Le blog de la Cybersécurité

by OpenSphere.

Le géant allemand Software AG mis à terre par une attaque de ransomware

Technologie : Le groupe Clop demande une rançon de plus de 20 millions de dollars à la société technologique allemande Software AG suite à une infection de ses systèmes. Software AG, l'une des plus grandes sociétés de logiciels au monde, a été victime d'une attaque par rançongiciel le week-end dernier, et la société ne s'est pas encore complètement remise de cet incident. Des données personnelles volées publiées sur le dark web   Un groupe du nom de Clop a pénétré dans le réseau interne de l'entreprise le samedi 3 octobre, chiffré des fichiers et demandé plus de 20 millions de dollars pour fournir la clé de décryptage. Plus tôt dans la journée, après l'échec des négociations, le groupe Clop a publié des captures d'écran des données de l'entreprise sur un site web que les pirates exploitent sur le dark web. Les captures d'écran montrent des scans de passeport et de carte d'identité des employés, des courriels des employés, des documents financiers et des répertoires du réseau interne de l'entreprise.   Image : ZDNet. Des vols de données clients ont été constatés Software AG a révélé l'incident lundi 5 octobre, indiquant qu'elle était confrontée à des perturbations sur son réseau interne « en raison d'une attaque de logiciel malveillant ». L'entreprise a précisé dans un premier temps que les services clients, y compris ses services basés sur le cloud, n'étaient pas affectés et qu'elle n'avait pas connaissance « d'informations clients auxquelles les attaquants auraient pu accéder ». L'entreprise est revenue sur ses déclarations deux jours plus tard dans un second communiqué, indiquant cette fois que des vols de données avaient été constatés. Le message concernant l'attaque est resté sur la page d'accueil de son site officiel toute la semaine. Software AG n'a pas répondu à nos questions sur l'incident. La rançon ne semble pas avoir été payée Une copie du binaire du rançongiciel utilisé contre Software AG a été découverte en début de semaine par le chercheur en sécurité MalwareHunterTeam. La demande de rançon de plus de 20 millions de dollars est l'une des plus importantes jamais demandées dans le cadre d'une attaque de type ransomware. L'identifiant fourni dans la note de rançon a permis aux chercheurs en sécurité de visualiser les discussions en ligne entre les attaquants et le groupe Software AG sur un portail web géré par le groupe de ransomware. Au moment de la rédaction de cet article, rien n'indique que la société allemande a payé la demande de rançon. Clop, bien connu des services Le ransomware Clop, utilisé dans le cadre de cette attaque, a également sévi en France : c'est ce rançongiciel qui est notamment suspecté d'avoir été mis en œuvre en 2019 dans l'attaque ayant perturbé le CHU de Rouen. En novembre 2019, l'Anssi avait publié un rapport faisant état d'une recrudescence d'activité du groupe Clop en France, et offrant quelques détails sur le fonctionnement du ransomware. L'Anssi le liait au groupe connu sous le nom de TA505, très actif depuis 2014, qui s'est illustré dans des attaques de différentes natures. Un rapport portant plus spécifiquement sur l'évolution de ce groupe avait été publié au mois de juin 2020. Software AG est la deuxième plus grande entreprise d'Allemagne, avec plus de 10 000 entreprises clientes réparties dans 70 pays. Parmi les clients les plus connus de l'entreprise figurent Fujitsu, Telefonica, Vodafone, DHL et Airbus. Sa gamme de produits comprend des logiciels d'infrastructure d'entreprise comme des systèmes de bases de données, des cadres de bus de services d'entreprise (ESB), des architectures logicielles (SOA) et des systèmes de gestion des processus d'entreprise (BPMS). Source : ZDNet.com

Microsoft met en garde contre un nouveau ransomware Android

Sécurité : Le nouveau ransomware abuse des notifications d'appel entrant et du bouton Home pour empêcher les utilisateurs d'accéder à leur appareil Android. Une nouvelle souche de ransomware mobile a été découverte. Elle utilise les mécanismes de la notification d'appel entrant et le bouton "Home" pour verrouiller l'écrans d'un appareil. Nommé "AndroidOS/MalLocker.B", le ransomware se cache dans des applications Android proposées en téléchargement sur des forums en ligne et des sites web tiers. Une rançon qui se fait passer pour une amende Comme la plupart des ransomwares Android, MalLocker.B ne chiffre pas réellement les fichiers de la victime, mais empêche simplement l'accès au contenu du téléphone. Une fois installé, il prend le contrôle de l'écran du téléphone et affiche un message des attaquants, qui ne peut pas être retiré. La demande de rançon est conçue pour ressembler à un message des forces de l'ordre locales, indiquant aux utilisateurs qu'ils ont commis un crime et qu'ils doivent payer une amende :   Image : Microsoft. Depuis plus d'une demi-décennie, cette forme consistant à présenter une amende policière est la plus populaire parmi les ransomwares sur Android. Au fil du temps, ces souches de malwares ont abusé de diverses fonctions du système d'exploitation Android, afin que les appareils des utilisateurs restent verrouillés sur l'écran d'accueil. Par le passé, les attaquant ont utilisé des techniques consistant à abuser de la fenêtre d'alerte système ou à désactiver les fonctions qui interagissent avec les boutons physiques du téléphone. Abus de deux fonctionnalités du système MalLocker.B propose une nouvelle variante de ces techniques. Le ransomware utilise un mécanisme en deux parties pour afficher sa note de rançon. La première partie abuse de la notification "d'appel". C'est la fonction qui s'active pour les appels entrants, afin d'afficher des informations sur l'appelant. MalLocker.B l'utilise pour afficher une fenêtre qui couvre toute la zone de l'écran. La deuxième partie abuse de la fonction "onUserLeaveHint()". Cette fonction permet aux utilisateurs de mettre en arrière-plan une application pour passer sur une autre. Elle se déclenche en appuyant sur les boutons "Home" ou "Récents" par exemple. MalLocker.B abuse de cette fonction pour ramener sa demande de rançon au premier plan, et empêcher l'utilisateur de revenir à l'écran d'accueil ou de passer sur une autre application. Se méfier des applications téléchargées hors du Play Store L'abus de ces deux fonctions est une astuce nouvelle et inédite, même si l'utilisation du bouton "Home" par un ransomware a déjà existé. Par exemple, en 2017, ESET a découvert une souche de ransomware Android nommée DoubleLocker, qui abusait du service Accessibilité pour se réactiver après que les utilisateurs ont appuyé sur le bouton Home. Comme MalLocker.B contient un code trop simpliste et trop visible pour passer les contrôles du Play Store, il est conseillé aux utilisateurs d'éviter d'installer des applications Android téléchargées depuis des sites tiers : forums, sites de publicité ou magasins d'applications tiers non autorisés. Une analyse technique de cette nouvelle menace est disponible sur le blog de Microsoft. Source : ZDNet.com

Trois erreurs fréquentes dans la planification de la sécurité des rançons

À mesure que la fréquence et l'intensité des attaques de logiciels contre rançon augmentent, une chose devient évidente : les organisations peuvent faire plus pour se protéger. Malheureusement, la plupart des organisations laissent tomber la balle. La plupart des victimes sont averties de manière adéquate des vulnérabilités potentielles, mais elles ne sont malheureusement pas préparées à s'en remettre lorsqu'elles sont touchées. Voici quelques exemples récents d'échecs en matière de prévention et de réaction aux incidents : Deux mois avant que la ville d'Atlanta ne soit frappée par une demande de rançon en 2018, un audit a identifié plus de 1 500 vulnérabilités de sécurité graves. Avant que la ville de Baltimore ne subisse plusieurs semaines d'interruption de service à la suite d'une attaque par un logiciel de rançon en 2019, une évaluation des risques avait identifié une grave vulnérabilité due à des serveurs utilisant un système d'exploitation obsolète (et donc dépourvus des derniers correctifs de sécurité) et à des sauvegardes insuffisantes pour restaurer ces serveurs, si nécessaire. Honda a été attaquée en juin dernier, et l'accès public au protocole RDP (Remote Desktop Protocol) pour certaines machines pourrait avoir été le vecteur d'attaque exploité par les pirates. Pour compliquer encore les choses, il y avait un manque de segmentation adéquate du réseau. Parmi les autres victimes récentes, on peut citer Travelex, Blackbaud et Garmin. Dans tous ces exemples, il s'agit de grandes organisations qui devraient avoir des profils de sécurité très matures. Alors, quel est le problème ? Trois erreurs courantes conduisent à une prévention inadéquate et à une réponse inefficace, et elles sont commises par des organisations de toutes tailles : 1. Ne pas présenter le risque en termes commerciaux, ce qui est crucial pour persuader les dirigeants d'entreprise de fournir un financement approprié et de s'engager dans une politique. 2. Ne pas aller assez loin dans la manière dont vous testez votre état de préparation à l'obtention d'une rançon. 3. Une planification insuffisante de la DR qui ne tient pas compte d'une menace de rançon qui pourrait infecter vos sauvegardes. Erreur fréquente n°1 - Ne pas présenter de risque de sécurité en termes commerciaux pour obtenir des financements et des politiques J'ai été rappelé à quel point il est facile de contourner la sécurité de base (par exemple, les pare-feu, les passerelles de sécurité pour le courrier électronique et les solutions anti-malware) lorsque j'ai récemment assisté à une simulation d'attaque par un logiciel de rançon : la charge utile initiale avant le logiciel de rançon a mis un pied dans la porte, suivie par des techniques telles que la recherche DNS inverse pour identifier un service Active Directory, qui a les privilèges nécessaires pour faire vraiment des dégâts, et enfin le Kerberoasting pour prendre le contrôle. Aucune organisation n'est à l'épreuve des balles, mais les attaques prennent du temps - ce qui signifie qu'une détection précoce avec une détection des intrusions plus avancée et une série de barrages routiers que les pirates doivent surmonter (par exemple, une plus grande segmentation du réseau, des restrictions appropriées pour l'utilisateur final, etc. Ce n'est pas une nouveauté pour les praticiens de la sécurité. Mais convaincre les chefs d'entreprise de faire des investissements supplémentaires dans la sécurité est un autre défi à relever. Comment corriger l'erreur n°1 : Quantifier l'impact sur les entreprises pour permettre une décision commerciale fondée sur les coûts Le renforcement des contrôles de sécurité (via la technologie et la politique) est une source de friction pour l'entreprise. Et si aucun chef d'entreprise ne veut être victime de rançon, les budgets ne sont pas illimités. Pour justifier les coûts supplémentaires et les contrôles plus stricts, vous devez présenter un dossier commercial qui présente non seulement un risque, mais aussi un impact commercial quantifiable. Aidez les dirigeants à comparer des pommes avec des pommes - dans ce cas, le coût d'une amélioration de la sécurité (investissements et frictions potentielles sur la productivité) par rapport au coût d'une faille de sécurité (le coût direct d'un temps d'arrêt prolongé et le coût à long terme de l'atteinte à la réputation). L'évaluation de l'impact sur les entreprises n'est pas nécessairement onéreuse. Des évaluations d'impact assez précises des systèmes critiques peuvent facilement être réalisées en une journée. Concentrez-vous sur quelques applications et ensembles de données clés pour obtenir un échantillon représentatif et obtenir une estimation approximative des coûts, de la bonne volonté, de la conformité et/ou des impacts sur la santé et la sécurité, en fonction de votre organisation. Il n'est pas nécessaire d'être précis à ce stade pour reconnaître le potentiel d'un impact critique. Vous trouverez ci-dessous un exemple des principaux points de discussion qui en résultent pour une présentation à la haute direction :   Source: Groupe de recherche Info-Tech, Résumé de l'analyse de l'impact sur les entreprises - Exemple, 2020 Erreur fréquente n°2 - Ne pas aller assez loin dans les tests de préparation des rançons Si vous n'êtes pas encore engagé dans des tests de pénétration pour valider la technologie et la configuration de la sécurité, commencez dès maintenant. Si vous ne pouvez pas obtenir de financement, relisez Comment réparer l'erreur n°1. Les organisations se trompent lorsqu'elles s'arrêtent aux tests de pénétration et ne valident pas la réponse de bout en bout aux incidents. Cela est particulièrement critique pour les grandes organisations qui doivent rapidement coordonner l'évaluation, le confinement et la récupération avec plusieurs équipes. Comment corriger l'erreur n°2 : effectuer des exercices de planification approfondis sur table pour couvrir une série de scénarios de simulation Le problème de la plupart des exercices de planification sur table est qu'ils sont conçus pour valider simplement vos plans de réponse aux incidents (IRP) existants. Plongez plutôt dans la manière dont une attaque pourrait avoir lieu et dans les mesures que vous prendriez pour la détecter, la contenir et vous remettre de l'attaque. Par exemple, si votre IRP vous demande de vérifier la présence d'autres systèmes infectés, précisez comment cela pourrait se produire. Quels outils utiliseriez-vous ? Quelles données examineriez-vous ? Quels modèles rechercheriez-vous ? C'est toujours une révélation lorsque nous faisons de la planification sur table avec nos clients. Je n'ai pas encore rencontré de client qui ait un plan de réponse aux incidents parfait. Même les organisations ayant un profil de sécurité mature et des plans de réponse documentés trouvent souvent des lacunes telles que : Une mauvaise coordination entre le personnel de sécurité et celui des infrastructures, avec des transferts peu clairs pendant la phase d'évaluation. Les outils existants ne sont pas pleinement exploités (par exemple, la configuration des fonctions de confinement automatique). Visibilité limitée de certains systèmes (par exemple, les dispositifs IdO et les systèmes existants).. Erreur courante n°3 - Les stratégies de sauvegarde et les plans de DR ne tiennent pas compte des scénarios de rançon Les instantanés et les sauvegardes quotidiennes standard sur des supports réinscriptibles, comme dans l'exemple ci-dessous, ne sont tout simplement pas suffisants :     Source: Groupe de recherche Info-Tech, Exemple de stratégie de sauvegarde obsolète, 2020   Le réseau de sécurité ultime en cas de piratage est votre capacité à restaurer à partir d'une sauvegarde ou d'un basculement vers un site ou un système de secours propre. Toutefois, l'un des principaux objectifs d'une attaque par logiciel rançon est de désactiver votre capacité de restauration, ce qui signifie que vous devez cibler les sauvegardes et les systèmes de secours, et pas seulement les données primaires. Si vous ne vous protégez pas explicitement contre les logiciels de rançon en permanence, l'argent que vous avez investi pour minimiser les pertes de données dues aux pannes informatiques traditionnelles - des pannes de disque aux ouragans - devient inutile. Comment corriger l'erreur n°3 : appliquer la défense en profondeur à votre stratégie de sauvegarde et de DR La philosophie de la défense en profondeur est la meilleure pratique pour la sécurité, et la même philosophie doit être appliquée à vos sauvegardes et à vos capacités de récupération. La défense en profondeur ne consiste pas seulement à essayer d'attraper ce qui passe entre les mailles du filet de sécurité de votre périmètre. Il s'agit aussi de gagner du temps pour détecter, contenir et récupérer après une attaque. Pour atteindre la défense en profondeur, suivez l'approche suivante : 1. Créez plusieurs points de restauration afin d'être plus précis dans votre retour en arrière et de ne pas perdre autant de données. 2. Réduire le risque d'infection des sauvegardes en utilisant différents supports de stockage (par exemple, disque, NAS et/ou bande) et différents lieux de sauvegarde (par exemple, sauvegardes hors site). Si vous pouvez faire en sorte que les attaquants passent par plus d'obstacles, vous aurez plus de chances de détecter l'attaque avant qu'elle n'infecte toutes vos sauvegardes. Commencez par vos données les plus critiques et concevez une solution qui tienne compte des besoins de l'entreprise, des coûts et de la tolérance au risque. 3. Investissez dans des solutions qui génèrent des sauvegardes immuables. La plupart des principales solutions de sauvegarde offrent des options pour garantir que les sauvegardes sont immuables (c'est-à-dire qu'elles ne peuvent pas être modifiées après avoir été écrites). Bien entendu, il faut s'attendre à ce que le coût soit plus élevé. Il faut donc tenir compte de l'impact sur l'entreprise au moment de décider ce qui nécessite des niveaux de protection plus élevés. Résumé : Planification de la sécurité des rançons Les attaques par rançon peuvent être sophistiquées, les pratiques de sécurité de base ne sont tout simplement pas suffisantes. Obtenez l'adhésion des hauts responsables sur ce qu'il faut faire pour être prêt à recevoir des rançons en présentant non seulement le risque d'attaque, mais aussi l'impact potentiel important sur les affaires. Supposez que vous serez touché, soyez prêt à réagir rapidement, testez de manière réaliste et mettez à jour votre stratégie de lutte contre les logiciels espions pour qu'elle englobe cette menace en évolution rapide. Source : HelpNetSecurity.com

  • 10 mn de lecture
  • 7 oct. 2020 13:47:00

Les victimes de rançongiciel ne portent pas plainte, et ça ne facilite pas les choses

Sécurité : Le rapport annuel d'Europol sur la cybercriminalité indique que les demandes de rançon sont rarement déclarées par les victimes, ce qui complique la tache des enquêteurs. De nombreuses victimes de ransomware ne signalent pas les attaques à la police, ce qui rend plus difficile la mesure de leur activité et la lutte contre les groupes malveillants impliqués. Dans le rapport d'Europol, "Internet Organised Crime Threat Assessment 2020", qui détaille les principales formes de cybercriminalité constituant une menace pour les entreprises, on constate que les rançongiciels (ransomwares) restent l'une des principales préoccupations. Le fait est que ces groupes malveillants font preuve d'un niveau de compétence et de sophistication de plus en plus élevé... Des attaques peu signalées Dans de nombreux cas, les groupes de ransomware ne se contentent pas de chiffrer le réseau avec des logiciels malveillants et de demander des centaines de milliers ou des millions de dollars en bitcoin. Ils menacent également de divulguer des données volées à l'entreprise, ou des données personnelles, si la rançon n'est pas payée. Et si les demandes de rançon sont l'une des formes de cyberattaque les plus médiatisées, le rapport d'Europol estime qu'elles restent un crime sous-déclaré, car de nombreuses organisations ne se manifestent toujours pas auprès des autorités après avoir été victimes. Plusieurs services de police en Europe précisent d'ailleurs avoir pris connaissance de nombreux cas d'attaques au ransomware par voie de presse. Préserver sa réputation Le rapport suggère que le fait de demander à la police d'ouvrir une enquête criminelle n'est pas considéré comme « une priorité » pour les victimes, plus soucieuses de maintenir la continuité de leurs activités et de limiter l'atteinte à leur image. Pour certaines victimes, l'idée d'impliquer les forces de l'ordre est même considérée comme un risque pour la réputation. C'est pourquoi certaines entreprises choisissent de s'adresser à ce qu'Europol nomme les « entreprises de sécurité du secteur privé », que ce soit pour enquêter sur une attaque ou pour négocier le paiement d'une rançon, au lieu de s'adresser aux autorités. L'intérêt de cette solution est de garder l'attaque et leur réaction à l’écart du grand public. Egalement, les forces de l'ordre recommandent généralement de ne pas payer la rançon. Mais de nombreuses entreprises considèrent toujours cette solution comme le moyen le plus rapide et le plus facile de rétablir leurs activités, même si elle implique de faire confiance à des groupes de cybercriminels qui ne tiennent pas toujours parole. Une entrave au travail des autorités Mais, en plus du dilemme moral concernant le fait de traiter avec des cybercriminels ou des négociateurs privés, la police prévient que le fait de ne pas signaler ce type d'attaque est préjudiciable aux autres. « En faisant appel à de telles sociétés, les victimes ne déposeront pas de plainte officielle, ce qui accroît le manque de visibilité sur les chiffres réel des attaques par les autorités », indique le document d'Europol. « Ne pas signaler les cas aux forces de police entravera évidemment tous les efforts fournis, car des preuves et des renseignements importants provenant de différentes affaires peuvent passer inaperçus. » Les entreprises craignant la mauvaise publicité ne sont pas les seules à refuser de déclarer aux autorités les attaques de type rançongiciel : le rapport indique que certaines victimes pensent simplement que les forces de l'ordre ne peuvent rien faire pour les aider. Signaler une attaque pour aider les futures victimes Toutefois, le rapport ajoute qu'enquêter sur les cas avérés aide les autorités à se faire une meilleure idée de l'écosystème des ransomwares et à déterminer comment prévenir les attaques futures ou aider les organisations victimes. Par exemple, le portail No More Ransom d'Europol fournit gratuitement des clés de décryptage pour différentes familles de ransomwares. Ces clés sont fournies par des sociétés de cybersécurité et des services de police qui ont réussi à casser le chiffrement d'un logiciel malveillant après avoir enquêté. Si les organisations ne signalent pas les attaques dont elles sont victimes, cela peut donc empêcher d'autres victimes de pouvoir utiliser des outils gratuits de ce type. Source : ZDNet.com

    Sur le même thème