Ransomwares : Chaque Paiement De Rançon Finance 9 Nouvelles Attaques !
Dans son dernier rapport de recherches portant sur le fonctionnement des groupes de rançongiciels et la spirale de financement de leur attaque, Trend Micro révèle qu’il suffit du paiement de seulement 10 % des demandes de rançons pour financer de nouvelles vagues d’attaques. Ce rapport fournit des renseignements stratégiques, tactiques, opérationnels et techniques sur ces actions malveillantes. Il s’appuie sur une collecte de données rassemblées pour répertorier les différents schémas organisationnels des organisations cybercriminelles. Ces informations seront utiles à la communauté pour comparer les différents groupes actifs sur ce marché, estimer les risques et caractériser les comportements des groupes à la manœuvre. Voici ses principaux éléments : Le pourcentage de victimes qui acceptent de payer une rançon (10 %) le font généralement rapidement. En France, un tiers des microenterprises ciblé a déjà payé une rançon. Les victimes de certains secteurs et pays paient plus souvent que d’autres, ce qui signifie que leurs homologues sont plus susceptibles d’être ciblés par la suite. Le paiement d’une rançon a souvent pour seul effet d’augmenter le coût global de l’incident, avec assez peu d’autres bénéfices. Les activités de monétisation des rançongiciels sont au plus bas en début d’année (janvier) ainsi que sur la période estivale. Des périodes qui sont potentiellement propices à la reconstruction des infrastructures et à la préparation des attaques futures. Le rapport indique qu’en renforçant les dispositifs de protection des chaines de production, en poursuivant l’analyse approfondie des écosystèmes de rançongiciels et en concentrant les efforts à l’international sur la réduction du pourcentage de victimes acceptant de payer une rançon et d’entretenir ainsi la mécanique, les entreprises et les gouvernements pourraient contribuer à faire baisser la rentabilité de cette industrie des rançongiciels. « Les rançongiciels constituent aujourd’hui une menace majeure pour la cybersécurité des entreprises, des collectivités et des administrations. Leur mode opératoire est en constante évolution, c’est pourquoi nous avons besoin d’analyser en permanence les données techniques afin d’adapter en continu la modélisation des outils de détection. Notre étude vise à aider les décideurs dans les métiers IT à mieux comprendre leur exposition au risque et à fournir aux comités de direction les informations dont ils ont besoin pour mieux appréhender ce type de menaces », explique Nicolas Arpagian, Director Cybersecurity Strategy de Trend Micro. Des éléments qui peuvent peser dans la balance Le rapport de Trend Micro tend à apporter aux décideurs des informations pour mieux évaluer les risques financiers découlant des rançongiciels et aider : les responsables informatiques à documenter la justification d’un renforcement des budgets en matière de cybersécurité, les gouvernements à chiffrer plus précisément les services de réparation à incident et les modalités d’application de la loi/mise en conformité, les assureurs à concevoir plus précisément les termes et conditions de leurs polices, les organisations internationales à prendre davantage en considération les attaques par rançongiciels, qui sont plus que jamais un risque à l’échelle planétaire. Ce rapport est consultable ici : https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/understanding-ransomware-using-data-science. Source : ITRnews
MÉFIEZ-VOUS DE CETTE NOUVELLE ARNAQUE QUI PREND DE L’AMPLEUR EN FRANCE : LE VIREMENT IMMEDIAT
Depuis plusieurs semaines, de nombreuses personnes témoignent avoir été victime d’une arnaque redoutable, celle du « virement immédiat ». Une escroquerie bien rodée qui peut vous mettre dans une situation très inconfortable. Depuis le début de la crise sanitaire, le nombre d’escroqueries en France explose. Arnaque au colis, phishing, fausses infirmières et même… l’étrange arnaque à la fiente. Cela fait quelques semaines qu’une nouvelle duperie prend de l’ampleur dans le pays. Une fraude redoutable et très efficace qui peut arriver à tout le monde. Voici comment y faire face. L’arnaque du « virement immédiat » L’un de ces témoignages a été partagé par Actu La Rochelle. Il s’agit du cas d’une étudiante victime de cette escroquerie. À cause de cela, la jeune femme a été à découvert de 42 000 euros au début du mois de novembre. Une situation tragique d’autant plus que le malfaiteur était l’un de ses proches. En effet, selon sa version, cet « ami » aurait déposé sur son compte bancaire deux chèques pour un montant total de 88 000 euros. Grâce à sa proximité avec l’étudiante, l’arnaqueur s’est emparé de ses données bancaires et a effectué un virement vers un compte tiers. Ainsi, il a pu récupérer de l’argent facilement alors que les chèques étaient probablement sans provision et pourraient avoir été volés. Est-ce la faute de la banque ? Que faire face à cela ? Cette arnaque est redoutable car elle abuse du traitement automatique de la banque, qui vérifie seulement s’il y a une signature au dos du chèque, sans se soucier de celle-ci. Ainsi, sur le chèque, vous pouvez faire n’importe quel gribouillage, cela sera suffisant. Un chèque volé ou sans provision, des coordonnées bancaires subtilisées, et le tour est joué. Que faire dans ce cas-là ? L’association Banques Infos Recours a aidé la jeune femme à s’en sortir. Tout d’abord, elle a accusé la banque de ne pas avoir bien fait son travail de vérification. Espérant ainsi que la banque dédommage la victime. Une plainte au pénal a même été posée. De votre côté, il n’y a malheureusement pas grand chose à faire. Gardez vos données bancaires aussi secrètes que possible. Et méfiez-vous car dans l’une des variantes de cette arnaque, l’escroc vous demande un « service » en encaissant un de ses chèques, vous promettant une petite somme en dédommagement. Refusez directement ! Et si jamais cela vous arrive, n’hésitez pas à rapidement contacter des associations qui défendent les clients vis-à-vis de leur banque comme Banques Infos Recours, que vous pouvez contacter directement sur leur site internet. Source : Gentside
SEPTEMBRE, MOIS RECORD POUR LES RANSOMWARES
Avec 270 attaques de ransomwares, septembre a été le mois le plus actif pour les criminels. Covid-19 «aidant», le nombre d’attaques n’a cessé d’augmenter toute l’année. Sauf en juillet, probablement en raison des vacances. Au classement des ransomwares, Nefilim a détrôné les champions de l’année, avec un tiers des attaques déclenchées en septembre et identifiées par les experts. Pas vraiment étonnant puisque ce ransomware utilise une faille de Citrix Gateway… utilisé par beaucoup de ceux qui passent par un VPN pour travailler à distance. Selon Le Mag IT , Maze continue ses ravages et est toujours considéré comme un des malwares les plus dangereux, depuis sa découverte il y a un peu plus d’un an. Revil, le ransomware qui avait valu des problèmes à Cactus en mai, reste le numéro un de l’année, pour Keepnet . Quasiment la moitié des PME ont été victimes d’une attaque, toujours selon la même source , et ceux qui se sont fait piéger ont choisi de payer pour récupérer leurs données dans trois cas sur quatre. L’agence française de la sécurité des systèmes d’information profite d’ailleurs du Mois de la cybersécurité pour rappeler ses bonnes pratiques , considérant qu’avec le Covid-19, le nombre d’attaques a doublé cette année. La semaine dernière, un nouveau grand groupe, dont le holding est au Luxembourg, Luxottica, reconnaissait avoir été victime d’un ransomware, selon Le Monde informatique . Selon Microsoft, cité par Futura-Sciences , les pirates gagnent en efficacité et ont désormais besoin de moins de 45 minutes pour frapper: 13 milliards d’adresses électroniques ont été la cible de tentatives d’attaque cette année. Source : Paperjam
NOUVELLE STRATÉGIE POUR POUSSER LE PAIEMENT DU RANSOMWARE BITCOIN
La création de sites spécialement conçus pour filtrer les données volées est une stratégie qui prend de l’ampleur en 2020. Elle commence par l’utilisation de virus informatiques pour détourner les fichiers des entreprises et des grandes entreprises et exiger le paiement d’une rançon, une pratique connue sous le nom de ransomware. La nouveauté dans les nouveaux cas est que, si l’argent n’est pas reçu, les hackers rendent publiques les informations confidentielles des entreprises attaquées sur des sites Web sombres (darknet). L’objectif est de faire pression sur les victimes pour qu’elles soient obligées de payer pour leur rançon de données. Les pirates espèrent que les coûts associés aux violations de données pourraient inciter davantage de victimes à payer le montant requis. En effet, la fuite peut conduire les entreprises à faire face à des sanctions réglementaires, à des atteintes à la réputation et à des poursuites judiciaires pour la divulgation d’informations de tiers. Leur cours de bourse peut également être affecté par la perte de propriété intellectuelle. La pratique de la fuite de données a été lancé en novembre 2019 par les pirates derrière le ransomware Maze, dans une tentative de forcer la reddition de Bitcoin en échange des fichiers. À cette date, ils ont publié près de 700 Mo de données volées à Allied Universal, une société de services de sécurité de Californie, aux États-Unis.Il ne s’agissait que d’une partie de 5 Go de données détournées pour lesquelles ils ont demandé un paiement de 300 bitcoins. Sur ce site, le ransomware Maze a commencé à filtrer les données volées à ses victimes. Source: bleepingcomputer.com Par la suite, ils ont publié les données de nombreuses entreprises via des forums de hackers et, enfin, sur un site dédié spécifiquement aux fuites. En voyant ces exemples, les autres opérateurs de ransomware ont utilisé la même tactique d’extorsion. Ils ont commencé par filtrer les fichiers volés sur les forums ou envoyer des e-mails aux médias. Peu après des sites Web sombres ont émergé dédié uniquement aux fuites. Aujourd’hui, les sites de fuite de données volées se sont multipliés. La société de sécurité Emisisoft estime que, au cours des six premiers mois de 2020, plus de 11% des infections par ransomware impliquaient potentiellement une violation de données. Selon Raj Samani, scientifique en chef de la société de sécurité McAfee et conseiller en cybersécurité chez Europol, l’adoption rapide des sites de violation de données pourrait être due au fait que de moins en moins de victimes choisissent de payer ce que les attaquants exigent. Le nouveau ransomware Avaddon rejoint la liste des fuites Suivant la tendance du vol et de la fuite de données, les opérateurs de ransomware Avaddon ont créé cette semaine un nouveau site de violation de données sur le dark web. Là, ils publieront les fichiers volés des victimes qui décident de ne pas payer la rançon. En annonçant leur nouveau site, identifié comme “Avaddon Info”, le groupe ajoute à la liste ransomware qui utilisent cette stratégie comme un mécanisme pour faire pression sur leurs victimes. L’information, publiée dans le média spécialisé Bleeping Computer le 10 août, a été publiée par la société israélienne de cybersécurité, Kela. Il explique que la ligne d’action d’Avaddon est la même que celle utilisée par Maze et d’autres hackers. Jusqu’à présent, ils ont inclus une seule victime sur le nouveau site, une entreprise de construction dont ils ont divulgué 3,5 Mo de documents prétendument volés. “Ils ont publié un échantillon des données obtenues, avec des informations relatives à l’activité de l’entreprise au Royaume-Uni, au Mexique, aux Philippines, en Malaisie et en Thaïlande”, selon les déclarations de Kela. Un échantillon de données volées à une entreprise de construction a été publié sur le nouveau site de rançongiciel Avaddon. Source: bleepingcomputer.com Avaddon est un ransomware récent. Il est connu depuis juin 2020 et est diffusé via une campagne massive de spam. Les logiciels malveillants s’intègrent dans les e-mails avec un fichier JavaScript malveillant déguisé en fichier image .jpg. Liste des ransomwares avec des sites de fuite de données On estime que les sites de violation de données volés sont actuellement gérés par plus d’une douzaine d’opérateurs de ransomwares. En plus de ceux déjà mentionnés, Avaddon et Maze, certains d’entre eux sont listés ci-dessous. AKO Il a commencé à fonctionner en janvier 2020. Ako exige que les plus grandes entreprises disposant d’informations plus précieuses paient une rançon et une extorsion supplémentaire pour supprimer les données volées. Si le paiement n’est pas effectué, les données de la victime ils sont publiés sur son «Blog de fuite de données». CL0P Il a commencé comme une variante de CryptoMix et est rapidement devenu le ransomware de choix pour un groupe d’APT connu sous le nom de TA505. Ce groupe a attaqué 267 serveurs de l’Université de Maastricht. En mars 2020, CL0P a lancé un site de fuite de données appelé ‘CL0P ^ -LEAKS‘, Où ils publient les données des victimes. DoppelPaymer Connu depuis juillet 2019, DoppelPaymer ou BitPaymer cible ses victimes via des piratages de bureau à distance et l’accès fourni par le cheval de Troie Dridex. En février 2020, a lancé un site de filtrage dédié qu’ils appellent «Dopple Leaks». Nemty Connu depuis janvier 2019 sous le nom de Ransomware-as-a-Service (RaaS) appelé JSWorm, il a été renommé Nemty en août de l’année dernière. En mars 2020, Nemty a créé un site de violation de données pour publier les données des victimes. Nephilim En mars dernier, Nemty a créé une équipe affiliée pour un Ransomware-as-a-Service privé appelé Nephilim. Le ransomware est né en recrutant uniquement des pirates et des distributeurs de logiciels malveillants expérimentés. Peu après, a créé un site intitulé “Corporate Leaks” ils utilisent pour publier les données volées. NetWalker En mai 2020, NetWalker, également connu sous le nom de Mailto, a commencé à recruter des affiliés en proposant des paiements importants et un site d’auto-publication de fuite de données. Utilisez un compte à rebours pour essayer d’effrayer les victimes et les forcer à payer. Pysa (Mespinoza) Il est apparu en octobre 2019. En novembre, il a changé l’extension de cryptage de fichier