[CERT CYBERPROTECT] Campagne Rançongiciel Petya/NotPetya/Petrwrap

Une campagne d’infection par un rançongiciel est en cours.  Cette menace est connue sous les noms Petya/NotPetya/Petrwrap

Comme pour Wannacry, il a la capacité à se propager comme un ver informatique en exploitant une vulnérabilité SMB sur les systèmes d’exploitation Microsoft Windows.

La vulnérabilité en question est déjà corrigée par les derniers correctifs de sécurité.

Cependant, les vecteurs initiaux d’infection restent classiques : les courriels malveillants et l’exploit d’une vulnérabilité SMB.

Aussi, ce rançongiciel à la particularité de redémarrer la machine une fois le chiffrement terminé et la rendre inutilisable en changeant un paramètre dans le Master Boot Record (MBR).

Vos postes et serveurs

– Mettre à jour tous les systèmes (XP, Win 7, Win8, WinServer 2003, etc.) fonctionnant sous Windows en appliquant le correctif sorti par Microsoft le 14 mars 2017 : https://support.microsoft.com/fr-fr/help/4013389/title

La liste des systèmes vulnérables est présente sur ce lien (https://technet.microsoft.com/fr-fr/library/security/MS17-010) et sur le lien précédant.

– Mettre à jour Microsoft Office dont une vulnérabilité d’avril 2017 est fortement exploitée via l’ouverture de pièce jointe (https://support.microsoft.com/en-us/help/3178703/description-of-the-security-update-for-office-2016-april-11-2017)

– Désactiver le protocole SMBv1 sur vos machines

– Limiter l’exposition des services SMB sur Internet

– Nous vous recommandons de procéder à des sauvegardes régulières de vos serveurs et de vos données.

Vos paramètres AntiSPAM

Voici nos recommandations de paramétrage pour votre outil de messagerie.

Les extensions devant être considérées comme malveillantes lorsqu’elles sont en pièce jointe :

.exe, .pif, .application, .gadget, .msi, .msp, .com, .scr, .hta, .cpl, .msc, .jar
.bat, .cmd, .vb, .vbs, .vbe, .js, .jse, .ws, .wsf, .wsc, .wsh, .ps1, .ps1xml, .ps2, .ps2xml, .psc1, .psc2, .msh, .msh1, .msh2, .mshxml, .msh1xml, .msh2xml
.scf, .lnk, .inf , .reg, .dll
.wax, .wm, .wma, .wmd, .wmv, .wmx, .wmz, .wvx
.docm, .dotm, .xlsm, .xltm, .xlam, .pptm, .potm, .ppam, .ppsm, .sldm

Les extensions suivantes sont souvent légitimes et ne doivent pas subir un blocage mais elles peuvent contenir des éléments malveillants. Il faut donc être prudent lorsqu\’on les ouvre :
.zip, .rar, .ace, .gz, .tar, .7z, .z, .bz2, .xz, .iso
.htm, .html
.pdf, .doc, .rtf, .ppt, .xls, .docx, .rtfx, .pptx, .xlsx ,.odt

Les sauvegardes

Nous vous rappelons également qu’il est important d’effectuer des sauvegardes régulières des fichiers contenant des données importantes.

Ces sauvegardes doivent-être vérifiées de manière périodique et être conservées séparément du réseau bureautique (sinon lorsqu’un rançongiciel se propage sur le réseau, il va chiffrer vos sauvegardes…)

Enfin nous vous recommandons de sensibiliser les utilisateurs à ne pas ouvrir de courriel et de pièces jointes qui leur semble suspect

En cas de doute, n’hésitez pas à nous solliciter.

Cybercriminalité : les entreprises ciblées et leurs points faibles

Avec la hausse du nombre de cyberattaques, leur diversification et leur évolution constante, la cybersécurité et la gestion du risque sont devenues des problématiques incontournables pour les entreprises aujourd’hui. En effet, dans le dernier rapport MIPS du CLUSIF, il est constaté, par exemple, une hausse de 31% de la mise en place de solutions de sécurité et 69% des entreprises ont formalisé une PSSI.

Pour autant, la classification des données sensibles et la réalisation d’analyses de risques représentent toujours un point faible. A cela s’ajoute un autre point faible qui n’est malheureusement pas nouveau : la cybersécurité dans les TPE/PME.

Il faut savoir qu’actuellement, près de 80% des cyberattaques ciblent les PME.

Pourquoi les TPE/PME sont-elles des cibles ?

Tout d’abord, parce qu’elles représentent plus des ¾ des entreprises en France. Aussi la probabilité qu’une PME souffre d’une cyberattaque est plus importante.

De plus, ces entreprises qui manquent souvent de budget et qui se concentre donc sur leur cœur d’activité pour réaliser de la croissance, ne sont pas protégées ou trop peu. Elles se rendent ainsi vulnérables à toute intrusion ou cyberattaque.

Le piratage des données 

Selon le rapport du CLUSIF, les infections par virus arrivent en tête à 44%, les fraudes informatiques et télécoms (11%), le chantage ou extorsion informatique (11%)… Les pirates s’attaquent ainsi aux données (vol, détention contre rançon, altération etc), aux finances de l’entreprise (fraude au président), réalisent de l’espionnage économique, ou encore sabote le réseau. Pour cela, ils exploitent non seulement les failles techniques (logiciels et systèmes) mais également les failles humaines (social engineering).

Le réseau d’entreprises

Enfin, ces petites et moyennes entreprises sont la cible privilégiée des cyberattaques car elles constituent une passerelle vers une autre entreprise, une autre potentielle victime : ses clients, ses fournisseurs, ses partenaires…

Plus les entreprises sont connectées entre elles et plus le risque de cyberattaque grandit. Une entreprise mal protégée représente un chemin vers d’autres entreprises qu’il est facile aux pirates de suivre. Ils n’ont plus qu’à se balader d’entreprise en entreprise et exercer leurs méfaits.

Finalement, les grandes entreprises ne sont pas plus ciblées que les PME. Ce qui compte pour un pirate informatique c’est bien 1) la valeur des données de l’entreprise et 2) son interconnexion avec d’autres.

Protégez son entreprise et son réseau contre les cyberattaques est aujourd’hui une priorité essentielle et vitale pour l’économie. En plus des bonnes pratiques à mettre en oeuvre en entreprise, des services tels que Cyberprotect garantissent l’efficacité de votre cybersécurité au quotidien.

 

 

Qu’avez-vous pensé de cet article ? Venez échanger avec nous sur Twitter, LinkedIn, Facebook

Retrouvez tous nos articles et bulletins d’alerte sur https://www.cyberprotect.fr/labo/

Cécile FIORE – CM & Marketing – Cyberprotect

La gestion des risques avec Cyberprotect

Pour tout comprendre du fonctionnement Cyberprotect en matière de gestion du risque informatique, lisez notre infographie !

 

Retrouvez tous nos articles et bulletins d’alerte sur https://www.cyberprotect.fr/labo/

Qu’avez-vous pensé de cet article ? Venez échanger avec nous sur Twitter, LinkedIn, Facebook

Cécile FIORE – CM & Marketing – Cyberprotect

Administrations publiques : les oubliées de la cybersécurité mais pas des pirates informatiques !

Cyber-risques, cyber-attaques, les menaces informatiques sont aujourd’hui bien présentes dans l’esprit des entrepreneurs français. D’autres victimes telles que les particuliers sont également de plus en plus concernées. Il y a toutefois d’autres cibles rarement évoquées et qui pourtant jouent un rôle primordial dans la vie des citoyens et dans leur sécurité, notamment informatique. Ce sont les administrations publiques.

Parmi leurs fonctions, la gestion directe des services publics tel que l’aide sociale, l’éducation nationale, ou encore la gestion du service de l’eau par exemple. Ces administrations connaissent, elles aussi, la numérisation de leur fonctionnement : les documents, les déclarations et autres démarches administratives sont désormais enregistrées informatiquement et stockées sur le réseau de l’administration. De plus en plus de services sont également accessibles en ligne pour récupérer des données, des informations ou des documents.

Si actuellement les entreprises se posent cette question majeure et essentielle de savoir qui gère la sécurité informatique en leur sein, qu’en est-il des administrations publiques ?

Qui gère la sécurité informatique et qui est responsable de la cybersécurité de l’organisme ?

S’il y a un responsable, il n’est malheureusement souvent pas connu. D’après le rapport Primofrance paru en Septembre 2015, 85% des collectivités ne savent pas si un agent est affecté à la problématique de la sécurité informatique et moins de 15% des collectivités ont pris connaissance du Référentiel Général de Sécurité édité par l’ANSSI (RGS).

Quel est le risque, l’impact si une administration publique est touchée par une cyber-attaque ?

Plusieurs conséquences :
– paralysie d’un ou plusieurs services pouvant empêcher le bon fonctionnement de l’éclairage public par exemple ou du service des eaux
– paralysie de la communication sur le territoire puisqu’en effet les administrations publiques ont un devoir d’information notamment en cas de risques (naturels, technologiques…).
– atteinte aux données sensibles : vol des données personnelles (identités, informations relatives aux impôts ou encore au domaine de la santé comme l’assurance maladie par exemple), divulgation ou revente des données, perte pure…

L’impact est donc fort car la population est également victime en cas de malveillances dirigées contre une administration publique.

Le retard dans cette prise de conscience et dans les actions mises en œuvre est malheureusement dû à un manque d’information et de formation (10% des sondés organisent des formations de sensibilisation) mais également dû à un budget qui n’est pas, ou trop peu, attribué à la sécurité informatique.

Quelle solution pour ces collectivités ?

Au-delà de la mise en pratique immédiate des bonnes pratiques, de la sensibilisation active des agents concernant la sécurité informatique, des services tels que Cyberprotect proposent des solutions packagées pour assurer la cybersécurité de l’organisme.

 

Retrouvez tous nos articles et bulletins d’alerte sur https://www.cyberprotect.fr/labo/

Qu’avez-vous pensé de cet article ? Venez échanger avec nous sur Twitter, LinkedIn, Facebook

Cécile FIORE – CM & Marketing – Cyberprotect

[Résumé] Veille Cyberprotect mars 2016

Si vous êtes resté un mois enfermé dans une salle serveur, Cyberprotect vous fait le résumé de sa veille…

Les faits marquants

  • Les CTBLocker reviennent en force avec de nouvelles variantes -> lire
  • Etablir une politique de sécurité c’est bien mais contrôler son efficacité c’est mieux -> lire
  • Tendance métier : le data scientist -> lire
  • Intégrer le comportement humain dans les enjeux de la cybersécurité -> lire
  • Le cloud : entre engouement et réserve quant à son adoption -> lire
  • les bonnes pratiques pour se prémunir contre des cyberattaques (Guide ANSSI) -> lire

Les chiffres

  • big data : 90% des données existantes actuellement ont été créées ces deux dernières années -> lire
  • IoT : 80% des objets connectés présenteraient des failles de sécurité -> lire
  • cyberattaques : 9 semaines à une entreprise pour s’en remettre et un coût s’élevant à 772 942€ -> lire
  • 21 : c’est le nombre quotidien moyen de cybermenaces subi par les entreprises françaises -> lire

Ce qui nous a fait rire

 

Dan Piraro - Bizarro Comics : http://www.bizarrocomics.com/

Dan Piraro – Bizarro Comics : http://www.bizarrocomics.com/

 

 

 

Retrouvez tous nos articles et bulletins d’alerte sur https://www.cyberprotect.fr/labo/

Venez échanger avec nous sur Twitter, LinkedIn, Facebook

 

En matière de cybersécurité, la PSSI n’est pas suffisante

Virus, rançongiciel, piratage, malveillance, failles du facteur humain… Les cybermenaces sont bien connues et l’impact financier que subissent les entreprises victimes est conséquent. On se rappelle, entre-autre, des rançons s’élevant à plusieurs milliers de dollars pour des hôpitaux victimes de rançongiciels et 773 000€ serait le coût moyen estimé d’une cyberattaque. Face à ces faits, nombreux sont les systèmes de sécurité déployés pour se protéger de ces attaques. Pourtant 100 % des sociétés ayant subi une malveillance étaient sécurisées et la voie d’entrée des cybercriminels tient encore souvent à un simple mot de passe laissé par l’utilisateur lui-même dans son bureau. Alors quels recours pour les entreprises ?

Un élément nécessaire est la construction d’une politique de sécurité des systèmes d’information (PSSI) : un plan d’actions défini pour maintenir un certain niveau de sécurité. L’entreprise y inscrit sa vision stratégique en matière de sécurité des systèmes d’information (SSI). Cette PSSI, qui constitue le principal document de référence, définit les objectifs à atteindre et les moyens accordés pour y parvenir grâce à une analyse des risques du SSI qui aura été préalablement menée.

Lorsque la PSSI est validée par tous les différents acteurs de la sécurité de l’entreprise, elle est ensuite diffusée à l’ensemble des acteurs du système d’information (utilisateurs, exploitants, sous-traitants, prestataires…).

Il faut savoir qu’aujourd’hui, établir une PSSI n’est pas obligatoire, seules existent des recommandations et des bonnes pratiques telles que celles communiquées par l’ANSSI. En réalité, les sociétés rédigeant une PSSI sont en général de grandes entreprises, organisées, structurées, qui ont des services dédiés, du temps et du budget pour élaborer cette politique.

Quid des plus petites sociétés et autres organismes ?

En l’absence de PSSI, c’est souvent le « bon sens », ou des directives orales qui dictent les règles de sécurité. De même, si un partenaire, un fournisseur, un client, ne suit pas la PSSI de l’entreprise avec qui il travaille, alors la sécurité et la protection des données et des documents qui leur sont transmises peuvent être questionnées.

De plus, communiquer la politique de sécurité au sein de l’entreprise ne suffit pas. Encore faut-il que le personnel soit formé pour répondre aux problématiques du SSI.

Chaque personne possède au sein de l’entreprise ses connaissances, son savoir-faire et ses expériences. La perte d’un membre du personnel, pour quelque raison que ce soit, constitue également la perte de ses connaissances, savoir-faire et expériences… Une politique de formation et de transfert des connaissances représente un véritable atout pour l’entreprise, surtout dans un contexte où la sécurité et les menaces informatiques évoluent constamment.

D’autre part, lorsqu’on parle d’évolution de la cybersécurité et surtout des diversifications et des multiplications des cybermenaces, qu’en est-il de la PSSI ?

Sachant qu’à peine la moitié des entreprises françaises évaluent l’ensemble de leurs risques tous les ans et que les PME se sentent encore peu préoccupées par la gestion des risques informatiques (faits communément admis sans toutefois être chiffrés), on peut supposer qu’établir ou revoir une PSSI n’est malheureusement pas une priorité.

Et même si pour ceux qui ont défini une PSSI il semble primordial de la mettre à jour, les contraintes restent fortes : il faut disposer d’une équipe pour réécrire le plan d’actions, le soumettre à validation puis le diffuser à nouveau avec les modifications, ce qui demande du temps. Dès lors, la préoccupation de l’entreprise doit être l’application de ces mises à jour. Comment ? Par un contrôle continu et permanent de l’efficacité de la cybersécurité, tel que le propose des services comme Cyberprotect.

Car effectivement, toute nouvelle mesure ou règle perd de sa pertinence et de sa raison d’être si son application et son efficacité ne sont pas contrôlées. La confiance direz-vous ? Plusieurs exemples récents de piratages et de déploiement de maliciels nous montre que la confiance n’empêche pas la pénétration des systèmes de sécurité par des cybercriminels, que ce soit à causes de failles humaines ou techniques (partage de mot de passe (ang) ou vente, usurpation d’identité).

Alors sans rentrer dans de la paranoïa effrénée, et même si Andy Grove, Président d’Intel, disait « Seuls les paranoïaques survivent« , gardons à l’esprit que la définition d’une PSSI c’est bien, mais contrôler son application et son efficacité, c’est mieux.

Cécile FIORE – CM & Marketing – Cyberprotect

Failles de(s) sécurité(s), failles humaines : et si on traitait les deux ?

Une nouvelle étude de NTT Com Security estime qu’il faudrait neuf semaines à une entreprise pour se remettre d’une attaque et que cela lui coûterait 907 053 dollars en moyenne (soit 772 942€)…

[Bulletin d’Alerte Cyberprotect] Campagne Rançongiciel, techniques préventives

Les campagnes de Rançongiciel, notamment Locky (https://www.cyberprotect.fr/nouvelles-vagues-de-rancongiciels-comportement-conseil-solution/), continuent petit à petit à faire des victimes.

Pour rappel, la technique est simple : un courriel parfaitement rédigé en Français, reprenant les logos et couleurs de sociétés existantes est envoyé en masse aux entreprises.

Le courriel contient une pièce jointe, souvent un fichier Javascript « .js » qui une fois ouvert va chiffrer les fichiers présents sur le poste de l’utilisateur ainsi que ceux accessibles via un partage réseau.

Inutile donc de préciser que les dégâts peuvent-être considérables.

Parfois difficile à bloquer via les outils Anti-SPAM, le CERT CYBERPROTECT a cherché une mesure simple pour limiter la portée de l’ouverture de ces pièces jointes.

La première mesure est évidemment de sensibiliser les utilisateurs au traitement de leur courriel : https://www.cyberprotect.fr/labo/conseils/courriel/

La seconde est plus technique mais permet de limiter l’impact si un utilisateur ouvre une pièce jointe : il suffit de changer sur les postes, le programme par défaut qui ouvre les fichiers .js ou .vbs (deux types de fichiers exécutants des scripts).

Il suffit de modifier certaines clés du registre Windows. Pour cela, modifier les entrées « Edit », « Open » et « Open2 » suivantes :

HKEY_CLASSES_ROOT\JSFile\Shell\Edit\Command
HKEY_CLASSES_ROOT\JSFile\Shell\Open\Command
HKEY_CLASSES_ROOT\JSFile\Shell\Open2\Command

HKEY_CLASSES_ROOT\JSEFile\Shell\Edit\Command
HKEY_CLASSES_ROOT\JSEFile\Shell\Open\Command
HKEY_CLASSES_ROOT\JSEFile\Shell\Open2\Command

HKEY_CLASSES_ROOT\VBSFile\Shell\Edit\Command
HKEY_CLASSES_ROOT\VBSFile\Shell\Open\Command
HKEY_CLASSES_ROOT\VBSFile\Shell\Open2\Command

Modifiez les entrées par défaut « C:\Windows\System32\CScript.exe %1 » et « C:\Windows\System32\WScript.exe %1 »

par « C:\Windows\System32\Notepad.exe %1 »

Ainsi, si un utilisateur ouvre un fichier .js , il ne sera pas exécuté mais simplement ouvert avec le Bloc Note.

Cette solution semble intéressante car elle peut être déployée sur l’ensemble d’un parc via GPO.

Vos paramètres AntiSPAM

Voici nos recommandations de paramétrage pour votre outil de messagerie.

Les extensions devant être considérées comme malveillantes lorsqu’elles sont en pièce jointe :

“.exe”, “.pif”, “.application”, “.gadget”, “.msi”, “.msp”, “.com”, “.scr”, “.hta”, “.cpl”, “.msc”, “.jar”
“.bat”, “.cmd”, “.vb”, “.vbs”, “.vbe”, “.js”, “.jse”, “.ws”, “.wsf”, “.wsc”, “.wsh”, “.ps1”, “.ps1xml”, “.ps2”, “.ps2xml”, “.psc1”, “.psc2”, “.msh”, “.msh1”, “.msh2”, “.mshxml”, “.msh1xml”, “.msh2xml”
“.scf”, “.lnk”, “.inf” , “.reg”, “.dll”
“.wax”, “.wm”, “.wma”, “.wmd”, “.wmv”, “.wmx”, “.wmz”, “.wvx”
“.docm”, “.dotm”, “.xlsm”, “.xltm”, “.xlam”, “.pptm”, “.potm”, “.ppam”, “.ppsm”, “.sldm”

Les extensions suivantes sont souvent légitimes et ne doivent pas subir un blocage mais elles peuvent contenir des éléments malveillants. Il faut donc être prudent lorsqu’on les ouvre :
“.zip”, “.rar”, “.ace”, “.gz”, “.tar”, “.7z”, “.z”, “.bz2”, “.xz”, “.iso”
“.htm”, “.html”
“.pdf”, “.doc”, “.rtf”, “.ppt”, “.xls”, “.docx”, “.rtfx”, “.pptx”, “.xlsx” ,“.odt”

Les sauvegardes

Nous vous rappelons également qu’il est important d’effectuer des sauvegardes régulières des fichiers contenant des données importantes.

Ces sauvegardes doivent-être vérifiées de manière périodique et être conservées séparément du réseau bureautique (sinon lorsqu’un rançongiciel se propage sur le réseau, il va chiffrer vos sauvegardes…)

En cas de doute, n’hésitez pas à nous solliciter.

Les intranets, nouvelle cible des cryptolocker

Il y a quelques jours (le 1er mars 2016), Kaspersky révélait qu’une nouvelle évolution de CTB-Locker (locky…) s’attaquait maintenant au serveur web…

Nouvelles vagues de rançongiciels : comportement, conseil, solution

Les actes de cybercriminalités se comptent en nombre et de façon récurrente. Beaucoup d’entreprises, d’administrations ou de commerces sont victimes de cyberattaques. Parmi ces attaques nous trouvons des logiciels malveillants comme les rançongiciels. Pour citer l’ANSSI, « c’est une technique d’attaque courante de la cybercriminalité, le rançongiciel ou ransomware consiste en l’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement. »

Ces rançongiciel sont de plus en plus présents en ce moment et se renouvellent. Actuellement les alertes portent sur le rançongiciel Locky qui se propage via un e-mail de relance qui contient une facture sous le format Word. Ce serait ce même logiciel qui aurait attaqué il y a quelques jours un centre hospitalier américain, perturbant et endommageant considérablement ses activités.

http://www.lefigaro.fr/secteur/high-tech/2016/02/16/32001-20160216ARTFIG00205-un-hopital-americain-paralyse-par-des-pirates-informatiques.php

http://www.lemonde.fr/pixels/article/2016/02/18/un-hopital-americain-paye-une-rancon-a-des-pirates-informatiques_4867296_4408996.html

Malheureusement ce type de logiciel malveillant n’est pas nouveau et s’inspire même de maliciels déjà connus comme le trojan bancaire Dridex. Plusieurs campagnes de prévention avaient été déployées suite à l’identification de ce maliciel par l’ANSSI notamment, mais également par Cyberprotect, service de contrôle et de prévention en continu de la cybersécurité en entreprise :

https://www.cyberprotect.fr/bulletin-dalerte-Cyberprotect-campagne-courriel-malveillant-trojan-bancaire-dridex/

La principale raison d’être et/ou motivation de ces cyberattaques est d’extorquer de l’argent à leur victime, comme ce fut le cas pour cet hôpital américain cité plus haut qui a dû s’acquitter de 17 000 dollars de rançon pour pouvoir rétablir son activité. Et ce n’est qu’une victime parmi d’autres. La propriété intellectuelle de l’entreprise est également visée par ce type d’attaque.

Se pose maintenant la question : comment se prémunir contre ces cyberattaques ?

Une première chose est de ne pas cliquer sur un lien ou d’ouvrir une pièce jointe dont on ne connait pas la provenance. Maintenir le système d’exploitation ainsi que les antivirus à jour est également une bonne pratique. Toutefois, avec le volume de données échangées, il est devenu plus difficile d’éviter ces attaques dont les techniques d’infection se font toujours plus subtiles et discrètes.

Des solutions existent pour contrôler l’efficacité de votre sécurité et les comportements sur votre réseau comme le propose le service Cyberprotect. Par l’analyse du comportement sur votre réseau, Cyberprotect est capable de détecter une malveillance (non connue par les antivirus). Lorsque ce comportement anormal est détecté, l’alerte est immédiatement envoyée au centre d’opération Cyberprotect qui interviendra alors sur cet événement. Par la suite, et en attendant que les éditeurs d’antivirus fournissent des signatures, de nouvelles règles de comportement sont créées et communiquées aux clients Cyberprotect pour être appliquées en prévention de l’attaque identifiée.