Quoi faire si votre ordinateur est déjà infecté par un CryptoLocker? Tout d'abord, ne paniquez pas. La bonne nouvelle est qu'il y a une fenêtre d'opportunité dont vous pouvez profiter et, espérons-le, arrêter la prise d’otage de vos données avant même qu’elle ait commencé.
Comme prévenir c’est mieux que guérir, vous pouvez maintenant empêcher la multiplication de cette nouvelle menace à l’aide de Reveelium, une solution développée par ITrust, qui permet de détecter les signaux faibles correspondant à des tentatives de connexion au centre de contrôle des logiciels malveillants. En même temps, notre scanner de vulnérabilité, IKare, permet en amont la non-propagation de Locky.
Support de webinar sur les cryptovirus Locky et Petya et comment protéger vos données. Mesures préventives, curatives et importance de la sauvegarde de données.
Rapport Threat Intelligence Check Point du 14 novembre 2016Blandine Delaporte
Chaque semaine le rapport Threat Intelligence édité par Check Point et traduit en français :
- Principales failles & Attaques
- Vulnérabilités & Correctifs
- Rapports & Menaces
Commentaires ou questions : info_fr@checkpointfrance.fr
Accessible également sur le site checkpointfrance.fr : https://www.checkpointfrance.fr/index.php/presse/248-bulletin-hebdomadaire-de-prevention-contre-les-menaces
Comme prévenir c’est mieux que guérir, vous pouvez maintenant empêcher la multiplication de cette nouvelle menace à l’aide de Reveelium, une solution développée par ITrust, qui permet de détecter les signaux faibles correspondant à des tentatives de connexion au centre de contrôle des logiciels malveillants. En même temps, notre scanner de vulnérabilité, IKare, permet en amont la non-propagation de Locky.
Support de webinar sur les cryptovirus Locky et Petya et comment protéger vos données. Mesures préventives, curatives et importance de la sauvegarde de données.
Rapport Threat Intelligence Check Point du 14 novembre 2016Blandine Delaporte
Chaque semaine le rapport Threat Intelligence édité par Check Point et traduit en français :
- Principales failles & Attaques
- Vulnérabilités & Correctifs
- Rapports & Menaces
Commentaires ou questions : info_fr@checkpointfrance.fr
Accessible également sur le site checkpointfrance.fr : https://www.checkpointfrance.fr/index.php/presse/248-bulletin-hebdomadaire-de-prevention-contre-les-menaces
Livre blanc F-Secure Ransomware - le chantage qui fait déchanterNRC
Une entreprise sur cinq dans le monde aurait déjà connu
un incident impliquant un ransomware. Ces chevaux de Troie empêchent les organisations d’accéder à
leurs données pour mieux les faire chanter. Mais faut-il pour autant payer ?
Chaque jour, plus de 400,000 nouveaux types de cyber-malveillances sont répertoriées par des analystes de sécurité. Cela veut dire que chaque minute, plus de 250 nouvelles armes sont lancées dans le cyber-espace. Parfois les modes opératoires utilisés par les pirates se ressemblent énormément les unes aux autres. D’autres fois, les blackhats font plus preuve d’originalité dans leur quête des territoires inconnus…
Rapport Threat Intelligence Check Point du 19 décembre 2016Blandine Delaporte
Chaque semaine le rapport Threat Intelligence édité par Check Point et traduit en français :
- Principales failles & Attaques
- Vulnérabilités & Correctifs
- Rapports & Menaces
Commentaires ou questions : info_fr@checkpointfrance.fr
Accessible également sur le site checkpointfrance.fr : https://www.checkpointfrance.fr/index.php/presse/248-bulletin-hebdomadaire-de-prevention-contre-les-menaces
Ce guide de solutions vous donne les clés pour vous protéger des attaques Ransomware : état des lieux, bonnes pratiques, présentations de nos solutions
Rapport Threat Intelligence Check Point du 15 août 2016Blandine Delaporte
Chaque semaine le rapport Threat Intelligence édité par Check Point et traduit en français :
- Principales failles & Attaques
- Vulnérabilités & Correctifs
- Rapports & Menaces
Commentaires ou questions : info_fr@checkpointfrance.fr
Accessible également sur le site checkpointfrance.fr : https://www.checkpointfrance.fr/index.php/presse/248-bulletin-hebdomadaire-de-prevention-contre-les-menaces
Livre blanc : 10 conseils pour récupérer ses données suite à une cyberattaque...RECOVEO
Sauvegardes anciennes, incomplètes ou sabotées ? Payer la rançon ou repartir de 0 : quelle alternative ?
Suite à de nombreuses demandes d’interventions post cyberattaques, Recoveo a souhaité partager son retour d’expérience afin d’éviter tout risque d’aggravation de l’environnement dans le cadre d’infection par ransomware.
Télécharger la version originale ici : https://www.raid112.com/livre-blanc-ransomware
Livre Blanc DSI : 10 conseils empiriques pour récupérer ses données suite à u...RECOVEO
Sauvegardes anciennes, incomplètes ou sabotées ? Payer la rançon ou repartir de 0 : quelle alternative ?
Suite à de nombreuses demandes d’interventions post cyberattaques, Recoveo a souhaité partager son retour d’expérience afin d’éviter tout risque d’aggravation de l’environnement dans le cadre d’infection par ransomware.
Télécharger la version originale ici : https://www.raid112.com/livre-blanc-ransomware-dsi
Rapport Threat Intelligence Check Point du 6 juin 2016Blandine Delaporte
Chaque semaine le rapport Threat Intelligence édité par Check Point et traduit en français :
- Principales failles & Attaques
- Vulnérabilités & Correctifs
- Rapports & Menaces
Commentaires ou questions : info_fr@checkpointfrance.fr
Accessible également sur le site checkpointfrance.fr : https://www.checkpointfrance.fr/index.php/presse/248-bulletin-hebdomadaire-de-prevention-contre-les-menaces
Livre Blanc collectivités : 10 conseils empiriques pour récupérer ses données...RECOVEO
Sauvegardes anciennes, incomplètes ou sabotées ? Payer la rançon ou repartir de 0 : quelle alternative ?
Suite à de nombreuses demandes d’interventions post cyberattaques, Recoveo a souhaité partager son retour d’expérience afin d’éviter tout risque d’aggravation de l’environnement dans le cadre d’infection par ransomware.
Télécharger la version originale ici : https://www.raid112.com/livre-blanc-collectivites
Depuis quelques semaines, un nombre record d’identifiants de comptes a été mis en vente sur le Darknet. Les victimes (voir graphique) sont notamment les réseaux sociaux Tumblr (65 millions de comptes utilisateurs), LinkedIn (164 millions de comptes utilisateurs) et – la patate chaude du moment – MySpace (360 millions de comptes utilisateurs).
Conférence IIRCO - Projection des conflits sur l'espace numériqueOPcyberland
Les conflits humains possèdent une composante numérique. La conférence explore les contextes de cyber-conflictualités, de concurrences et de duels projetés sur le cyberespace.
Elle est organisée par l'Université de Limoges, l'IIRCO et la chaire GCAC, Gestion des Conflits et de l'Après Conflit.
Livre Blanc hôpitaux : 10 conseils empiriques pour récupérer ses données suit...RECOVEO
Sauvegardes anciennes, incomplètes ou sabotées ? Payer la rançon ou repartir de 0 : quelle alternative ?
Suite à de nombreuses demandes d’interventions post cyberattaques, Recoveo a souhaité partager son retour d’expérience afin d’éviter tout risque d’aggravation de l’environnement dans le cadre d’infection par ransomware.
Télécharger la version originale ici : https://www.raid112.com/livre-blanc-hopitaux
Livre blanc F-Secure Ransomware - le chantage qui fait déchanterNRC
Une entreprise sur cinq dans le monde aurait déjà connu
un incident impliquant un ransomware. Ces chevaux de Troie empêchent les organisations d’accéder à
leurs données pour mieux les faire chanter. Mais faut-il pour autant payer ?
Chaque jour, plus de 400,000 nouveaux types de cyber-malveillances sont répertoriées par des analystes de sécurité. Cela veut dire que chaque minute, plus de 250 nouvelles armes sont lancées dans le cyber-espace. Parfois les modes opératoires utilisés par les pirates se ressemblent énormément les unes aux autres. D’autres fois, les blackhats font plus preuve d’originalité dans leur quête des territoires inconnus…
Rapport Threat Intelligence Check Point du 19 décembre 2016Blandine Delaporte
Chaque semaine le rapport Threat Intelligence édité par Check Point et traduit en français :
- Principales failles & Attaques
- Vulnérabilités & Correctifs
- Rapports & Menaces
Commentaires ou questions : info_fr@checkpointfrance.fr
Accessible également sur le site checkpointfrance.fr : https://www.checkpointfrance.fr/index.php/presse/248-bulletin-hebdomadaire-de-prevention-contre-les-menaces
Ce guide de solutions vous donne les clés pour vous protéger des attaques Ransomware : état des lieux, bonnes pratiques, présentations de nos solutions
Rapport Threat Intelligence Check Point du 15 août 2016Blandine Delaporte
Chaque semaine le rapport Threat Intelligence édité par Check Point et traduit en français :
- Principales failles & Attaques
- Vulnérabilités & Correctifs
- Rapports & Menaces
Commentaires ou questions : info_fr@checkpointfrance.fr
Accessible également sur le site checkpointfrance.fr : https://www.checkpointfrance.fr/index.php/presse/248-bulletin-hebdomadaire-de-prevention-contre-les-menaces
Livre blanc : 10 conseils pour récupérer ses données suite à une cyberattaque...RECOVEO
Sauvegardes anciennes, incomplètes ou sabotées ? Payer la rançon ou repartir de 0 : quelle alternative ?
Suite à de nombreuses demandes d’interventions post cyberattaques, Recoveo a souhaité partager son retour d’expérience afin d’éviter tout risque d’aggravation de l’environnement dans le cadre d’infection par ransomware.
Télécharger la version originale ici : https://www.raid112.com/livre-blanc-ransomware
Livre Blanc DSI : 10 conseils empiriques pour récupérer ses données suite à u...RECOVEO
Sauvegardes anciennes, incomplètes ou sabotées ? Payer la rançon ou repartir de 0 : quelle alternative ?
Suite à de nombreuses demandes d’interventions post cyberattaques, Recoveo a souhaité partager son retour d’expérience afin d’éviter tout risque d’aggravation de l’environnement dans le cadre d’infection par ransomware.
Télécharger la version originale ici : https://www.raid112.com/livre-blanc-ransomware-dsi
Rapport Threat Intelligence Check Point du 6 juin 2016Blandine Delaporte
Chaque semaine le rapport Threat Intelligence édité par Check Point et traduit en français :
- Principales failles & Attaques
- Vulnérabilités & Correctifs
- Rapports & Menaces
Commentaires ou questions : info_fr@checkpointfrance.fr
Accessible également sur le site checkpointfrance.fr : https://www.checkpointfrance.fr/index.php/presse/248-bulletin-hebdomadaire-de-prevention-contre-les-menaces
Livre Blanc collectivités : 10 conseils empiriques pour récupérer ses données...RECOVEO
Sauvegardes anciennes, incomplètes ou sabotées ? Payer la rançon ou repartir de 0 : quelle alternative ?
Suite à de nombreuses demandes d’interventions post cyberattaques, Recoveo a souhaité partager son retour d’expérience afin d’éviter tout risque d’aggravation de l’environnement dans le cadre d’infection par ransomware.
Télécharger la version originale ici : https://www.raid112.com/livre-blanc-collectivites
Depuis quelques semaines, un nombre record d’identifiants de comptes a été mis en vente sur le Darknet. Les victimes (voir graphique) sont notamment les réseaux sociaux Tumblr (65 millions de comptes utilisateurs), LinkedIn (164 millions de comptes utilisateurs) et – la patate chaude du moment – MySpace (360 millions de comptes utilisateurs).
Conférence IIRCO - Projection des conflits sur l'espace numériqueOPcyberland
Les conflits humains possèdent une composante numérique. La conférence explore les contextes de cyber-conflictualités, de concurrences et de duels projetés sur le cyberespace.
Elle est organisée par l'Université de Limoges, l'IIRCO et la chaire GCAC, Gestion des Conflits et de l'Après Conflit.
Livre Blanc hôpitaux : 10 conseils empiriques pour récupérer ses données suit...RECOVEO
Sauvegardes anciennes, incomplètes ou sabotées ? Payer la rançon ou repartir de 0 : quelle alternative ?
Suite à de nombreuses demandes d’interventions post cyberattaques, Recoveo a souhaité partager son retour d’expérience afin d’éviter tout risque d’aggravation de l’environnement dans le cadre d’infection par ransomware.
Télécharger la version originale ici : https://www.raid112.com/livre-blanc-hopitaux
Rapport Threat Intelligence Check Point du 11 juillet 2016Blandine Delaporte
Chaque semaine le rapport Threat Intelligence édité par Check Point et traduit en français :
- Principales failles & Attaques
- Vulnérabilités & Correctifs
- Rapports & Menaces
Commentaires ou questions : info_fr@checkpointfrance.fr
Accessible également sur le site checkpointfrance.fr : https://www.checkpointfrance.fr/index.php/presse/248-bulletin-hebdomadaire-de-prevention-contre-les-menaces
Rapport Threat Intelligence Check Point du 23 mai 2016Blandine Delaporte
Chaque semaine le rapport Threat Intelligence édité par Check Point et traduit en français :
- Principales failles & Attaques
- Vulnérabilités & Correctifs
- Rapports & Menaces
Commentaires ou questions : info_fr@checkpointfrance.fr
Accessible également sur le site checkpointfrance.fr : https://www.checkpointfrance.fr/index.php/presse/248-bulletin-hebdomadaire-de-prevention-contre-les-menaces
Admission control adds a desperately needed leg to the security stool. It’s conceptually simple. When a device attempts to connect to a network, we examine that device to verify that it is free of malicious code before we accept a single keystroke from a user at that device. We can verify that all security measures – firewall, antivirus, antispyware, host IDS – are have all the current patches, malware and intrusion signatures, are properly configured and are operating as anticipated. If an endpoint fails to meet these criteria, we can block admission, or quarantine the endpoint to a location on our network where the user can access the resources required to bring the endpoint into compliance.
Un mois après l’attaque du ransomware WannaCry, une variante du ransomware Petya (découvert en 2015) s’est diffusée à très grande vitesse mardi après-midi.
Le logiciel malveillant a touché plus de 2 000 entreprises partout dans le monde en moins de 24 heures et la liste de victimes continue de s’allonger.
De nos jours, les machines qui prennent en charge des tâches mécaniques et répétitives sont devenues les vestiges d’une génération plus ancienne. Nous vivons désormais dans un monde où l’automatisation n’est qu’une simple banalité. Les nouvelles technologies rendent un ordinateur capable d’effectuer de l’apprentissage automatique sur des activités plus complexes – en d’autres mots, des tâches généralement attribuées aux êtres humains. Le moment ne pourrait être mieux choisi pour le domaine tumultueux de la cybersécurité : fini le temps incommensurable dédié à la surveillance des signaux faibles ou à la classification des alertes de type faux-positif !
« RESISTANCE CYBER » est un collectif spontané regroupant chefs d’entreprise en cybersécurité, responsables et représentants de clubs, associations, cluster, référents cyber, journalistes, référents du numérique.
Nous assistons aujourd’hui à de nombreuses discussions et débats dans la communauté des experts en cybersécurité concernant les APT (Advanced Persistent Threats), un sujet controversé et toujours actuel. Certains pensent que leur apparition est due à une farce médiatique qui vise à surévaluer l’impact réel des cyber-attaques, tandis que d’autres restent de vrais croyants. Ces deux parties tentent de saper la crédibilité l’un de l’autre, ce qui rend parfois la définition d’un « APT » difficile.
Il y a deux semaines, un nouvel ‘artefact’ a été révélé ayant pour but de renforcer l’existence des menaces persistantes avancées.
While technological advances say they are on the brink of achieving that perfect artificial intelligence, we are not quite there yet. Fortunately for us, an AI does not need to be irreproachable, just better than a human. Take connected cars, for instance. An AI-based driver may not be mistake-proof, but it is certainly less imperfect than a human driver.
This is very much the case in cybersecurity where IT experts are changing the rules of the game using Machine Learning.
« RESISTANCE CYBER » est un collectif spontané regroupant chefs d’entreprise en cybersécurité, responsables et représentants de clubs, associations, cluster, référents cyber, journalistes, référents du numérique.
« RESISTANCE CYBER » est un collectif spontané regroupant chefs d’entreprise en cybersécurité, responsables et représentants de clubs, associations, cluster, référents cyber, journalistes, référents du numérique.
« RESISTANCE CYBER » est un collectif spontané regroupant chefs d’entreprise en cybersécurité, responsables et représentants de clubs, associations, cluster, référents cyber, journalistes, référents du numérique.
« RESISTANCE CYBER » est un collectif spontané regroupant chefs d’entreprise en cybersécurité, responsables et représentants de clubs, associations, cluster, référents cyber, journalistes, référents du numérique.
Gardez à l’esprit que la détection d’anomalies et la compréhension d’un comportement malveillant, ainsi que la détection de menaces, sont des activités ayant pour but des objectifs très différents.
Pour assurer l’avenir de la cybersécurité, nous aurons besoin des deux.
Global Security Mag a annoncé la semaine dernière qu’un ransomware avait touché le système de santé publique du Royaume-Uni. Les données personnelles des patients étaient la cible de cette infection. Les résultats de l’investigation ont révélé qu’il s’agissait d’un malware jamais détecté auparavant.
The database management system MongoDB is currently being downloaded at an impressive rate: approximately 30 000 times per day. Widely spread, this open source software is today the talk of the town because of a hacking wave that, according to some, was to be expected sooner or later.
Whether you’re loyal to Microsoft’s Internet Explorer, or whether you opt for one of the the dozens of other web browsers available to download and use for free out there (such as Google Chrome, Opera, Mozilla’s Firefox or Mac Safari), you are probably using your preferred browser to access both personal and professional websites. These wondrous tools that are part of our daily (digital) lives can now replace other existing software thanks to something called an extension.
ITrust is a leading French cybersecurity company that provides expertise, products, and security operations center services. It has over 200 clients, 100% annual growth, and offices in Paris, Toulouse, New York, and Shanghai. ITrust's flagship product is the IKare vulnerability management tool, which can reduce vulnerabilities by 90% by identifying and helping to correct security flaws. The company is working on new behavioral analytics and AI solutions to better detect unknown cyber threats.
ITrust proposes packaged security operation center (SOC) offerings to partners that can be customized and deployed quickly. The SOC uses unique behavior analysis technology and threat intelligence to detect threats like advanced persistent threats and unknown viruses. Partners can commercialize, install, use, and manage the SOC for their own clients and have potential for high income generation. ITrust adapts the offerings to different budgets and ensures partners have market-leading technology that is not subject to restrictions like the Patriot Act and keeps data hosted locally.
Comment éviter la prise d’otage de vos données @ITrustBlog
1. Comment éviter la prise d’otage de vos données
Qu’est-ce que c’est un CryptoLocker?
Le CryptoLocker est un virus appartenant à la famille Trojan ransomware, spécialisée dans l’extorsion
de fonds. À côté de ses cousins (CryptoWall, TorrentLocker, TeslaCrypt), il vise principalement les
ordinateurs Windows via les pièces jointes infectées ou, parfois, même à travers le botnet Gameover
ZeuS (si celui-ci est déjà présent sur le système de l’utilisateur). Une fois activé, le programme
malveillant crypte vos fichiers et vous envoie une demande de rançon. Nous pourrions aller plus loin
et comparer cela à la « mafia » de la cybersécurité. Imaginez Al Pacino dans le Parrain tenant vos
données en otage et exigent un paiement en échange de la clé de déchiffrement.
Mode opératoire
La « mafia » CryptoLocker a fait son apparition pour la première fois en septembre 2013, visant toutes
les versions de Windows, y compris Windows XP, Windows Vista, Windows 7 et Windows 8. Comme
toute tentative «criminelle», elle se nourrit du pire cauchemar des utilisateurs : la perte de données.
Mais pourquoi ce virus est-il si dangereux ? Contrairement à ses versions précédentes qui ne touchent
pas à vos données, le CryptoLocker bloque les fichiers avec une clé de chiffrement privée (un mélange
de RSA et AES) détenue seulement par le centre du contrôle, ce qui rend la récupération de données
pratiquement impossible.
À la fin du processus de chiffrement, le malware exécute un programme de paiement (nous pourrions
comparer cela à du « chantage »), demandant une certaine somme, jusqu’à une certaine date, pour
décrypter les fichiers de l’utilisateur. Si les conditions ne sont pas remplies, la clé de chiffrement est
effacée. En d’autres termes, s’il n’y a pas de sauvegarde disponible pour les données chiffrées, il est
fort probable qu’elles ne seront jamais récupérées.
Pertes enregistrées
Tout d’abord, nous devrions probablement commencer par dire que le CryptoLocker d’origine n’est
plus en circulation, suite à l’opération «Tovar», menée par la police en mai 2014, lorsque le botnet
Gameover ZeuS a été détourné. Pour ce faire, la police a impliqué une société spécialisée dans la
sécurité, qui a créé un outil permettant aux utilisateurs de récupérer leurs fichiers de manière gratuite,
en s’appuyant sur la base de données des clés privées utilisées par les logiciels malveillants.
Cependant, même avec la tête de la mafia éliminée, de nouvelles mutations se sont montrées
désireuses de prendre le pouvoir. Le CryptoLocker original a extorqué presque 3 millions $ au cours
de son existence. Ce n’est donc pas étonnant que de nombreux prétendants aient abordé la même
approche (et sous le même nom).
Le plus récent exemple et, à la fois, l’attaque du ransomware le plus médiatisé en Amérique du Nord,
a été enregistré à Hollywood (début février), quand des pirates ont bloqué le réseau informatique d’un
hôpital presbytérien.
2. Le malware a pris contrôle de l’établissement médical pour une durée de deux semaines, rendent le
personnel incapable de traiter ses patients, jusqu’à ce que finalement une rançon de 16900 $ fut
versée. Cela doit servir de leçon, les CryptoLockers d’aujourd’hui sont plus performants que ceux
d’origine.
Solutions existantes
Puisque le payload du virus CryptoLocker se cache dans la pièce jointe d’un message de phishing,
les antivirus courants ont du mal à empêcher cetype d’infection (lire notre article précédent ici pour en
savoir plus). D’autres solutions disponibles impliquent des stratégies de restriction logicielle (SRL) ou
AppLocker (la version améliorée du SRL), qui permettent aux utilisateurs de contrôler ou de bloquer
le déroulement de fichiers exécutables sur les zones utilisées le plus souvent par les malwares.
Néanmoins, si les utilisateurs ont des droits en tant qu’administrateur sur leurs propres ordinateurs,
ces solutions deviennent incomplètes. Malheureusement, ce scénario est parfois inévitable et, dans
ce cas, les deux outils peuvent être facilement induits en erreur.
Fenêtre d’opportunité
Quoi faire si votre ordinateur est déjà infecté par un CryptoLocker? Tout d’abord, ne paniquez pas. La
bonne nouvelle est qu’il y a une fenêtre d’opportunité dont vous pouvez profiter et, espérons-le, arrêter
la prise d’otage de vos données avant même qu’elle ait commencé.
Lorsqu’un utilisateur lance (sans le savoir) un logiciel malveillant sur son ordinateur, celui s’installe
dans le répertoire de l’utilisateur et obtient la clé publique de son serveur C&C. CryptoLocker
commence le chiffrement des données stockées localement ou dans les drives du réseau partagé et
génère des clés symétriques aléatoires pour chaque fichier qu’il crypte. Le focus est sur les documents
Office, les photos et les vidéos, globalement tout ce qui pourrait être de valeur pour l’utilisateur ciblé.
Il crypte alors la clé aléatoire en utilisant un algorithme asymétrique publique-privé de la clé de
chiffrement (RSA) et les clés de plus de 1024 bits. Ensuite, le virus ajoute cette clé aléatoire au fichier
crypté.
C’est au début de cette phase que Reveelium, notre solution d’analyse comportementale, peut
détecter les signaux faibles correspondant à des tentatives de connexion au centre de contrôle des
logiciels malveillants. Jusqu’à ce que le processus de cryptage soit terminé, les utilisateurs ont une
brève période de temps pour agir et effacer CryptoLocker. Gardez à l’esprit que, une fois enlevé, la
seule façon de récupérer vos données c’est à travers la restauration du système Windows.
Liens :
https://www.reveelium.com/fr/avoid-data-hostage-situation/
https://www.itrust.fr/eviter-la-prise-dotage-de-vos-donnees/