Powered By Blogger

Rechercher sur ce blogue

Aucun message portant le libellé rançongiciels. Afficher tous les messages
Aucun message portant le libellé rançongiciels. Afficher tous les messages

mardi 13 février 2024

Un affilié du groupe cybercriminel Netwalker condamné à six ans et huit mois de prison

 


Un affilié du groupe cybercriminel Netwalker condamné à six ans et huit mois de prison

Arrêté en janvier 2021 et accusé d’avoir mené des attaques informatiques avec le rançongiciel, un citoyen canadien a plaidé coupable, le 1er février, devant la justice de la province d’Ontario.

Par Florian Reynaud

Publié le 08 février 2022 à 14h03, modifié le 08 février 2022 

Emotet, Trickbot, Maze, Ryuk et maintenant Netwalker, le cybercrime s’est développé de manière exponentielle au cours de l’année passée. Les ransomwares ont touché des entreprises de toutes tailles et de tous les secteurs, privées comme publiques, et leur activité ne semble pas ralentir.

Rien qu’en 2019, les attaquants auraient extorqué 11,5 milliards de dollars à leurs victimes, contre 8 milliards en 2018. Les experts estiment que le coût des attaques de ransomwares augmentera de presque 100 % en 2021 pour atteindre 20 milliards de dollars. Netwalker (aussi appelé Mailto) a généré plus de 30 millions de dollars de rançons depuis sa première attaque d’envergure en mars.

Qu’est-ce que le ransomware Netwalker ?
Le ransomware Netwalker a été créé par le groupe cybercriminel Circus Spider en 2019 et connaît une croissance rapide. Le groupe Circus Spider est lui-même un des nouveaux membres du réseau Mummy Spider. En surface, Netwalker se comporte comme la plupart des autres ransomwares : il infecte les systèmes par le biais d’e-mails de phishing, avant d’exfiltrer et de chiffrer des données sensibles, puis de demander une rançon importante.

Malheureusement, Netwalker ne se contente pas de prendre les données de ses victimes en otage. Pour prouver son sérieux, le groupe Circus Spider n’hésite pas à faire fuiter des échantillons des données volées en affirmant que si la victime ne répond pas à ses exigences dans les temps, il diffusera le reste sur le dark web. Le groupe a par exemple dévoilé les données sensibles d’une de ses victimes sur le réseau interlope en les plaçant dans un dossier protégé dont le mot de passe a été publié en ligne.

Un citoyen canadien a été condamné, le 1er février, à une peine de six ans et huit mois d’emprisonnement pour avoir mené des attaques informatiques contre des entreprises et collectivités locales en complicité avec le groupe cybercriminel Netwalker, selon un document judiciaire récemment publié.

Netwalker est le nom d’un réseau opérant un rançongiciel du même nom utilisé pour paralyser le réseau informatique d’entreprises et d’administrations, en chiffrant toutes les données présentées sur les ordinateurs ciblés. Les victimes se voient alors demander une rançon par les attaquants, qui menacent généralement de publier en ligne des données confidentielles volées au cours de l’opération. Des infrastructures de Netwalker ont fait l’objet, en janvier 2021, d’une opération policière internationale, au cours de laquelle les autorités bulgares ont saisi un serveur utilisé par le groupe.

L’homme condamné par la justice canadienne, Sébastien Vachon-Desjardins, était un affilié de Netwalker, c’est-à-dire qu’il n’a pas développé lui-même le logiciel mais l’utilisait pour mener des attaques, en infiltrant le système informatique de ses victimes. Il était accusé d’avoir rançonné dix-sept « entités canadiennes » et « d’autres à travers le monde », selon un tribunal canadien.

Près de 720 bitcoins saisis

Arrêté en janvier 2021, après plusieurs mois d’enquête et sur la base d’informations communiquées par les autorités américaines, M. Vachon-Desjardins a, selon le document judiciaire, plaidé coupable et reconnu les faits qui lui étaient reprochés. Il a reconnu que près de 1 200 bitcoins avaient transité sur son porte-monnaie numérique, pour être répartis entre les différents membres de Netwalker. Près de 720 bitcoins (un peu plus de 20 millions d’euros à l’époque) ont été saisis au moment de son arrestation.

Le jugement de la justice canadienne éclaire, par ailleurs, le rôle que M. Vachon-Desjardins a joué en tant que complice de Netwalker. Il a notamment participé à l’amélioration du message de rançon utilisé par le groupe et ses affiliés pour menacer leurs victimes et « a convaincu le créateur de Netwalker » d’utiliser des « mixers », des outils servant à brouiller les transactions en cryptomonnaies pour compliquer le travail des enquêteurs judiciaires. Il est également soupçonné d’avoir formé d’autres potentiels cyberdélinquants et criminels :

« L’accusé excellait dans ce qu’il faisait. Entre dix et quinze individus non identifiés ont recruté l’accusé pour qu’il leur apprenne ses méthodes. Certaines de ces activités bénéficiaient à ceux qui étaient intéressés par la sécurisation des réseaux informatiques pour empêcher ces attaques. Certains des élèves de l’accusé étaient probablement d’autres cyberacteurs malveillants. »

Déjà condamné au Canada pour des affaires (non liées) de trafic de drogues, Sébastien Vachon-Desjardins a également été inculpé par la justice américaine, en décembre 2020, pour son implication dans les activités du groupe Netwalker.

Lire aussi : Article réservé à nos abonnés Ce que l’on sait sur les auteurs et gangs de rançongiciels

REF.: lemonde.fr
https://www.varonis.com/fr/blog/guide-sur-le-ransomware-netwalker-tout-ce-quil-vous-faut-savoir

lundi 26 septembre 2022

Les hackers de REvil ont été arrêtés par le FSB sur ordre des États-Unis

 

 

Les hackers de REvil ont été arrêtés par le FSB sur ordre des États-Unis

Le FSB a mené des perquisitions à 25 adresses liées à 14 suspects appartenant à REvil. Il semble que ce soit la fin du règne pour le célèbre groupe cybercriminel, spécialisé dans les attaques par rançongiciel.
 

Vendredi 14 janvier 2022, les services de renseignement russes (FSB) ont confirmé avoir mené une opération contre le célèbre groupe cybercriminel REvil. Des arrestations exigées par les États-Unis, pour stopper l’un des plus importants réseaux criminels dans le monde, pratiquant les attaques par rançongiciel.

La fin du règne pour REvil ?

Le FSB précise qu'au moment des perquisitions, 426 millions de roubles (4,9 millions d’euros), 600 000 dollars et 500 000 euros ont été saisis, ainsi que des portefeuilles de cryptomonnaies et une vingtaine de voitures de luxe. Les services de renseignement russes affirment que l'intégralité du groupe cybercriminel aurait été démantelé.




La Russie précise que l'enquête et les arrestations ont été diligentées par les autorités américaines compétentes. Une coopération inédite entre les deux grandes puissances mondiales, pour mettre fin aux actions d'un réseau cybercriminel extrêmement actif. L'administration américaine s'est dite satisfaite des résultats de cette enquête.

REvil était un groupe cybercriminel très recherché. Les hackers russophones faisant partie de cette organisation ont fait plusieurs victimes très importantes. On pense par exemple à Quanta, un sous-traitant d’Apple, ou encore la filiale américaine du groupe brésilien du secteur de la viande JBS. Ce n'est pas tout, le logiciel DarkSide, développé par des associés de REvil a été utilisé pour le piratage de Colonial Pipeline en mai 2021...

Un travail de longue haleine

À l'automne, de premières arrestations de hackers liés au groupe REvil avaient eu lieu dans le cadre de l’opération GoldDust impliquant 17 pays, dont la France, ainsi qu’Interpol, Europol et Eurojust. À l'époque, Yaroslav Vasinskyi, un jeune ukrainien de 22 ans particulièrement recherché pour avoir mené l’attaque contre Kaseya début juillet 2021, avait été arrêté. Dans le cadre de cette opération, le jeune pirate avait réclamé 58 millions d'euros.

Dans le même temps, un autre Ukrainien, Evgeniy Igorevich Polyanin, avait également été inculpé, sans être arrêté. Il est soupçonné d’avoir mené, en 2019, une attaque contre près de 40 municipalités du Texas. Quelques semaines avant ces premières arrestations, les autorités américaines avaient mené une cyberattaque contre REvil.

À l'époque, Tom Kellermann, responsable de la stratégie de cybersécurité de VMWare expliquait que « le FBI, en collaboration avec le Cyber Command, les services secrets et des pays partageant les mêmes idées, a mené des actions perturbatrices importantes contre ces groupes cybercriminels ». La Maison-Blanche avait refusé de commenter car l'opération était toujours en cours. Aujourd'hui, REvil semble bel et bien à terre.

 

REF.:   https://siecledigital.fr/2022/01/17/les-hackers-de-revil-ont-ete-arretes-sur-ordre-des-etats-unis/

mercredi 29 décembre 2021

Comment se prémunir d’une attaque par un rançongiciel?

 

 

Comment se prémunir d’une attaque par un rançongiciel?

Les infections par rançongiciels se produisent de différentes manières, notamment par l'intermédiaire de sites Web non sécurisés et frauduleux, de téléchargements de logiciels et de pièces jointes malveillantes. Tout le monde peut être visé - particuliers et entreprises de toutes dimensions.

Heureusement, il existe des moyens de vous préparer et de réduire la probabilité de vous retrouver face à un ordinateur portable verrouillé ou à un fichier chiffré. Vous pouvez réduire considérablement les risques d'infection en appliquant des mesures de sécurité et en faisant attention en ligne.

Les directives suivantes vous aideront à rester vigilant et préparé. La liste comprend également les mesures à prendre si votre appareil ou votre système en vient à être infecté.

 

Outil de déchiffrement pour rançongiciel:

 ATTENTION! Avant de télécharger et de lancer la solution, lisez le guide d'utilisation. Vérifiez que vous avez bien retiré le logiciel malveillant de votre système avant de lancer la procédure. Dans le cas contraire, vos données seront de nouveau bloquées et chiffrées. Un antivirus fiable peut se charger de retirer le logiciel malveillant.

 

 

REF.:  ICI ;  https://www.nomoreransom.org/fr/decryption-tools.html

 

lundi 20 décembre 2021

Ransomware ça va mal: Un Canadien inculpé pour avoir lancé des attaques

 

 

Ransomware ça va mal: Un Canadien inculpé pour avoir lancé des attaques

Sécurité : Les autorités américaines enquêtaient depuis 2018 sur le citoyen canadien Matthew Philbert, âgé de 31 ans.

Le FBI et le département de la Justice américain ont levé hier les scellés des actes d'accusation contre le Canadien Matthew Philbert, 31 ans, pour son implication présumée dans plusieurs attaques de ransomware.

Des représentants de la police canadienne ont tenu une conférence de presse ce mardi pour annoncer les accusations et l'arrestation du prévenu à Ottawa.

Le suspect serait affilié à un groupe de ransomware

Dans un communiqué, le procureur américain Bryan Wilson, du district de l'Alaska, indique que Matthew Philbert « a conspiré avec d'autres personnes connues et inconnues des Etats-Unis pour endommager des ordinateurs. Dans le cadre de cette conspiration, il a endommagé un ordinateur appartenant à l'Etat d'Alaska en avril 2018 ».

La justice canadienne a également annoncé des accusations contre le Canadien, notant qu'il avait été arrêté le 30 novembre. Les fonctionnaires n'ont pas précisé de quel groupe de ransomware il faisait partie ni de quelles attaques il était responsable.

« Les cybercriminels sont opportunistes et cibleront toute entreprise ou personne qu'ils identifient comme étant vulnérable », avertit Chuck Cox, commissaire adjoint de la police provinciale de l'Ontario.

Une nouvelle coopération entre les forces de l'ordre

Le suspect est notamment accusé de complot en vue de commettre une fraude et de fraude et d'activité connexe en rapport avec des ordinateurs. Bryan Wilson et les fonctionnaires canadiens soulignent qu'ils ont reçu l'aide des autorités néerlandaises et d'Europol dans cette affaire.

Au cours de la conférence de presse, Chuck Cox a indiqué que le FBI avait contacté les autorités canadiennes au sujet des activités de Matthew Philbert, notamment au sujet des attaques par ransomware contre des entreprises, des organismes gouvernementaux et des particuliers.

Lors de l'arrestation de Matthew Philbert, la police a indiqué qu'elle avait pu saisir plusieurs ordinateurs portables, des disques durs, des cartes vierges à bande magnétique et une phrase de passe permettant de récupérer l'accès à un portefeuille de cryptomonnaie.

Des cybercriminels basés partout dans le monde

En janvier, la police de Floride a arrêté un autre citoyen canadien en relation avec plusieurs attaques du groupe de ransomware Netwalker. Selon le département de la Justice américain, le suspect a réussi à gagner environ 27,6 millions de dollars grâce à plusieurs attaques par ransomware contre des organisations canadiennes comme la Northwest Territories Power Corporation, l'Ordre des infirmières et infirmiers de l'Ontario et un magasin de pneus situé en Colombie-Britannique.

D'après Brett Callow, analyste des menaces chez Emsisoft, on suppose généralement que les attaques par ransomware proviennent de Russie. Mais, même si le ransomware peut être "fabriqué" dans ce pays, il explique que les cybercriminels qui l'utilisent pour mener des attaques peuvent être basés n'importe où.

« En fait, il y a tellement d'argent à gagner avec les ransomwares qu'il serait extrêmement surprenant que des individus de pays comme le Canada, les Etats-Unis et le Royaume-Uni ne soient pas entrés sur le marché. Toutefois, ces personnes dorment peut-être un peu moins bien la nuit qu'avant. Dans le passé, il n'y avait pratiquement aucune chance qu'ils soient poursuivis pour leurs crimes, mais cela commence enfin à changer », affirme l'analyste à ZDNet.

Source : ZDNet.com

 

REF.:   https://www.zdnet.fr/actualites/ransomware-un-canadien-inculpe-pour-avoir-lance-des-attaques-39933783.htm?utm_source=NL_cybersecurite&utm_medium=email&utm_campaign=ZD_NL_cybersecurite&utm_content=&utm_term=20211220

Le ransomware Conti exploite Log4Shell pour attaquer VMware vCenter

 

 

Le ransomware Conti exploite Log4Shell pour attaquer VMware vCenter

Le ransomware Conti est très actif et il compte bien profiter de l'apparition de la faille de sécurité Log4Shell pour faire de nouvelles victimes. Son objectif : compromettre une instance VMware vCenter afin de chiffrer les machines virtuelles.

La faille de sécurité dans la bibliothèque Log4j représente un nouveau vecteur d'attaque très intéressant pour les pirates informatiques. En effet, cette faille peut-être exploitée à distance sans nécessiter d'authentification au préalable.

Après l'apparition d'un nouveau ransomware nommé Khonsari et qui pourrait s'en prendre aux serveurs Minecraft dans les prochains jours, c'est Conti, un ransomware bien connu, qui cherche à tirer profit de cette vulnérabilité. Malheureusement, la liste des groupes de pirates qui exploitent la faille Log4Shell devrait s'agrandir jour après jour.

De nombreux services et produits sont vulnérables à cette faille de sécurité, dont VMware avec plusieurs dizaines de produits différents estampillés comme étant vulnérables. Pour information, VMware vSphere ESXi n'est pas vulnérable, ce qui n'est pas le cas de VMware vCenter Server.

Je ne vais pas vous dire de patcher votre serveur vCenter de toute urgence, car pour le moment le correctif n'est pas encore disponible. D'ailleurs, vous pouvez suivre l'évolution de la situation sur le site de VMware au sein du bulletin de sécurité VMSA-2021-0028.

Normalement, les serveurs VMware vCenter ne sont pas exposés directement sur Internet. De ce fait, ce ne sera pas le point d'entrée d'origine de l'attaque. Par contre, si l'attaquant a déjà pris le contrôle d'un autre équipement, il peut se déplacer sur le réseau pour compromettre le serveur VMware vCenter (ou un autre produit VMware concerné par cette faille de sécurité). Après avoir pris le contrôle du serveur vCenter, l'attaquant peut déployer la charge finale : le ransomware Conti afin de chiffrer les machines virtuelles.

La vulnérabilité Log4Shell est idéale pour réaliser des mouvements latéraux sur un réseau afin de passer d'un hôte à un autre, et de progresser.

En complément, vous pouvez consulter l'analyse d'AdvIntel sur l'utilisation de la faille Log4j par le gang Conti. Pour rappel, ce gang est à l'origine de plusieurs centaines d'attaques, avec une liste de victimes qui compte plus de 600 entreprises n'ayant pas payé la rançon.

Source

mercredi 20 octobre 2021

Le rançongiciel Conti: Michel Tremblay, Paul Arcand, Anne Dorval, Denys Arcand, Chrystine Brouillet et Michel Charette,victimes de piratages

Le rançongiciel Conti: Michel Tremblay, Paul Arcand, Anne Dorval, Denys Arcand, Chrystine Brouillet et Michel Charette,victimes de piratages

 

L’agence d’artistes Goodwin victime d’un rançongiciel

Camille Goodwin et ses deux filles, Marie-Claude et Nathalie Goodwin, associées de l’agence d’artistes Goodwin, victime d’une cyberattaque au rançongiciel Conti

Des cyberpirates ont attaqué les serveurs de la prestigieuse Agence Goodwin, qui représente des dizaines d’artistes et d’animateurs, dont Michel Tremblay, Paul Arcand, Anne Dorval, Denys Arcand, Chrystine Brouillet et Michel Charette.


Hugo Joncas, La Presse

Les pirates du groupe russophone Conti se spécialisent dans les attaques au rançongiciel. Ils volent habituellement les données ciblées avant de les endommager en les cryptant. La victime doit ensuite payer une somme d’argent si elle veut les récupérer et éviter qu’elles ne se retrouvent en ligne.

Goodwin assure avoir rétabli la situation, mais l’agence ignore à quelles informations les pirates ont pu accéder, et s’ils les ont bel et bien exfiltrées.

« On a reçu un message qui menaçait de sortir des données, explique Nathalie Goodwin, l’une des associées de l’agence. Ils sont allés chercher des informations sur nos serveurs. »

Une employée a noté que quelque chose n’allait pas le matin du 8 octobre en voulant consulter les horaires de comédiens sur le site. La page s’est affichée en chinois.

L’équipe a alors pris contact avec son consultant informatique, qui a réalisé que le mot de passe pour accéder aux serveurs avait été modifié. Il a compris que l’agence était victime d’une attaque informatique et a débranché les systèmes.

Cette action rapide a permis à Goodwin de limiter les dommages.

« Il restait cette menace qui planait sur un certain nombre de données d’entreprise qu’ils allaient publier si on ne les contactait pas, ce qu’on n’a pas encore fait », explique Nathalie Goodwin.

L’équipe de cybercriminalité de la police de Montréal a contacté l’agence pour s’assurer qu’elle était au courant de l’attaque, ce qui était bien le cas.

« Tous nos clients et nos employés ont été dûment avisés, comme il se doit, et informés des mesures à prendre personnellement », assure Nathalie Goodwin.

Selon les vérifications qu’a fait faire l’agence, les pirates seraient passés par le logiciel de courriels Outlook de Microsoft.

Données vraisemblablement volées

Les cybercriminels qui ont frappé Goodwin ont probablement déjà volé des informations sur le serveur ciblé, note Brett Callow, analyste des cybermenaces pour la firme d’antivirus Emsisoft.

« Comme plusieurs autres gangs, Conti vole les données de sa victime avant de déployer le rançongiciel qui crypte les fichiers, dit-il. Si elle ne paie pas, ou pas assez vite, Conti publie les données volées sur son site. »

Selon un rapport récent de la Cybersecurity & Infrastructure Security Agency (CISA) américaine, le gang est devenu ces derniers mois l’un des plus actifs dans le rançongiciel, avec « plus de 400 attaques » à son actif à la fin du mois de septembre.

C’est Conti qui a servi à mener la grave attaque ayant paralysé le système de santé irlandais en mai, comme l’explique cet article du quotidien Le Monde.

La CISA, tout comme un autre rapport de l’Agence française de la sécurité des systèmes d’information, classe Conti dans la catégorie « ransomware-as-a-service » : un rançongiciel en location. Le programme est ainsi offert pour d’autres gangs qui l’utilisent afin d’extorquer leurs propres cibles.

Au Québec, Conti a servi à attaquer les Hurons de Wendake et le distributeur d’équipements électriques Guillevin International en 2020, puis la MRC Antoine-Labelle, dans les Laurentides, en août.

Informations à vendre

Quatre jours après l’attaque de Goodwin, le 12 octobre, l’agence s’est retrouvée sur le site du « cartel », tel que Conti se désigne lui-même.

Juste en haut de la page, le gang lance un avertissement à ses « clients » (lire « victimes ») qui ne le contactent pas après une attaque. « Si vous êtes un client qui a décliné l’offre et que vous ne trouvez pas vos données sur le site du cartel ou que vous ne trouvez pas de fichiers sensibles, ça ne veut pas dire que nous vous avons oublié, ça veut seulement dire que les données ont été vendues et que nous les avons ensuite retirées de l’accès gratuit ! », indique son site en anglais.

Pour l’instant, dans la page consacrée à Goodwin, le gang n’affiche que des coordonnées professionnelles d’employés et les informations de base sur l’agence.

 

« Si vous êtes un client qui a décliné l’offre et que vous ne trouvez pas vos données sur le site du cartel ou que vous ne trouvez pas de fichiers sensibles, ça ne veut pas dire que nous vous avons oublié, ça veut seulement dire que les données ont été vendues et que nous les avons ensuite retirées de l’accès gratuit ! », indique le site en anglais.

Nathalie Goodwin dit qu’elle « ne voudrai[t] pas avoir à tomber dans le piège de payer une rançon ». « Je ne pense pas que ça soit une bonne chose de le faire. »

Les autorités américaines lui donnent raison et « déconseillent fortement » de céder. « Payer une rançon risque d’enhardir les pirates » et « ne garantit pas que les fichiers de la victime seront récupérés », souligne le rapport de la CISA.

Juste à côté du texte sur Goodwin, le site de Conti mentionne d’autres victimes récentes et offre gratuitement des données volées en téléchargement.

C’est le cas par exemple d’une des toutes dernières victimes du gang, JVCKenwood. Conti a commencé à publier des dizaines de fichiers volés à l’entreprise japonaise d’électronique en septembre. 

 

REF.:

jeudi 28 janvier 2021

Rançongiciels: Communauto a négocié avec des cybercriminels

 

 

Rançongiciels: Communauto a négocié avec des cybercriminels

La compagnie a vraisemblablement payé une rançon, selon des experts

L’entreprise d’autopartage Communauto a négocié avec des pirates informatiques après une cyberattaque. Tout porte à croire qu’elle a payé une rançon pour éviter de perdre des données ou de les retrouver sur le dark web.

• À lire aussi: L’ex-club de golf de Céline Dion aussi attaqué

La direction de l’entreprise n’a pas confirmé avoir effectué un paiement, mais reconnaît avoir entrepris des pourparlers avec les pirates dans un message du PDG de la compagnie à ses abonnés.

« Suite à des négociations avec les pirates, les experts ont obtenu d’eux une assurance raisonnable qu’ils auraient détruit les données auxquelles ils auraient pu avoir accès », écrit Benoît Robert.

Pour les experts qu’a consultés notre Bureau d’enquête, une telle formulation ne laisse toutefois planer aucun doute.

« Ce phrasé-là laisse entendre qu’ils ont payé, dit Patrick Mathieu, cofondateur du Hackfest et chef de la sécurité offensive pour le concepteur de logiciels LogMeIn. Ils ont négocié le prix à la baisse. »

Dans une entrevue avec notre Bureau d’enquête, le vice-président, développement stratégique chez Communauto, Marco Viviani, se contente de dire que l’entreprise était arrivée, « disons, à un bilan dommages/bénéfices acceptable ».

Acteurs de mauvaise foi

Les pirates, qui ont encrypté des données de la compagnie et verrouillé ses accès à certains serveurs, appartiennent au gang REvil/Sodinokibi.

Brett Callow, analyste des cybermenaces pour la firme d’antivirus Emsisoft, déplore que les victimes de rançongiciels accordent encore de la crédibilité aux engagements de tels criminels.

« Ces promesses sont faites par des acteurs de mauvaise foi et n’ont aucune valeur, dit-il. Des groupes comme REvil ont déjà publié des données qu’ils prétendaient avoir détruites, ou les ont réutilisées pour faire de l’extorsion. »

C’est aussi le signe que Communauto « n’avait pas de solution de reprise des activités » et qu’ils n’ont pas fait suffisamment de tests, déplore Patrick Mathieu.

Marco Viviani défend la décision de l’entreprise. Communauto n’a pas eu d’aide de la police ou des organisations de protection de la vie privée, dit-il.

« On a fait nos notifications aux autorités et après on était pas mal tout seuls. »

Les serveurs ciblés contenaient notamment des noms, des adresses civiques et des adresses courriel de membres.

L’entreprise assure que les données les plus sensibles, comme les mots de passe, les numéros de cartes de crédit et les trajets réalisés avec les véhicules, ne figurent pas parmi les données compromises.

Le gang qui a ciblé Communauto, REvil, vole les renseignements de ses cibles avant de les encrypter, puis le gang les publie en ligne si elles ne paient pas.

Communauto compte plus de 100 000 membres, dont 60 000 au Québec.


Vous avez de l’information sur la cybersécurité ? Contactez notre journaliste à hjoncas@protonmail.com ou au 438 396-5546 (cell., Signal)

 

REF.:

L’ex-club de golf de Céline Dion attaqué

 

 

L’ex-club de golf de Céline Dion attaqué

Après une cyberattaque au rançongiciel ayant « mis en péril » ses données confidentielles et celles de ses prestigieux membres l’été dernier, l’ancien club de golf de Céline Dion poursuit son fournisseur informatique.

• À lire aussi: Communauto a négocié avec des cybercriminels

Le 22 juillet au matin, le système de comptabilité du très sélect club de golf Le Mirage ne répondait plus. Des pirates venaient de crypter ses données en passant par un logiciel de son fournisseur informatique, HelpOx.

Alertée dès le matin, cette compagnie de Mascouche n’a toutefois rien dit sur l’attaque, selon la poursuite du Mirage, revendu en novembre à Mario Messier et aux anciens joueurs de hockey Serge Savard et José Théodore.

C’est finalement une autre entreprise embauchée d’urgence qui l’a informé que des pirates avaient attaqué le golf de Terrebonne. Ils demandaient une rançon de 1,4 M$ US pour décrypter les données des clients de HelpOx.

Données en péril

L’attaque qu’a causée son fournisseur a non seulement interrompu les activités du Mirage, mais elle a aussi mis en péril « les données informatiques [...], incluant ses renseignements confidentiels et ceux de ses clients », affirme la poursuite du prestigieux club privé.

Selon nos informations, rien n’indique que des données aient fuité, mais rien ne peut l’exclure non plus, des pirates ayant pénétré dans les serveurs.

Le Mirage a refusé de commenter. 

« Vos questions concernent une période antérieure à notre acquisition et relèvent du propriétaire précédent », déclare Mario Messier, selon un courriel de son porte-parole, Jean-Maurice Duddin.

La poursuite a pourtant été déposée en décembre, alors qu’il était déjà propriétaire.

« Omissions et négligences »

Le Mirage réclame 141 691 $ à HelpOx pour les frais encourus, « en raison des fautes graves, omissions et négligences commises ».

Quand Le Mirage a contacté la compagnie, le 22 juillet au matin, un employé s’est contenté de déclarer que HelpOx éprouvait « un problème mondial » affectant tous ses clients, selon la poursuite.

En soirée, alors que le club avait passé la journée à tenter de régler son problème, un responsable « a feint de ne pas être au courant des détails » de son problème, rapporte la requête.

Le lendemain soir, une autre compagnie appelée en renfort, Microfix, a rapidement constaté qu’un rançongiciel de type REvil/Sodinokibi avait frappé.

REF.: – Avec la collaboration de Diane Meilleur

lundi 7 décembre 2020

Rançongiciel : Xpertdoc,l’Université de Californie,Sollio Groupe coopératif (ex-Coop fédérée),MTY(qui détient notamment les marques Mikes, Scores, Valentine et Thaï Express) par NetWalker

 Rançongiciel : Xpertdoc,l’Université de Californie,Sollio Groupe coopératif (ex-Coop fédérée),MTY(qui détient notamment les marques Mikes, Scores, Valentine et Thaï Express) par NetWalker

 

Des pirates ciblent une filiale de MTY

Des cyberpirates ont attaqué la filiale américaine du géant de la restauration MTY le 17 novembre. L’entreprise montréalaise, qui détient notamment les marques Mikes, Scores, Valentine et Thaï Express, a tout de même évité le pire.

Le rançongiciel du gang NetWalker s’en est pris à Kahala Brands, le franchiseur américain que MTY a acquis en 2016.

« Ils ont essayé d’encrypter les données sur nos serveurs, mais ils n’ont pas réussi, dit le chef de la direction de MTY, Éric Lefebvre. Notre sécurité informatique a levé le flag assez vite. »

NetWalker vient également de s’attaquer à Sollio Groupe coopératif (ex-Coop fédérée) avec plus de succès, rapportait notre Bureau d’enquête le 17 novembre.

Tentative d’extorsion

Ces cyberpirates, reconnus pour leurs cibles d’envergure, se vantent sur le web caché (dark web) d’avoir copié des dizaines de dossiers issus des serveurs de Kahala. Ils menacent d’en divulguer le contenu le 1er décembre s’ils ne sont pas payés.

Comme ils n’ont pas réussi à terminer le travail, MTY n’a cependant pu consulter aucune demande de rançon.

« S’il y en a une à payer, ça sera à la compagnie d’assurance de le faire, pas à MTY », précise Éric Lefebvre.

Fidèle à son habitude, NetWalker présente sur le dark web une liste d’éléments qu’il prétend avoir copiés, dont des dossiers « Legal », « Legal Tax Share », « LLC Payroll » et « HR », comme dans « human resources » (ressources humaines).

MTY, inscrite à la Bourse de Toronto, a embauché une firme spécialisée pour savoir ce que le gang a pu dérober au juste.

« La question, c’est : est-ce qu’ils ont quelque chose, ou rien ? » dit Éric Lefebvre.

Il précise que les données les plus sensibles de MTY ne sont pas hébergées sur le réseau de Kahala aux États-Unis, mais bien sur les serveurs de la maison-mère montréalaise.

Hyperactifs

NetWalker multiplie les victimes depuis l’an dernier.

Au Québec, en plus de Sollio, le gang a piégé Xpertdoc, qui a payé une rançon pour récupérer les données sur des policiers volées sur ses serveurs.

Ces cybercriminels ont aussi empoché 1,14 M$ US de l’Université de Californie à San Francisco, qui travaillait sur un vaccin contre la COVID-19, selon la BBC.

 

REF.:

mercredi 18 novembre 2020

Des cybercriminels se sont servis des données volées à une entreprise de machinerie de Sherbrooke

 

 

 

Des cybercriminels se sont servis des données volées à une entreprise de machinerie de Sherbrooke pour mener une attaque au rançongiciel et lui dérober 91 250$ US.

• À lire aussi: Leurs données commerciales publiées en ligne

• À lire aussi: Une vraie épidémie

Le matin du 23 octobre, le gérant des Équipements Marquis, Christian Corriveau, a eu la mauvaise surprise de trouver son réseau hors service. Rien de plus louche: nouveaux comptes d’utilisateurs apparus, mots de passe changés... Manifestement l’œuvre de pirates.

«À l’imprimante, j’ai vu qu’il y avait un paquet de feuilles», relate-t-il. Les hackers avaient fait sortir les instructions pour les contacter. L’attaque est l’œuvre du dernier-né des rançongiciels: Egregor. 

«Il y a eu un sentiment de panique partout, rapporte le président de l’entreprise, Jean-Guy Marquis. On a changé le serveur, changé les ordinateurs... Pendant ce temps-là, le commerce, il faut qu’il roule!»

Pas question de payer la rançon à ces criminels. 

«Le rançongiciel, c’est une mafia qui s’est montée», dénonce-t-il.

De toute façon, l'entreprise avait de bonnes sauvegardes et aucune information n’a été perdue. Elle était tout de même loin d’être au bout de ses peines.     

  • Écoutez le président de l'entreprise, Jean-Guy Marquis, ainsi que Damien Bancal, expert en cybersécurité, sur QUB radio:    

Détournement de fonds

Quatre jours plus tard, Équipements Marquis avait un virement électronique de 91 250$ US à faire, soit près de 120 000$ CA.

Pendant la transaction, la secrétaire a reçu un appel qui semblait provenir de la Banque Royale, relate le patron. «Le gars lui a dit, en anglais: “Attends un peu, on a un problème.”»

C’est à ce moment-là que l’ordinateur a gelé et que l’entreprise a compris qu’elle venait de se faire avoir. «On a averti la banque tout de suite», assure Jean-Guy Marquis, qui a aussi fait déconnecter tout le réseau.

De toute évidence, l’appel ne provenait pas de la banque, mais d’un criminel qui a utilisé une application pour afficher un numéro différent du sien.

«Ça sous-entend que la machine était surveillée par des pirates», dit Damien Bancal, chef de la cyberintelligence chez 8Brains. Toujours connectés, ils attendaient l’occasion de s’en mettre plein les poches depuis cinq jours.

Jean-Guy Marquis a pris des avocats pour tenter de se faire rembourser. La Banque Royale soutient toutefois qu’elle n’est pas responsable de sa perte, dit-il.

En attendant, l’argent est bloqué dans un compte de la Chase Manhattan Bank à New York.   

  • Écoutez la chronique de Félix Séguin au micro de Richard Martineau, sur QUB radio:   

Un gang en expansion

Notre Bureau d’enquête a pu consulter en ligne les renseignements que les cyberpirates ont volés aux Équipements Marquis. Ils contiennent notamment des données permettant de se connecter au compte de l’entreprise qu’ils ont ciblé.

Les malfaiteurs ont utilisé Egregor, un tout nouveau rançongiciel mentionné pour la première fois en septembre dernier sur les sites spécialisés. Les cybercriminels peuvent le louer pour monter leurs propres attaques.

« Leurs chiffres explosent, c’est assez fou », dit Damien Bancal, qui a aidé notre Bureau d’enquête à repérer les données volées aux Équipements Marquis sur le web caché (dark web). Selon sa compilation, Egregor a déjà fait 111 victimes dans le monde depuis septembre.

 

REF.:

lundi 12 août 2019

Un groupe de maires américains affirme ne plus vouloir payer de rançon aux pirates informatiques Technologie :



Un groupe de maires américains affirme ne plus vouloir payer de rançon aux pirates informatiques
Technologie : 

Ils promettent de ne pas céder à d'autres demandes d'extorsion à la suite de la vague d'attaques subie ces derniers mois.
La Conférence des Maires des Etats-Unis a adopté à l'unanimité hier une résolution visant à ne plus payer de rançon aux pirates suite à des infections par ransomware.


"Le paiement de rançons aux pirates encourage la poursuite des attaques contre d'autres systèmes gouvernementaux, car les auteurs en tirent un avantage financier" peut-on lire dans la résolution adoptée. "La Conférence des maires des États-Unis a tout intérêt à désinciter ces attaques afin d'empêcher qu'elles ne se poursuivent".

"Qu'il soit résolu que la Conférence des Maires des États-Unis soit unie contre le paiement d'une rançon en cas d'atteinte à la sécurité informatique." La résolution adoptée cette semaine lors de la 87e réunion annuelle de la Conférence des maires des États-Unis n'a aucune valeur juridique contraignante, mais peut être utilisée comme une position officielle pour justifier des mesures administratives, tant pour les autorités fédérales que pour les contribuables.

22 municipalités infectées par le logiciel de rançon en 2019

La Conférence des Maires comprend plus de 1.400 maires des Etats-Unis, représentant des villes de plus de 30.000 habitants.

L'organisation a déclaré qu'"au moins 170 systèmes (informatiques) de comté, de ville ou d'état ont subi une attaque de ransomware depuis 2013", et "22 de ces attaques ont eu lieu en 2019 seulement".

Un rapport de la société américaine de cybersécurité Recorded Future, publié en mai, soutient les chiffres de l'organisation et souligne une recrudescence des attaques de rançon visant les villes américaines.

Les victimes précédentes comprennent Lynn (Massachusetts), Cartersville (Georgia), Jackson County (Georgie), et Key Biscayne (Floride), pour n'en nommer que quelques-unes. Pas plus tard que cette semaine, la ville de Richmond Heights, en Ohio, a été victime d'une attaque de rançon.

La résolution a été proposée par le maire de Baltimore, Bernard Young, dont le réseau informatique de la ville a été infecté par des logiciels de rançon en mai dernier. Les pirates informatiques ont demandé une rançon de 75 000 $, mais la ville a refusé de payer et restauré à partir de sauvegardes et reconstruit son réseau informatique. Les coûts ont finalement gonflé à plus de 18 millions de dollars.

Mais beaucoup des attaques ont réussi par l'obtention de rançons. Deux villes de Floride ont payé un million de dollars à des pirates informatiques pour obtenir des clés de décryptage afin de déverrouiller et de récupérer leurs données.

Le manque de sauvegardes aide les attaquants

Les pirates informatiques exploitent le fait que certaines villes ne sauvegardent pas leurs données et n'ont d'autre choix que de payer pour récupérer des documents essentiels, sous peine de se voir infliger d'énormes amendes.

Le FBI et les experts en cybersécurité conseillent habituellement de ne pas payer la demande de rançon, à moins qu'il n'y ait aucun autre moyen de récupérer les données. Tous incitent les municipalités à mettre en place des routines de sauvegarde des données.

La plupart des villes paient des demandes de rançon par le biais de polices de cyberassurance. Les villes doivent alors reconstruire des réseaux, ce qui coûte généralement plus cher que de payer la rançon, et c'est une étape qu'elles auraient dû franchir même si elles avaient payé la rançon ou non. C'est la raison pour laquelle la plupart des demandes de rançon finissent par coûter des millions de dollars, et beaucoup soutiennent qu'une partie de cet argent ne devrait jamais tomber entre les mains des cybercriminels.

"Payer une rançon, c'est essentiellement aider l'ennemi" a déclaré Joel Esler, de Talos Communities. "Il est plus facile de générer des revenus à partir de clients existants que d'en trouver de nouveaux" complète Mitch Neff, de Talos Communities. "Payer la rançon fait de vous un client, (...) et d'autres acteurs se feront concurrence pour (toucher) votre entreprise. La rançon elle-même n'est que le coût initial et ne vous avance pas plus que vous ne l'étiez au moment de de l'attaque" ajoute Neff.

"Les notifications, la formation à la sécurité et le réoutillage des plates-formes de sécurité pour s'attaquer à la cause profonde seront beaucoup plus coûteux. Le prix des sauvegardes et de la planification de la reprise après sinistre vaut très largement le paiement d'une rançon."

Mais la triste réalité est que la plupart des victimes, qu'il s'agisse de municipalités ou de particuliers, finissent par payer.

Selon un rapport que la société de cybersécurité Coveware prévoit de publier mardi prochain, le montant moyen de la rançon versée au T2 2019 était de 36 295 $, en hausse de 184 % par rapport au T1.


REF.: Article "US mayors group adopts resolution not to pay any more ransoms to hackers" traduit et adapté par ZDNet.fr

dimanche 22 décembre 2013

Microsoft prédit 8 menaces majeures en 2014 dont Windows XP

Sécurité : L'année 2014 sera - comme chaque année - pleine de menaces et d'espoirs pour la sécurité informatique. Microsoft fait un tour des prédictions parfois convenu.


Microsoft a publié un billet de blog collectif pour détailler les différents points qui, à son avis, méritent attention au niveau de la sécurité des systèmes informatiques pour l'année 2014. Il s'agit de "ce que [Microsoft] anticipe" dans le paysage des menaces, notamment sur les réseaux.
Un exercice à la fois compliqué - on peut se tromper - et sans grand risque - personne n'ira vérifier dans un an et la marge d'erreur reste relativement faible. Mais voici ce qui marquera l'année prochaine selon l'éditeur :
  • Les efforts de régulation vont appeler plus d'harmonisation - Les Etats-Unis comme l'Union européenne vont publier les grandes trajectoires de leur politique en matière de sécurité informatique. D'après Paul Nicholas, directeur en charge de la stratégie de sécurité de Microsoft au niveau global, il est nécessaire de faire en sorte que cela ne débouche pas sur des centaines d'approches différentes dans le monde. Il pense donc que les législateurs, les éditeurs et les distributeurs vont "commencer à voir le besoin impératif d'harmonisation".
  • Les interruptions massives de services en ligne vont se poursuivre - Vous vous souvenez des interruptions de services globaux au cours de l'année 2013 ? Ne vous attendez pas à ce que le problème soit réglé pour l'année prochaine. Pour le responsable de la stratégie de fiabilité, David Bills, "cette tendance va se poursuivre". L'adoption de bonnes pratiques devrait aider à les réduire, mais cela ne suffira pas à les éradiquer.
  • La coupe du monde de football va apporter sa dose d'actes criminels en ligne - "Les criminels suivent l'argent et en 2014, l'économie du Brésil devrait prendre un coup de chaud." Pas besoin d'en dire beaucoup plus, comme à chaque événement sportif majeur, les "cybercriminels" trouvent des moyens de gagner de l'argent. Les attaques de phishing et de spam devraient pleuvoir, des malwares devraient se faufiler autant que possible, etc. Et les "argumentaires" des pièges envoyés par les réseaux devraient largement tirer partie de la coupe du monde de football.
  • La montée des clouds régionaux - Chacun son cloud ? "Dans le sillage des questionnements autour de l'accès non autorisé aux données, nous allons voir l'émergence et la promotion plus large d'offres de clouds régionaux. Une opportunité de marché qui se basera sur les startups et sur les fournisseurs existants.
  • L'intégration d'une sécurité "dev-ops" de plus en plus critique - Flame a montré que les différences de perception entre une équipe de développeurs et une équipe opérationnelle avait des chances de laisser des failles d'autant plus grosses. Une sécurité mieux alignée sur les besoins de l'entreprise devra s'atteler - et elle le fera, prédit Microsoft - à trouver et combler ces trous. L'éditeur estime que le travail a commencé il y a longtemps, et qu'on approchera du but en 2014.
  • Les logiciels ne bénéficiant plus de support serviront de vecteur aux attaques - Vous avez encore Windows XP , ou cracké ? Bouuuuh. A cause de vous, les méchants pirates auront un boulevard pour leurs activités. Microsoft ne prendra plus en charge Windows XP à partir d'avril 2014. Aussi les systèmes n'auront-ils plus de mises à jour... notamment de sécurité. Un "problème" pour lequel Microsoft à évidemment la solution : migrez vers "un OS moderne". Red Hat Enterprise Linx ? Ah non, Windows 7 ou Windows 8. Seul problème, les machines tournant sous XP sont encore très nombreuses, plus de 30% du parc selon les derniers chiffres... Malgré les années, Windows XP fait de la résistance, notamment en entreprise où il est souvent encore le standard. Sauf surprise, beaucoup d'entre elles seront à découvert au printemps prochain, les projets de migration étant loin d'être une priorité.
    Parts de marché 2013 des principales versions d'OSpour PC (%)Windows7WindowsXPWindowsVistaWindows8Mac OS X10.8Jan-2013Fév-2013Mar-2013Avr-2013Mai-2013Juin-2013Juill-2013Août-2013Sept-2013Oct-2013Nov-2013015304560Source NetMarketShare - via ZDNet.fr/chiffres-cles

  • Les beaux jours du social engineering - C'est connu : "l'ingénierie sociale" est souvent l'un des filets les plus efficaces d'attaquants pour repérer des failles. Le compte Twitter d'Obama, certains des "hacks" les plus célèbres... ont été réalisés avec un peu d'imagination et les faiblesses humaines. Bref, Microsoft fait la pub de ses récentes améliorations en matière de double authentification.
  • Les ransomwares vont toucher plus de gens - Ces "rançongiciels" vont monter en puissance. Traditionnellement plus faibles, ils devraient servir de base au modèle économique de plus de criminels, selon l'éditeur. Une "prédiction" basée sur des chiffres de Microsoft, et qui pourrait causer des dégâts si l'on n'est pas préparer. Pour Microsoft, préparation signifie des outils anti-virus à jour, et une sauvegarde dans le cloud. Le cloud Microsoft, s'entend.