Connect with us

Technologie

Double extorsion ransomware attaques et comment les arrêter

Published

on


Ransomware est l’un des types les plus courants de cybermenace, ciblant une entreprise toutes les 14 secondes et coûtant 11,5 milliards de dollars en 2019 seulement. En règle générale, les pirates qui effectuent ces attaques vont violer un système pour voler des données et les supprimer si la victime ne paie pas une rançon.

Cependant, à la recherche d’augmenter les enjeux et de gagner encore plus d’argent de ransomware, les cybercriminels sont de plus en plus en utilisant une tactique qui devient connu comme double extorsion, par lequel ils non seulement crypter les données et exiger une rançon de la victime afin de retrouver l’accès, mais aussi menacer de le télécharger en ligne si leurs conditions ne sont pas remplies.

La montée de ransomware double extorsion va montrer que les cybercriminels sont en constante expansion de leur arsenal. Paolo Passeri, directeur du cyber-intelligence au sein de la société de logiciels Netskope, affirme que ces attaques sont devenues populaires parce qu’elles sont le moyen le plus simple pour les pirates de faire un profit.

Passeri dit: « Avec des attaques de double extorsion, même si une sauvegarde est disponible les attaquants peuvent mettre plus de pression sur la victime de payer la rançon. La pression accrue provient des conséquences graves potentielles d’une fuite de données, par exemple des dommages économiques et de réputation. Groupes comme REvil [aka Sodinokibi] sont encore plus créatifs – ils ne se contentent pas de divulguer les données, ils les monétisent en les mettant aux enchères sur le dark web et mettent encore plus de pression sur leurs victimes.

Lors de la conduite d’une double attaque ransomware extorsion, les pirates commencent à passer plus de temps sur la stratégie globale. Passeri avertit que les escrocs ne prennent plus une approche opportuniste, mais choisissent soigneusement leur cible et leur méthode d’attaque afin d’augmenter l’argent qu’ils gagnent à partir de rançons. Il explique que « les acteurs de la menace sélectionnent leurs victimes, en choisissant des organisations dont les entreprises peuvent être touchées par une fuite de données ».

Bien que le phishing lance est le principal moyen de distribuer ransomware double extorsion, Passeri dit cyber-criminels exploitent également les vulnérabilités dans les appareils locaux tels que les concentrateurs VPN. « Au cours des derniers mois (et c’est une tendance constante), presque toutes les principales technologies VPN ont subi de graves vulnérabilités qui ont été exploitées pour des attaques similaires », dit-il.

« C’est regrettable compte tenu de la situation actuelle du travail forcé à partir de chez eux où ces technologies d’accès à distance héritées jouent un rôle crucial dans la garantie de la continuité des activités pendant Covide-19. Ces systèmes sont directement exposés à Internet afin que les acteurs de la menace puissent les scanner et exploiter par la suite toute vulnérabilité découverte.

Jakub Kroustek, chef des systèmes de renseignement de menace à Avast, convient que ransomware double extorsion fournit cyber-criminels avec plus de possibilités en leur permettant d’extorquer des victimes à deux reprises. « Ils peuvent exiger un paiement initial pour le décryptage des fichiers et un second pour ne pas les rendre publics », explique M. Kroustek.

« ette technique, également connu sous le nom de doxing, a été utilisé par un nombre croissant de groupes ransomware au cours de la dernière année. Les conséquences du doxing sont plus graves pour la victime, de sorte qu’ils se conforment souvent aux exigences. Cela signifie plus d’argent dans les poches des cybercriminels pour le financement de nouvelles souches ransomware et de soutenir d’autres activités criminelles.

L’amélioration des logiciels malveillants et des incitations financières pour les pirates ont conduit à la croissance de doubles attaques d’extorsion, fait valoir Le défenseur de la vie privée Comparitech Paul Bischoff. Il raconte à Computer Weekly: « Dans le passé, les fichiers cryptés ransomware et les pirates ont volé des données, mais il était rare de faire les deux.

« aintenant, nous avons des bots qui peuvent scanner le Web pour les données non protégées, le voler, le chiffrer ou le supprimer, et laisser une note de rançon pour le propriétaire tout en une seule attaque automatisée. Le pirate peut alors collecter une rançon pour les données et vendre les données à d’autres criminels, double-trempage avec un minimum d’effort. »

Une tactique agressive

Au cours de la dernière année, il ya eu un afflux de double extorsion ransomware attaques. John Chambers, directeur des services informatiques, de communication, de travail, de processus d’affaires et d’application de la société d’électronique Ricoh UK, affirme qu’ils ont gagné en popularité à la fin de 2019 lorsque des groupes de piratage de haut niveau comme Maze ont commencé à tirer parti « agressivement » de cette tactique.

« Dans ces cas, l’attaquant exfiltrait une copie des données avant de les chiffrer », explique-t-il. « De cette façon, l’agresseur empêche non seulement la victime d’accéder à ses données, mais conserve également une copie des données pour elle-même.

« Afin de revendiquer la responsabilité et de faire pression sur la victime pendant le processus de négociation, l’attaquant libérait souvent de petites parties des données en ligne. En cas d’échec des négociations, l’attaquant publierait alors toutes les données exfiltrées ou les vendrait à tiers créant une violation importante des données pour la victime.

Pour se défendre contre ces attaques, il y a un certain nombre de mesures différentes que les entreprises devraient prendre. « En plus des pratiques exemplaires habituelles en matière de cybersécurité, y compris le maintien des systèmes à jour avec le patching pour s’assurer que les vulnérabilités connues sont résolues, il est impératif que les organisations disposent d’une approche de sécurité à plusieurs niveaux, y compris l’examen des outils de prévention des pertes de données pour arrêter l’exfiltration des données qui déclenche ces doubles attaques d’extorsion », explique M. Chambers.

Mais que peuvent faire les organisations si elles sont incapables d’atténuer avec succès l’une de ces attaques ? Chambers explique : « Pour faire face à une épidémie de ransomware, les organisations devraient chercher à inclure une dernière ligne de défense qui isole et arrête immédiatement le chiffrement illégitime en cours lorsque la sécurité traditionnelle basée sur la prévention a été compromise ou contournée. Des processus de sauvegarde robustes, y compris des copies hors ligne, devraient également être pris en compte pour rendre plus difficile pour les criminels de chiffrer ou de désactiver les magasins de données critiques.

Conséquences désastreuses

Si une organisation est victime d’une double attaque ransomware extorsion, il ya souvent d’énormes ramifications. Julian Hayes, associé chez BCL Solicitors, déclare : « En se faisant passer de noms dystopiques tels que Maze, Netwalker et REvil, ils sont de plus en plus effrontés, affichant des données exfiltrées comme des trophées en ligne et parrainant même des concours de piratage souterrain pour mettre en valeur leurs logiciels malveillants.

« Pour leurs victimes, les conséquences peuvent être dévastatrices; Travelex, le service de change, est entré en administration avec la perte de 1.300 emplois au Royaume-Uni à la suite d’une attaque ransomware de la Saint-Sylvestre où un gang cyber a exigé de l’entreprise payer 6 millions de dollars en 48 heures ou faire face à la publication de ses informations de carte de crédit clients, numéros d’assurance nationale et les dates de naissance.

De toute évidence, il est crucial que les entreprises fassent tout ce qu’elles peuvent pour identifier et arrêter ces attaques avant qu’elles ne causent des dommages majeurs. « Prévenir de telles attaques est bien mieux que d’atténuer leurs effets, avec tous les coûts financiers et les dommages à la réputation qu’elles entraînent », dit Hayes.

« La plupart des attaquants ont accès par erreur humaine et, avec des mesures techniques telles que la gestion et la sauvegarde des données internes, la formation et la vigilance du personnel sont des éléments clés dans les défenses d’une organisation. »

Les victimes ont essentiellement deux choix, qui sont tous deux coûteux, selon Hayes. Soit les organisations « refusent de payer et font face à une violation catastrophique des données avec l’exposition à des amendes réglementaires douloureuses et des réclamations civiles », soit elles « paient la rançon sans aucune garantie de restitution des données ».

Traiter avec ransomware double extorsion

Bien qu’être touché par ransomware peut porter un coup dévastateur à n’importe quelle entreprise, les entreprises devraient se méfier lorsqu’on leur demande de payer des frais de rançon. Jake Moore, un spécialiste de la sécurité à l’ESET, dit que cela pourrait entraîner des risques encore plus grands. « Il n’y a aucune certitude que ces pirates ne demanderont pas simplement plus ou ne publieront pas les données de toute façon », explique-t-il.

Au lieu de cela, Moore exhorte les entreprises à sécuriser leurs réseaux et effectuer des tests de simulation pour atténuer la menace de ransomware. « De telles attaques simulées aideront à mettre en évidence les vulnérabilités au sein d’une organisation sans risquer de faire face à de graves problèmes financiers et d’avoir à répondre à des questions très difficiles de la part de l’OIC et de vos clients », dit-il.

Kiri Addison, responsable de la science des données pour l’intelligence des menaces et l’overwatch chez Mimecast, affirme que la mise en œuvre de mesures de résilience forte sont le meilleur moyen de prévenir la double extorsion ransomware. « Le ransomware est souvent une infection secondaire, et les acteurs de la menace cherchent à exploiter les vulnérabilités connues, en particulier en ce qui concerne le RDP, les serveurs et les applications qui sont essentiels pour travailler à domicile », dit-elle.

« Pour atténuer cela, il est essentiel de s’assurer que les vulnérabilités sont corrigées en temps opportun et que les journaux de données réseau sont surveillés pour détecter toute activité inhabituelle ou exfiltration de données. Il ya donc une fenêtre d’opportunité potentielle pour remédier à toute infection primaire et ainsi l’empêcher de se développer en une attaque ransomware. »

Éducation

Pendant ce temps, les organisations devraient éduquer leur personnel sur les risques de double ransomware et comment il est distribué. « Les utilisateurs individuels peuvent également aider grandement en étant conscients du potentiel de pièces jointes dangereuses et doivent également se méfier de cliquer sur les liens électroniques reçus dans n’importe quelle communication, en particulier avec la résurgence récente d’Emotet », dit Addison.

Cath Goulding, CISO de Nominet, explique qu’il existe deux stratégies de défense pour faire face à la double extorsion ransomware. « out d’abord, sauvegardes robustes, pour s’assurer que vous n’êtes pas poussé dans un coin si les pirates ne gain contrôle de vos données. Deuxièmement, le chiffrement, pour s’assurer que si un attaquant menace d’exposer les données, cela aussi est protégé contre », dit-elle.

« Ces approches devraient ensuite s’intégrer dans une stratégie plus large qui inclut la cyber hygie de base. De la surveillance étroite du réseau qui pourrait vous permettre de couper les attaquants avant l’exfiltration des données, à l’éducation des employés de ne pas être victimes d’attaques de phishing qui sont souvent la cause profonde d’un incident ransomware – tous joueront un rôle vital dans la construction de votre cyber posture. »

La menace de double extorsion ransomware est indéniable, avec des cybercriminels soigneusement cibler et l’élaboration de ces attaques dans le but d’augmenter la taille de leurs rançons. Souvent, les organisations ont l’impression qu’elles n’ont pas d’autre choix que de payer des rançons pour éviter que des données sensibles ne soient divulguées. Mais en réalité, il s’agit d’un jeu de roulette russe et les informations volées peuvent encore faire son chemin en ligne. Par conséquent, l’accent doit être mis sur la prévention et l’atténuation.

Continue Reading
Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Technologie

GitHub rend publique la fonctionnalité de numérisation de la vulnérabilité de code

Published

on


Un an après l’acquisition du spécialiste de la numérisation de la sécurité logicielle Semmle, et à la suite d’un processus bêta réussi de cinq mois, GitHub rend ses capacités d’analyse de code CodeQL accessibles au public, aidant les équipes et les individus à faire plus pour créer des applications sécurisées via une approche axée sur la communauté, développeur d’abord.

Au cours du processus bêta, 12 000 référentiels ont été scannés 1,4 million de fois, et plus de 20 000 problèmes de sécurité ont été découverts, y compris de multiples instances d’exécution de code à distance (RCE), d’injection SQL et de vulnérabilités de script de site croisé (XSS).

GitHub a déclaré que les développeurs et les responsables de la fonction en utilisant la fonctionnalité ont corrigé près des trois quarts des bogues divulgués au cours des 30 derniers jours – un bond substantiel étant donné que, en général, moins d’un tiers des bogues sont corrigés dans un mois.

Justin Hutchings, chef de produit de GitHub, a déclaré qu’une fois intégré à GitHub Actions ou à l’environnement CI/CD existant d’un utilisateur, le service maximiserait la flexibilité pour les équipes de développement.

« Au lieu de vous submerger avec des suggestions de linting, l’analyse de code exécute uniquement les règles de sécurité exploitables par défaut, de sorte que vous pouvez rester concentré sur la tâche à accomplir », a déclaré Hutchings.

« l analyse le code tel qu’il est créé et les surfaces des revues de sécurité exploitables dans les demandes d’attraction et d’autres expériences GitHub que vous utilisez tous les jours, automatisant la sécurité dans le cadre de votre flux de travail. Cela permet de s’assurer que les vulnérabilités ne parsent jamais à la production en premier lieu.

La plate-forme a également enregistré 132 contributions communautaires à l’ensemble de requêtes à source ouverte de CodeQL, et s’est associée à plusieurs fournisseurs de sécurité dans l’espace open source et commercial pour permettre aux développeurs d’exécuter des solutions CodeQL et de l’industrie pour les tests statiques de sécurité des applications (Sast), l’analyse de conteneurs et l’infrastructure en tant que validation de code côte à côte dans l’expérience de numérisation de code natif de GitHub.

Les utilisateurs seront également en mesure d’intégrer des moteurs de numérisation tiers pour afficher les résultats de tous leurs outils de sécurité dans une seule interface, et d’exporter plusieurs résultats d’analyse à travers une seule API. Hutchings a déclaré GitHub prévu de partager plus sur ses capacités d’extensibilité bientôt.

Le service sera offert gratuitement pour les référentiels github publics, et plus de détails sur la façon de permettre cela peut être trouvé en ligne. La fonctionnalité sera mise à la disposition des référentiels privés par l’intermédiaire des options de sécurité avancée payante de GitHub Enterprise.

Les utilisateurs intéressés à aider à sécuriser l’écosystème open source sont, comme toujours, invités à intervenir et à contribuer à la communauté CodeQL sur GitHub.

Continue Reading

Technologie

VMworld 2020 : VMware s’associe pour accélérer les applications d’entreprise

Published

on


L’événement virtuel VMworld 2020 a débuté avec VMware annonçant une collaboration avec Nvidia, dont les deux espèrent qu’elle fournira une informatique accélérée à faible coût pour l’entreprise.

Les deux entreprises ont annoncé qu’elles travailleraient sur une nouvelle architecture pour l’informatique de base, le cloud et les bords.

Grâce à ce partenariat, le hub NGC de Nvidia sera intégré à VMware vSphere, VMware Cloud Foundation et VMware Tanzu. Selon VMware, cela permettra d’accélérer l’adoption de l’intelligence artificielle (IA), permettant aux entreprises d’étendre l’infrastructure existante pour l’IA, de gérer toutes les applications avec un seul ensemble d’opérations et de déployer une infrastructure prête pour l’IA où les données résident, à travers le centre de données, le cloud et le bord.

La collaboration utilisera les unités de traitement des données (DPU) de Nvidia, l’infrastructure de nouvelle génération programmable BlueField-2 de Nvidia et VMware Cloud pour accélérer les applications d’entreprise.

« L’IA et l’apprentissage automatique sont rapidement passés des laboratoires de recherche aux centres de données dans les entreprises de pratiquement toutes les industries et toutes les géographies », a déclaré Jensen Huang, fondateur et PDG de Nvidia.

« Nvidia et VMware aideront les clients à transformer chaque centre de données d’entreprise en un supercalculateur d’IA accéléré. Nvidia DPU donnera aux entreprises la possibilité de construire des centres de données sécurisés, programmables et définis par logiciel qui peuvent accélérer toutes les applications d’entreprise à une valeur exceptionnelle.

Parallèlement au partenariat avec Nvidia, VMware a également élargi son soutien aux multi-clouds, se positionnant comme l’éditeur de logiciels qui rendra Kubernetes prêt à l’entreprise.

Dans son discours d’ouverture au début de l’événement Digital VMworld, le PDG de VMware, Pat Gelsinger, a expliqué pourquoi les délégués doivent faire avancer l’innovation numérique.

« Si nous ne prenons pas de recul et que nous réfléchissons profondément à l’avenir que nous voulons construire ensemble, ce serait une énorme occasion manquée », a-t-il déclaré.

Gelsinger a fait référence aux circonstances extraordinaires et difficiles de 2020 et a suggéré que les affaires sont au milieu d’une refonte fondamentale centrée sur l’innovation numérique.

Pour Gelsinger et VMware, Kubernetes va devenir la plate-forme d’entreprise pour les applications modernes, de la même manière que Java et Spring sont devenus les normes de facto pour le développement de logiciels. « ebernetes est l’API de facto [application programming interface] pour multi-cloud – tout comme Java il y a vingt », at-il dit. « Nous travaillons avec la communauté open source pour rendre l’entreprise Kubernetes consommable et facile à mettre en œuvre. »

C’est grâce à VMware Tanzu, qui a maintenant élargi sa portée à travers VMware Cloud sur AWS, Azure VMware Solution et Oracle Cloud VMware Solution, ainsi qu’un partenariat avec GitLab pour améliorer la vitesse avec laquelle le code peut être poussé dans la production.

VMware a déclaré qu’il a signé 75 partenaires à la communauté Tanzu, avec des centaines de clients maintenant en utilisant des produits Tanzu et un million de conteneurs en production. VMware a déclaré qu’il soutient des millions de développeurs chaque mois comme ils commencent de nouveaux projets en utilisant le cadre de printemps pour les microservices et le catalogue de la communauté Bitnami pour les images de conteneurs.

Continue Reading

Technologie

Les acteurs de la menace deviennent beaucoup plus sophistiqués

Published

on


Qu’il s’agisse de bandes criminelles organisées ou de groupes de menaces persistantes avancées (APT) soutenus par l’État ou affiliés à l’État, les acteurs de la menace ont considérablement accru leur sophistication au cours des 12 derniers mois, intégrant un arsenal de nouvelles techniques qui rend le repérage de leurs attaques de plus en plus difficile pour même les défenseurs les plus endurcis.

C’est ce qui se passe selon un nouveau rapport annuel publié aujourd’hui par Microsoft, Rapport sur la défense numérique, l’exploration de certaines des tendances les plus pertinentes en matière de cybersécurité de l’année écoulée.

« Compte tenu du bond de la sophistication des attaques au cours de l’année écoulée, il est plus important que jamais que nous prenions des mesures pour établir de nouvelles règles de la route pour le cyberespace : que toutes les organisations, qu’elles soient des agences gouvernementales ou des entreprises, investissent dans les personnes et la technologie pour aider à mettre fin aux attaques; et que les gens se concentrent sur les bases, y compris l’application régulière des mises à jour de sécurité, des politiques de sauvegarde complètes et, en particulier, permettant l’authentification multifacteur (AMF) », a déclaré Tom Burt, Microsoft corporate vice-président de la sécurité des clients et de la confiance, dans un billet de blog.

« Nos données montrent que l’activation de l’AMF aurait à elle seule empêché la grande majorité des attaques réussies. »

Entre autres choses, le rapport détaille comment les groupes APT s’engagent dans de nouvelles techniques de reconnaissance qui augmentent leurs chances de compromettre des cibles importantes, tandis que les groupes cybercriminels ciblant les entreprises sont de plus en plus dans le nuage pour se cacher parmi les services légitimes, et d’autres sont à venir avec des moyens novateurs de parcourir l’Internet public pour les systèmes qui pourraient être vulnérables.

Les acteurs de la menace ont également démontré une nette préférence pour la récolte d’informations d’identification via le phishing, et les attaques ransomware dans la dernière année – avec ransomware étant maintenant la raison la plus commune pour l’opération de sécurité de Microsoft pour lancer un engagement de réponse incident.

Les attaques ransomware sont clairement de plus en plus ciblées et planifiées, selon les données du rapport, avec des modèles d’attaque démontrant que les cybercriminels savent quand il y aura des gels de changement, tels que les jours fériés, qui ralentiront la capacité d’une organisation à répondre et à durcir leurs réseaux. Les opérateurs ransomware sont également maintenant clairement démontrer qu’ils sont bien conscients des besoins commerciaux de leurs cibles, et quels facteurs les inciteront à payer plutôt que d’encourir un long temps d’arrêt, par exemple au cours d’un cycle de facturation.

Burt a déclaré que les cybercriminels sont de plus en plus habiles à l’évolution de leurs techniques pour améliorer leurs chances de succès, l’expérimentation de nouveaux vecteurs d’attaque et des techniques d’obscurcissement, et l’exploitation de l’ordre du jour des nouvelles en évolution rapide pour changer leurs leurres. La pandémie de Covide-19 en particulier a donné aux cybercriminels une occasion en or de jouer sur la curiosité humaine et le besoin d’information.

Le rapport révèle comment la pandémie s’est également déroulée d’autres façons, les travailleurs à distance étant plus vulnérables en dehors du périmètre réseau de leurs organisations, et l’utilisation stratosphérique des applications web et cloud rendant les attaques DDoS soudainement beaucoup plus dangereuses.

Les acteurs soutenus par l’État-nation, quant à eux, évoluent également, changeant leurs objectifs pour s’aligner sur l’évolution des objectifs géopolitiques de leurs payeurs. Dans le passé, ces groupes avaient préféré se concentrer sur les vulnérabilités dans les infrastructures nationales essentielles (CNI), mais les statistiques de Microsoft ont révélé que 90% des notifications d’État-nation étaient contre d’autres cibles.

Par exemple, elle a signalé jusqu’à 16 groupes différents soutenus par l’État ciblant ses clients qui participent à la réponse de Covid-19, tels que les organismes gouvernementaux, les cibles de soins de santé, les ONG et les institutions universitaires et les organisations scientifiques travaillant sur les vaccins. Une chose qui n’a pas changé est l’origine de ces groupes, qui opèrent massivement à partir de la Chine, l’Iran, la Corée du Nord et la Russie.

Burt a exhorté à une « approche communautaire » à la cybersécurité aller de l’avant, en disant que même si le travail de sécurité de Microsoft est vaste, même une organisation de sa taille ne peut apporter une petite contribution à l’image globale.

« Il faut que les décideurs, le milieu des affaires, les organismes gouvernementaux et, en fin de compte, les individus fassent une réelle différence, et nous ne pouvons avoir un impact significatif que par le biais d’informations et de partenariats partagés », a-t-il dit.

« C’est l’une des raisons pour lesquelles nous avons lancé Rapport sur le renseignement de sécurité en 2005, et c’est l’une des raisons pour lesquelles nous avons évolué ce rapport dans ce nouveau Rapport sur la défense numérique. Nous espérons que cette contribution nous aidera tous à mieux travailler ensemble pour améliorer la sécurité de l’écosystème numérique.

Continue Reading

Trending