Piratages: Équipements électriques Guillevin International ,la STM ,Wendake ,Ministère de la Justice du Québec ,Revenu Canada ,Inonotech-Execaire ,Dans la Rue ,le CIUSSS ,Groupe de santé Medisys ,Technologies Xpertdoc inc, CPA Canada ,Bazinet-Taylor,Ville de Châteauguay

 

 Piratages: Équipements électriques Guillevin International ,la STM  ,Wendake ,Ministère de la Justice du Québec ,Revenu Canada ,Inonotech-Execaire ,Dans la Rue ,le CIUSSS ,Groupe de santé Medisys ,Technologies Xpertdoc inc, CPA Canada ,Bazinet-Taylor,Ville de Châteauguay

Leurs données commerciales publiées en ligne:

 

Le distributeur montréalais d’équipements électriques Guillevin International a vu des centaines de ses documents commerciaux se retrouver en ligne après une attaque au rançongiciel, le 12 septembre.

• À lire aussi: Fraudés de 120 000 $ après une cyberattaque

• À lire aussi: Les cyberguerriers lancent des avertissements sur le travail à domicile

• À lire aussi: Une vraie épidémie

« C’est ce qui arrive quand tu ne payes pas », nous dit Luc Rodier, PDG de l’entreprise.

Les pirates avaient laissé des instructions pour les contacter et connaître la rançon demandée, mais Guillevin n’a même pas communiqué avec eux. 

« C’est hors de question pour nous de supporter une organisation criminelle », insiste le patron.

L’attaque portait la signature de la plateforme Maze. Depuis l’automne 2019, ses mystérieux utilisateurs ont transformé le rançongiciel en une véritable industrie. Leur recette : publier les données volées aux victimes qui refusent de les payer.

En tout, Maze a ciblé 328 organisations, selon le décompte de Damien Bancal, chef de la cyberintelligence chez 8Brains.

Le gang a annoncé fin octobre qu’il cesse ses opérations, mais d’autres sont apparus, qui imitent sa stratégie.

• Écoutez la chronique de Félix Séguin au micro de Richard Martineau sur QUB radio:

Retour aux commandes papier

Guillevin a passé 12 jours à remonter son réseau, en fonctionnant pratiquement sans ordinateurs, raconte Luc Rodier. Son personnel a dû commander des calepins de commande en papier, comme dans les années 1980.

« On a assumé et agi comme s’il y avait de l’information sensible qui avait été publiée », dit-il. En ligne, notre Bureau d’enquête a trouvé surtout des données commerciales. Rien d’anodin, assure le PDG. 

« Il y a de l’information sensible sur nos produits, certaines ententes commerciales... »

Luc Rodier s’est senti bien seul. 

« Ce sont de grands groupes criminels mondiaux, dit-il. Les corps policiers ne savent pas quoi faire avec ça. »

À défaut de meilleure solution, il mise sur la transparence. 

« C’est un fléau. Plus les gens vont être au courant que ça existe, mieux on se porte comme société. »

Longue liste de victimes  

Des dizaines d’organisations publiques et privées ont été victimes de rançongiciels au cours de la dernière année.

STM

En octobre, la Société de transport de Montréal a mis près de deux semaines à se remettre d’une attaque perpétrée à l’aide d’un programme basé sur le rançongiciel RansomExx.

Wendake

La Nation huronne-wendate a subi une cyberattaque du gang Conti, qui a mis en ligne des dossiers d’élèves d’un centre de formation.

Ministère de la Justice du Québec

Des pirates ont réussi à voler des courriels au ministère et à envoyer des maliciels à des citoyens l’ayant contacté, à l’aide du cheval de Troie Emotet.

Revenu Canada

Des fraudeurs ont attaqué les dossiers en ligne de contribuables et obtenu les mots de passe de 9041 utilisateurs en août.

Inonotech-Execaire

La firme d’entretien d’aéronefs---- a été attaquée fin mars par le gang Maze, qui a publié les données volées en ligne.

Dans la Rue

Des pirates ont utilisé le maliciel d’origine russe Zeppelin pour attaquer l’organisme d’aide aux sans-abri, qui a payé une rançon.

CIUSSS Centre-Ouest-de-l’Île-de-Montréal 

Fin octobre, le CIUSSS a coupé ses accès à internet après une attaque, qui coïncidait avec une vague de cyberpiratages d’hôpitaux américains au rançongiciel Ryuk, d’origine russe.

Groupe de santé Medisys

Cette filiale de Telus a payé une rançon pour récupérer des données personnelles sur 60 000 clients, dont des policiers.

Technologies Xpertdoc inc.

La firme informatique a payé une rançon après une cyberattaque le 1er septembre pour faire détruire des données sur des policiers.

CPA Canada

Des informations sur 134 079 personnes issues de la base de données de l’association professionnelle des comptables se sont retrouvées sur des sites de pirates russes.

Bazinet-Taylor

En juillet, le distributeur d’équipements pour restaurants a lui aussi subi l’attaque de Maze, qui a publié ses documents bancaires. 

Ville de Châteauguay

En mars, des pirates ont utilisé le rançon-giciel Ryuk pour paralyser son réseau.

 

REF.:

Des cybercriminels se sont servis des données volées à une entreprise de machinerie de Sherbrooke

 

 

 

Des cybercriminels se sont servis des données volées à une entreprise de machinerie de Sherbrooke pour mener une attaque au rançongiciel et lui dérober 91 250$ US.

• À lire aussi: Leurs données commerciales publiées en ligne

• À lire aussi: Une vraie épidémie

Le matin du 23 octobre, le gérant des Équipements Marquis, Christian Corriveau, a eu la mauvaise surprise de trouver son réseau hors service. Rien de plus louche: nouveaux comptes d’utilisateurs apparus, mots de passe changés... Manifestement l’œuvre de pirates.

«À l’imprimante, j’ai vu qu’il y avait un paquet de feuilles», relate-t-il. Les hackers avaient fait sortir les instructions pour les contacter. L’attaque est l’œuvre du dernier-né des rançongiciels: Egregor. 

«Il y a eu un sentiment de panique partout, rapporte le président de l’entreprise, Jean-Guy Marquis. On a changé le serveur, changé les ordinateurs... Pendant ce temps-là, le commerce, il faut qu’il roule!»

Pas question de payer la rançon à ces criminels. 

«Le rançongiciel, c’est une mafia qui s’est montée», dénonce-t-il.

De toute façon, l'entreprise avait de bonnes sauvegardes et aucune information n’a été perdue. Elle était tout de même loin d’être au bout de ses peines.     

• Écoutez le président de l'entreprise, Jean-Guy Marquis, ainsi que Damien Bancal, expert en cybersécurité, sur QUB radio:    

Détournement de fonds

Quatre jours plus tard, Équipements Marquis avait un virement électronique de 91 250$ US à faire, soit près de 120 000$ CA.

Pendant la transaction, la secrétaire a reçu un appel qui semblait provenir de la Banque Royale, relate le patron. «Le gars lui a dit, en anglais: “Attends un peu, on a un problème.”»

C’est à ce moment-là que l’ordinateur a gelé et que l’entreprise a compris qu’elle venait de se faire avoir. «On a averti la banque tout de suite», assure Jean-Guy Marquis, qui a aussi fait déconnecter tout le réseau.

De toute évidence, l’appel ne provenait pas de la banque, mais d’un criminel qui a utilisé une application pour afficher un numéro différent du sien.

«Ça sous-entend que la machine était surveillée par des pirates», dit Damien Bancal, chef de la cyberintelligence chez 8Brains. Toujours connectés, ils attendaient l’occasion de s’en mettre plein les poches depuis cinq jours.

Jean-Guy Marquis a pris des avocats pour tenter de se faire rembourser. La Banque Royale soutient toutefois qu’elle n’est pas responsable de sa perte, dit-il.

En attendant, l’argent est bloqué dans un compte de la Chase Manhattan Bank à New York.   

• Écoutez la chronique de Félix Séguin au micro de Richard Martineau, sur QUB radio:   

Un gang en expansion

Notre Bureau d’enquête a pu consulter en ligne les renseignements que les cyberpirates ont volés aux Équipements Marquis. Ils contiennent notamment des données permettant de se connecter au compte de l’entreprise qu’ils ont ciblé.

Les malfaiteurs ont utilisé Egregor, un tout nouveau rançongiciel mentionné pour la première fois en septembre dernier sur les sites spécialisés. Les cybercriminels peuvent le louer pour monter leurs propres attaques.

« Leurs chiffres explosent, c’est assez fou », dit Damien Bancal, qui a aidé notre Bureau d’enquête à repérer les données volées aux Équipements Marquis sur le web caché (dark web). Selon sa compilation, Egregor a déjà fait 111 victimes dans le monde depuis septembre.

 

REF.:

Une cyberattaque paralyse une usine de Terrebonne et un Le transporteur routier est durement frappé

  Une cyberattaque paralyse une usine de Terrebonne et un  Le transporteur routier est durement frappé

Une cyberattaque paralyse une usine de Terrebonne

La compagnie fait partie des clients d’une firme informatique piratée

 

Des cybercriminels ont réussi à dérégler les machines d’une usine de pièces de béton de Terrebonne et à lui faire perdre 250 000$.

• À lire aussi: Fraudés de 120 000$ après une cyberattaque

• À lire aussi: Leurs données commerciales publiées en ligne

Chez Rinox inc., les ordinateurs que les pirates ont cryptés contrôlaient notamment des caméras de production et des malaxeurs.

«Nos machines sont toutes automatisées, dit Bobby Correia, vice-président de la compagnie de Terrebonne. Elles se dérèglent, mais avant que quelqu’un s’en aperçoive, ç’a pris un certain temps.»

Pendant l’arrêt de production, du ciment a séché dans certains équipements. «Il a fallu tout briser ça à bras, ça a pris toute une journée avec une équipe de 12», raconte-t-il.

Fournisseur attaqué

Les malfaiteurs ont profité de vulnérabilités chez le fournisseur de services informatiques de Rinox, HelpOX inc. Cette entreprise de Mascouche offre notamment des services d’hébergement de réseaux et de soutien technique aux PME.

Le groupe qui l’a attaquée, Sodinokibi, aurait utilisé le logiciel ConnectWise. Les techniciens de HelpOX se servaient de ce programme pour se brancher à distance aux ordinateurs des clients.

Le président de HelpOX, Éric Bigras, confirme qu’un rançongiciel a ciblé sa firme en juillet, sans donner de détails.

«Heureusement, nos opérations ont été restaurées en 30 minutes après avoir découvert l’incident, affirme-t-il. Notre enquête nous a confirmé qu’aucune donnée d’entreprises ou personnelle n'ont été exfiltrée ou accédée [sic].»

Laissés dans le noir

HelpOX a cependant tardé à informer ses clients, selon Bobby Correia.

«Le jour de l’attaque, on appelait chez HelpOX constamment et ils ne répondaient pas.» En après-midi, la compagnie disait seulement éprouver un «problème technique», raconte-t-il.

Rinox a donc embauché un autre consultant en informatique, qui a lui-même contacté les pirates à l’aide d’instructions laissées sur les ordinateurs de l’entreprise.

1,4 M$ US demandé

Selon une conversation avec les hackers que notre Bureau d’enquête a pu consulter, ils ont demandé 1,4 M$ US pour envoyer une clé virtuelle permettant de décrypter les fichiers des clients de HelpOX.

L’entreprise a mis deux jours à reconnaître que des pirates l’avaient attaquée, selon Bobby Correia. Trois jours plus tard, elle obtenait une clé de décryptage. 

Mais les données étaient abîmées et HelpOX n’avait plus aucune sauvegarde. La comptabilité et les données de production étaient perdues. «On a dû ressortir nos copies papier sur plus de trois mois, en pleine pandémie», dit Bobby Correia.

Le président de HelpOX nous avait conviés à une vidéoconférence pour répondre à nos questions, mais il l’a annulée à cause d’«un événement hors de [son] contrôle», dit-il.

Par courriel, Éric Bigras assure avoir envoyé «des mises à jour régulières» à ses clients. «Nous sommes bien désolés que cette situation s’est produite [sic]. C’était loin d’une situation idéale», reconnaît-il sans préciser s’il a payé une rançon pour récupérer des données.

Plusieurs autres clients de HelpOX ont fait les frais de l’attaque, dont le Club de golf Le Mirage inc., que Céline Dion vient de vendre à Mario Messier, Serge Savard et José Téodore.

Contacté par notre Bureau d’enquête, le directeur général au moment de l’attaque en juillet, René Noël, n’a pas voulu décrire les dommages qu’a subis la compagnie, prétextant avoir signé des accords de confidentialité.

Le réseau du producteur de patates Maison Russet inc. est lui aussi tombé en panne pendant plusieurs jours à cause de l’attaque.

Le transport routier est durement frappé  

TFI INTERNATIONAL  

Pirates: DopplePaymer

Informations sensibles retrouvées en ligne:    

• Données concurrentielles sur les contrats de l’entreprise    
• Documents confidentiels de clients    
• Documents de comptabilité interne        

Une cyberattaque sur la filiale de livraison de colis Canpar Express a coûté pas moins de 8 M$ à TFI International, une compagnie de camionnage dont la famille Saputo est un important actionnaire.

C’est ce que mentionnait le dernier rapport de gestion de l’entreprise, publié le 30 septembre.

Notre Bureau d’enquête a retrouvé les 1053 documents provenant des serveurs de Canpar que les pirates ont diffusés sur le web caché (dark web) fin août.

Les fichiers contiennent une importante quantité de renseignements sur les contrats et les clients de l'entreprise.

Les cybercriminels promettaient l’été dernier de diffuser «tous les jours quelques fichiers» dérobés à l’entreprise.

Un relationniste américain sous contrat avec l’entreprise montréalaise a refusé de répondre à nos questions. «Ils ne parlent pas à la presse, dit Vance Edelson en anglais. Ils préfèrent se concentrer sur la gestion de l’entreprise.» 

Fuel Transport  

Pirates: Maze

Informations sensibles retrouvées en ligne:    

• Rapports d’accident de chauffeurs de camion   
• Documents de litiges avec des clients        

L’entreprise de transport routier de Montréal a subi une attaque du groupe de pirates Maze en août. Le président Robert Piccioni n’a pas souhaité donner de détails sur l’attaque.

«Pour éviter que ça arrive à d’autres, c’est bon de partager les informations, mais je suis un peu embarrassé de ce qui m’est arrivé.» 

L’information que le groupe a publiée comprend des centaines de documents et de rapports sur des accidents ayant impliqué les chauffeurs et des réclamations pour de la marchandise endommagée.

Ces documents contiennent des données personnelles de plusieurs employés de Fuel Transport.

Quand notre Bureau d’enquête a évoqué les informations volées à Fuel qui se trouvent toujours en ligne, Robert Piccioni a raccroché le téléphone. 

REF.:

 

 

Comment supprimer Sodinokibi Ransomware et décrypter vos fichiers

 

Infectés par le Sodinokibi Ransomware? Avez-vous besoin de décrypter vos fichiers?

Qu'est-ce que Sodinokibi Ransomware

Sodinokibi est un développeur de cryptovirus dont cette cible cryptovirus utilisateurs anglophones, cependant, il a déjà étendu à tous les points du globe. Beaucoup d'autres, il crypte les données utilisateur et nécessite une rançon de 0.475 àjusqu'à 0.950 bitcoins. En plus, contrairement aux virus similaires, il attribue une extension qui peut changer en permanence . Voici quelques exemples d'extensions: fgcxh, ouivk, fdseaq etc.. Il crée un fichier spécial qui contient les exigences des attaquants d'extension personnels -readme.txt, que le virus a affecté à vos fichiers.

Hello dear friend!
Your files are encrypted, and, as result you can't use it. You must visit our page to get instructions about decryption process.
All encrypted files have got hg6u62 extension.
Instructions into the TOR network
-----------------------------
Install TOR browser from https://torproject.org/
Visit the following link: http://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/C2D97495C4BA3647
Instructions into WWW (The following link can not be in work state, if true, use TOR above):
-----------------------------
Visit the following link: http://decryptor.top/C2D97495C4BA3647
Page will ask you for the key, here it is:
fCxNid7JbKZd9ygwzDQS0s4vyyzP0uddSzGkLCH0ajRr9Pv7DLm6uqiCVxjbmyW/
CD5hLRwBFLdrfGqex0ghdS90qGRf5tlNOz9JtChkGYeGvCjo+ITexCSkEXPIxnhL

Les pirates utilisent leur stratégie préférée en utilisant le navigateur Tor. Cela permet aux pirates d'éviter en suivant la loi, car grâce à ce navigateur, ils ne laissent pas de traces. Il est nécessaire de payer la rançon, dont la taille nous l'avons indiqué ci-dessus. Bien sûr, nous ne vous recommandons pas de payer, car il n'y a aucune garantie que les intrus chiffrent réellement vos fichiers transformés en leur aspect d'origine. il n'y a aucune possibilité d'auto-décryptage des fichiers.

mettre à jour: Utilisez service suivant pour identifier version et type de ransomware qui vous a attaqué: ID Ransomware. Si vous voulez décrypter vos fichiers, s'il vous plaît suivez nos instructions ci-dessous ou, si vous avez des difficultés, contactez nous s'il vous plait: submit@securitystronghold.com. Nous pouvons vraiment aider à décrypter vos fichiers.

Comment Sodinokibi Ransomware infecté votre PC

Sur la base de nos données, de nombreux virus crypto, en particulier, Sodinokibi, viennent à l'ordinateur via les paramètres réseau des utilisateurs non protégés. Cela se produit parce que les utilisateurs utilisent des versions gratuites de ou anti-virus n'utilisent pas du tout anti-virus. C'est une erreur. Il peut également venir comme une mise à jour faux pour les services publics ou une pièce jointe à une liste de diffusion de spam. Vous devez être extrêmement attentif. Utilisez anti-virus pour empêcher la pénétration de ces virus, car il est beaucoup plus facile que faire face à une cryptovirus qui a déjà pénétré votre ordinateur et crypté vos fichiers. Ci-dessous, nous fournissons des instructions pour enlever Sodinokibi Ransomware et Déchiffrer vos fichiers.

Tout d'abord, ne pas paniquer. Suivez ces étapes simples ci-dessous.

1. Démarrez votre ordinateur en Mode sans échec avec prise en charge réseau. Pour faire ça, redémarrez votre ordinateur avant que votre système commence à frapper F8 à plusieurs reprises. Cela Sodinokibi système Ransomware de chargement et affichera options de démarrage avancées écran. Choisissez Mode sans échec avec prise en charge réseau dans liste des options à l'aide flèches haut et bas sur votre clavier et frappez Entrée.
2. Se connecter au système infecté par le virus Ransomware Sodinokibi. Lancez votre navigateuret téléchargez un programme contre les logiciels malveillants fiable et lancer l'analyse complète du système. Lorsque l'analyse terminée, reconsidérez les résultats d'analyse et supprimez toutes les entrées détectées.

Solution Recommandée:

Wipersoft - supprime complètement toutes les instances de Sodinokibi Ransomware - fichiers, dossiers, clés de registre.

 

Télécharger Norton

Vous trouverez des informations plus détaillées sur les produits antivirus dans notre article - Top 5 Logiciel antivirus pour Windows

Restaurez vos fichiers à l'aide des copies d'ombre

1. Téléchargez et exécutez Stellar Data Recovery.
2. Sélectionnez le type de fichiers que vous souhaitez restaurer et cliquez sur Suivant/Next.
3. Sélectionnez le lecteur et le dossier où vos fichiers sont situés et la date que vous souhaitez les restaurer à partir et appuyez sur Scanner.
4. Une fois que le processus de numérisation est fait, cliquez Récupérer pour restaurer vos fichiers.

Télécharger Stellar Data Recovery

Étape 2: Retirez suivant les fichiers et dossiers de Sodinokibi Ransomware:

Connexions connexes ou d'autres entrées:

No information

Fichiers connexes:

No information

Comment décrypter les fichiers infectés par Sodinokibi Ransomware?

Vous pouvez essayer d'utiliser des méthodes manuelles pour restaurer et décrypter vos fichiers.

Décrypter les fichiers manuellement

Restaurer le système en utilisant Restauration du système

Bien que les dernières versions de Sodinokibi Ransomware supprimer les fichiers de restauration du système, cette méthode peut vous aider à restaurer partiellement vos fichiers. Essayez et utilisez le système de restauration standard pour relancer vos données.

1. Lancez la recherche ‘restauration du système‘
2. Cliquez sur le résultat
3. Choisissez date avant l'apparition d'infection
4. Suivez instructions à l'écran

Rouler les fichiers à la version précédente

Versions précédentes peuvent être des copies de fichiers et dossiers créés par Restauration de Windows (s'il est actif) ou copies de fichiers et dossiers créés par Restauration du système. Vous pouvez utiliser cette fonction pour restaurer les fichiers et dossiers que vous avez accidentellement modifiés ou supprimés, ou qui ont été endommagés. Cette fonctionnalité est disponible dans Windows 7 et dans versions ultérieures.

1. Cliquez droit sur le fichier et choisissez Propriétés
2. Ouvrez La version précédente languette
3. Sélectionnez dernière version et cliquez sur Copier
4. Cliquez Restaurer

Écrit par Rami Duafi

 

REF.:

 

 

La SQ et le SPVM sont poursuivis par d’ex hauts gradés

Michael Nguyen | Journal de Montréal

| Publié le 2 septembre 2020 à 22:29

 

Les deux plus grands corps de police au Québec sont visés par de nouvelles poursuites judiciaires, dont le SPVM à qui deux anciens hauts gradés suspendus depuis 2017 réclament 5 millions de dollars en dommages.

« Plus de 33 mois de suspension équivalent à un congédiement déguisé et, par le fait même, à une destitution sans cause contraire à la loi », affirme dans sa requête rendue publique hier Imad Sawaya, un ancien chef de cabinet de l’ex-directeur de la police de Montréal, Philippe Pichet.

Il exige une compensation de 2,5 M$.

Dans une poursuite similaire, Costa Labos, ex-patron des affaires internes de la police de Montréal et suspendu depuis 35 mois, se dit quant à lui « victime d’une profonde injustice » qui mérite, selon lui, le même dédommagement.

Les suspensions de MM. Sawaya et Labos remontent à 2017, dans la foulée d’allégations de fabrication de preuve au sein de la Division des affaires internes du SPVM.

En raison de la gravité de la situation, toutes les enquêtes internes avaient alors été retirées du corps policier, pour être confiées à la SQ, entre autres.

Or, après des mois d’enquête, aucune accusation n’a été déposée contre les deux policiers, qui espéraient une réintégration qui n’est jamais venue.

« Le purgatoire que représente cette période de suspension aussi longue découle de la mauvaise foi de [la Ville de Montréal] qui fait totalement fi du désir non équivoque de Costa Labos de réintégrer ses fonctions », indique ce dernier dans le document de cour.

« Coup monté » 

M. Sawaya, de son côté, dit dans sa poursuite en être arrivé à « la seule conclusion » qu’il est victime d’un « coup monté et de la quête insatiable visant à trouver des embûches farfelues pour miner les chances de retour en poste ».

Disant tous deux avoir vécu des conséquences dévastatrices, tant pour eux que pour leurs conjointes respectives, ils réclament des dommages matériels et moraux, ainsi que des dommages-intérêts punitifs.

De son côté, l’ancien haut gradé de la Sûreté du Québec Alfred Tremblay, qui a été acquitté d’avoir illégalement utilisé le compte de dépenses secret du corps policier, réclame environ 325 000 $ pour les frais d’avocats qu’il a dû débourser durant le processus judiciaire.

M. Tremblay estime qu’en plus du remboursement de ses frais d’avocats, il devrait avoir droit à 10 000 $ à titre de dommages moraux.

À moins d’une entente à l’amiable, chacun des trois dossiers sera présenté prochainement à la Cour supérieure du Québec.

 

REF.: