donc essentiel d’analyser les 5 principales menaces pour la sécurité du courrier électronique et du web en 2020.
Les menaces pour la sécurité des emails et du web en 2020
Même si nous voulons oublier l’année en cours, nous devons prendre le temps de l’analyser du point de vue de la cybersécurité afin de mieux nous protéger en 2021.
Voici un bref résumé des menaces qu’encourt en 2020 la sécurité des emails et du web.
Le travail à distance
Avant l’apparition de la pandémie, environ 5,2 % des employés américains travaillaient à distance à temps plein, selon le recensement américain.
Ce pourcentage était inférieur à celui de nombreuses entreprises en Europe, en particulier aux Pays-Bas, qui, pendant des années, ont mené le mouvement mondial en faveur du travail à distance avec un taux de 14,1 %.
Puis le COVID-19 a fait son apparition. Le PDG de Barclays a résumé la « nouvelle normalité » en une phrase : « Mettre 7 000 personnes dans un bâtiment peut être une chose du passé ».
Alors que les entreprises ont pu faire la transition vers des stratégies de travail à distance avec une relative facilité, la sécurisation du processus de travail lui-même est très difficile.
Les méthodes de sécurité conventionnelles se sont centrées sur une architecture de périmètre qui n’existe plus. Les employés travaillant à distance, isolés de l’informatique interne et de leurs pairs, sont beaucoup plus vulnérables aux cyberattaques.
La cyberguerre sera désormais menée sur mille fronts, plutôt que sur un seul périmètre.
Les attaques contre Microsoft Office 365
Microsoft Office 365 est rapidement devenu le cœur de beaucoup d’entreprises aujourd’hui.
Qu’il s’agisse de services de courrier électronique, d’applications Office ou de stockage de fichiers personnels, les entreprises et les écoles ont procédé à une migration active de leurs services essentiels vers le cloud O365.
En conséquence, les pirates informatiques en ont fait une cible privilégiée pour les attaques.
Ironiquement, les cybercriminels s’abonnent à ces mêmes services afin de découvrir ses vulnérabilités.
Qu’il s’agisse d’attaques à grande échelle de forçage d’identifiants ou d’attaques de phishing bien conçues (demandant aux utilisateurs de réinitialiser un mot de passe ou d’accéder à un OneDrive partagé), les utilisateurs de Microsoft Office 365 sont continuellement attaqués.
Pour contrer ces attaques, les entreprises doivent appliquer des mots de passe complexes ainsi qu’une authentification à plusieurs facteurs.
Les services informatiques internes doivent renforcer le système Microsoft Office 365 par une sécurité dédiée au courrier électronique, et surveiller régulièrement leurs environnements Microsoft Office 365 afin de pouvoir identifier les activités de connexion anormales.
Les attaques de ransomware
Les attaques de ransomwares sont un exemple classique de menaces qui est en constante évolution. Les organisations évoluent au fil du temps pour s’adapter aux nouveaux modes de travail afin de survivre et de s’épanouir.
Il en va de même pour les ransomwares.
Traditionnellement, le ransomware était considéré comme une mine enterrée.
Il reste là, à l’attente d’une malheureuse victime qui tombe dessus arbitrairement. Ceux qui ont déployé la mine n’ont aucun moyen de cibler de manière sélective ceux qui tomberont dessus.
C’était le cas des premiers logiciels de ransomwares. Ils étaient jetés comme un filet géant, sans savoir qui serait la malchanceuse victime.
En général, il était dispersé dans des attaques de phishing à grande échelle.
Dès qu’un utilisateur peu méfiant cliquait sur le lien séduisant mais malveillant, le ransomware était lancé et, en quelques minutes, il commençait à chiffrer tout ce qu’il trouvait.
Ceci étant fait, la demande de rançon est lancée. Les auteurs espéraient alors qu’un nombre suffisant de victimes paieraient.
Le ransomware est maintenant dans sa deuxième phase.
Le ransomware 2.0 est beaucoup plus complexe. Non seulement il est conçu pour échapper aux contrôles de sécurité traditionnels, mais il est souvent contrôlé manuellement.
Les attaques de ransomware 2.0 ne sont plus automatisées ni immédiates. Une fois qu’ils ont pris pied sur le réseau, les auteurs manœuvrent autour du réseau compromis à la recherche de données et d’autres ressources de grande valeur.
Après avoir localisé les données, les pirates les copient et les téléchargent vers un endroit sécurisé. C’est seulement à ce moment que le chiffrement commence.
Si la victime est en mesure de récupérer les données, les criminels menacent alors de vendre ou de divulguer les données volées.
Ils disposent ainsi de multiples moyens pour exiger de l’argent, ce qui augmente les chances de retour sur investissement.
Les attaques de phishing
Le phishing continue d’être une menace de premier plan, comme c’est le cas depuis des années. La raison en est simple : elle est facile à mettre en œuvre.
Aujourd’hui, presque tout le monde dépend du courrier électronique pour son travail, ce qui fait de presque tout le monde une cible d’une attaque de phishing.
Selon le rapport « 2020 Phishing Attack Landscape Report », les entreprises ont subi en moyenne 1 185 attaques par mois jusqu’à présent.
Le rapport comprend les résultats d’une enquête dans laquelle 38 % des personnes interrogées ont déclaré qu’un collègue de travail avait été victime d’une attaque au cours des 12 derniers mois.
Le phishing continue d’être le principal mécanisme de diffusion des ransomwares et des tentatives d’atteinte aux données sensibles des entreprises.
Il est impossible d’avoir une stratégie de cybersécurité efficace qui n’inclut pas un moyen efficace de lutter contre les attaques de phishing.
L’ingénierie sociale
L’ingénierie sociale concerne l’art de la tromperie. Il s’agit de manipuler l’essence de la nature humaine. Le phishing en est l’exemple classique, avec le spear phishing et le whaling qui font passer l’ingénierie sociale au niveau supérieur.
Les cybercriminels effectuent désormais des reconnaissances pendant des semaines ou des mois afin de déterminer les ficelles à tirer au sein d’une organisation. D’autres exemples d’ingénierie sociale sont les tailgating et le watering hole.
De toutes les menaces susmentionnées, la plus importante est, de loin, le fait que Microsoft Office365 est de plus en plus attaqué en raison de scénarios de travail à distance précipités et d’une sécurité inadéquate du courrier électronique et du web.
Pour plus d’informations sur l’amélioration de la protection de vos employés et votre entreprise contre les attaques de phishing et d’autres cybermenaces, appelez l’équipe de TitanHQ.
Vous pouvez également vous inscrire pour un essai gratuit et sans obligation de nos deux solutions de sécurité du courrier électronique et du web afin de les évaluer dans votre propre environnement.
La première attaque connue par un ransomware a eu lieu en 1989, mais cette forme de malware n’était pas encore populaire auprès des cybercriminels.
Cela a commencé à changer en 2013 avec l’apparition du ransomware Cryptolocker et depuis le nombre d’attaques n’a cessé de croître.
Aujourd’hui, les ransomwares sont l’une des plus grandes menaces de malwares auxquelles sont confrontées les entreprises
Des attaques de ransomware par le biais de réseau affiliés
Les attaques de ransomware ne sont plus des campagnes relativement modestes menées par des développeurs. Plutôt que de mener leurs propres attaques, il est désormais courant pour ces derniers de laisser la distribution de leurs ransomwares à un réseau d’affiliés.
Dans le cadre du modèle « ransomware-as-a-service – RaaS », de plus en plus d’attaques peuvent être menées et davantage de rançons seront versées en conséquence.
La plupart des attaques de ransomware fonctionnent aujourd’hui selon le modèle RaaS et de nombreux affiliés sont prêts à distribuer le logiciel contre une partie des bénéfices.
Autrefois, les ransomwares étaient utilisés simplement pour chiffrer des fichiers et pour empêcher les entreprises d’y accéder, à moins qu’une rançon ne soit versée pour obtenir les clés de déchiffrement.
Cependant, les opérateurs de ransomwares de Maze ont commencé à voler des données en 2019, avant le chiffrement des fichiers, afin d’inciter davantage les victimes à payer.
De nombreuses autres attaques ont suivi cette tendance et les cybercriminels ont même menacé de publier les données volées ou de les vendre à d’autres cybercriminels si la rançon n’était pas payée.
Le vol de données avant le chiffrement des fichiers devient la norme
Coveware, une entreprise qui travaille avec les victimes d’une attaque de ransomware pour les résoudre a récemment publié un rapport qui montre que la moitié de ses attaques impliquent désormais le vol de données avant le chiffrement des fichiers.
Cette enseigne entre souvent en négociation avec les attaquants au nom de ses clients.
Il peut être possible de récupérer des données chiffrées à partir de sauvegardes, mais cela n’empêchera pas la publication ou l’utilisation abusive des données volées.
Cette tactique s’est avérée efficace pour les pirates informatiques, mais il y a eu de nombreux cas où le paiement de la rançon n’a pas entraîné la suppression des données volées.
Aux États-Unis, plusieurs victimes dans le secteur de la santé ont payé la demande de rançon pour ensuite recevoir une seconde demande de paiement afin d’empêcher la publication de données volées.
Selon Coveware, le gang Sodinokibi ransomware est connu pour émettre d’autres demandes après le premier paiement, et il en a été de même pour Netwalker et Mespinoza ransomware.
Les opérateurs de Conti ransomware fournissent la preuve que les fichiers sont supprimés après le paiement de la rançon, mais cette preuve est falsifiée.
Les demandes de rançon sont également en augmentation. La demande moyenne de rançon au troisième trimestre 2020 était d’environ 193 000 euros, soit une hausse de 31 % par rapport au trimestre précédent, selon le rapport trimestriel de Coveware sur les attaques de ransomware.
L’industrie de la santé a été largement ciblée par les cybercriminels et le nombre d’attaques a augmenté pendant la pandémie du COVID-19.
Le secteur de la santé est fortement dépendant des données et les attaques visent à chiffrer les données des patients et à voler les dossiers médicaux avant leur chiffrement. Si la rançon n’est pas payée, les données ont une grande valeur et peuvent être revendues facilement.
Récemment, un avertissement commun a été lancé par la CISA (une agence chargée de protéger les infrastructures critiques des États-Unis), en collaboration avec le FBI et le ministère de la Santé et des Services sociaux, mettant en garde contre une menace accrue et imminente d’attaques ciblées de ransomwares dans les secteurs de la santé et de la santé publique.
Quelques jours après la publication de l’alerte, six prestataires de soins de santé ont été attaqués avec le logiciel Ryuk en une seule journée.
Les attaques contre les patients sont là pour rester dans le temps avec un avenir imprévisible. Elles ne commenceront à diminuer que lorsqu’elles ne seront plus rentables.
En fait, leur succès réside dans le fait qu’il n’y a aucune garantie que les données volées seront restituées même si la rançon est payée.
Il est donc plus important que jamais pour les entreprises et les organismes de santé de s’assurer que leurs défenses sont renforcées contre les attaques de ransomwares.
Les rançons peuvent être fournies au moyen de diverses techniques
Les vulnérabilités des logiciels et des systèmes d’exploitation sont couramment exploitées pour accéder aux réseaux.
Il est donc important de procéder à une analyse de vulnérabilité pour identifier les vulnérabilités que les pirates peuvent exploiter afin de s’assurer que les failles sont rapidement corrigées.
La messagerie électronique reste l’un des vecteurs d’attaque les plus courants non seulement pour la livraison de ransomwares, mais aussi pour leur téléchargement.
Emotet et TrickBot sont deux chevaux de Troie couramment utilisés pour fournir des ransomwares comme charge utile secondaire, et tous deux sont principalement fournis par la messagerie électronique, tout comme BazarLoader, qui a été utilisé pour fournir des ransomwares lors de nombreuses attaques récentes.
Pour sécuriser ce vecteur d’attaque, il faut un filtre antispam avancé, alimenté par l’intelligence artificielle et capable de détecter non seulement les menaces de malwares connues, mais aussi les malwares du type « zero day » et les attaques lancées via la messagerie électronique qui n’ont jamais été vues auparavant.
SpamTitan utilise l’Intelligence artificielle et l’apprentissage machine pour identifier ces menaces à la source et pour empêcher que les emails malveillants n’arrivent dans des boîtes de réception des employés.
Si c’est le cas, ces derniers peuvent fournir involontairement aux attaquants l’accès à votre réseau d’entreprise.
En plus de ses deux moteurs antivirus, SpamTitan dispose d’une fonction de bac à sable qui permet d’identifier les menaces de malwares du type « zero day » et des plusieurs protocoles de sécurité (SPF, DKIM et DMARC).
Ces protocoles permettent de détecter et de bloquer les attaques par usurpation d’identité via les emails
Les ransomwares et les autres menaces de malwares sont souvent transmis via Internet, de sorte que des mesures de cybersécurité sont nécessaires pour bloquer ce vecteur d’attaque.
WebTitan utilise également des techniques d’intelligence artificielle et d’apprentissage des machines pour se protéger contre les sites web utilisés pour diffuser des menaces de malwares.
La solution utilise l’automatisation et des analyses avancées pour rechercher parmi des milliards d’URL/IP et de sites de phishing qui pourraient constituer une entreprise et s’assurer que ces menaces sont bloquées.
En mettant en œuvre des défenses par couches, il est possible de bloquer la majorité des menaces, mais il reste important de s’assurer que vos données sont protégées en cas d’une attaque réussie. Vous devez vous assurer que, quoi qu’il arrive, vos données sont sécurisées.
Une bonne approche à adopter est la stratégie de sauvegarde 3-2-1, qui consiste à effectuer trois sauvegardes, à stocker les copies sur deux supports différents (sur un disque et dans le cloud, par exemple) et à s’assurer qu’une copie est stockée en toute sécurité hors site.
Si une attaque de ransomware réussit, vous ne serez pas à la merci des attaquants et vous pourrez au moins récupérer vos données sans payer la rançon.
Si vous souhaitez améliorer vos défenses contre les ransomwares, appelez l’équipe du TitanHQ dès aujourd’hui pour obtenir des informations et des conseils sur les mesures que vous pouvez prendre pour renforcer vos défenses.
