La cybersécurité aujourd’hui, revue de la semaine du 21 mai 2021

Ceci est l’édition de la Semaine en revue pour les sept jours se terminant le vendredi 21 mai. Dans quelques minutes, Terry Cutler, PDG des laboratoires de cyologie de Montréal se joindra à moi pour discuter de certaines des nouvelles. Mais d’abord, un bref aperçu de certains des titres:

Le Darkside est-il vraiment devenu sombre? Les analystes de la sécurité ont été surpris et sceptiques lorsque le gang des ransomwares a publié un avis sur le site de fuite à la fin de la semaine dernière pour dire au revoir. Terry et moi discuterons de l’état des ransomwares, de leur rentabilité et de ce que l’avenir nous réserve.

Le rapport annuel du FBI sur les crimes sur Internet est sorti, et encore une fois, ce n’est pas joli. L’an dernier, il a reçu plus de 791 000 plaintes, avec une perte de 4,2 milliards de dollars. Environ un tiers d’entre eux concernaient le phishing, les SMS et les escroqueries par téléphone. Il y a eu de nombreuses escroqueries COVID-19, des escroqueries visant à obtenir le soutien du gouvernement COVID.

La plus grande perte a été l’escroquerie de compromis par e-mail d’entreprise, également connue sous le nom d’escroqueries de dirigeants d’entreprise. C’est là que les employés sont amenés à envoyer des paiements pour des choses comme des factures à un compte bancaire géré par des criminels au lieu de l’endroit où vont les paiements habituels. Celles-ci ont coûté aux victimes 1,8 milliard de dollars de pertes.

Parmi les plaintes figuraient plus de 105 000 personnes de plus de 60 ans, avec une perte totale de plus de 966 millions de dollars. Ils ont été victimes d’une grande variété de romances, d’imitations gouvernementales, de loteries, de réparations domiciliaires et d’autres escroqueries. Le problème est si grand que le FBI envisage de publier cette année un rapport sur ce qu’il appelle la fraude aux aînés.

Le FBI a également averti cette semaine d’une vile escroquerie visant les familles de personnes disparues. Le but est de leur extorquer de l’argent, de prétendre qu’une personne disparue est blessée ou malade et ne peut pas contacter la famille. Les escrocs utilisent les familles d’information des médias sociaux pour demander de l’aide pour retrouver leurs proches.

Et pour couronner le tout, cette semaine, la conférence annuelle RSA sur la cybersécurité a eu lieu. De nombreuses présentations ont donné de bonnes leçons aux responsables informatiques et commerciaux. En voici une: la cybersécurité dans votre entreprise est-elle traitée comme une entreprise ou comme une responsabilité informatique? S’il ne s’agit que d’une responsabilité informatique, l’organisation est en difficulté.

(Ce qui suit est une transcription concise)

Howard: Je vais faire venir Terry Cutler. W.nous commençons par les ransomwares. Après une attaque contre Colonial Pipeline aux États-Unis, Darkside a déclaré avoir perdu l’accès à la zone publique de son blog, à son serveur de paiement et à son serveur de diffusion de contenu. Et en outre, des fonds de crypto-monnaie ont également été prélevés par quelqu’un du serveur de paiement du gang, où les victimes effectuaient des paiements de ransomware. Et puis, il a promis de libérer ses clés de décryptage afin que toute personne affectée par son ransomware puisse récupérer ses données cryptées gratuitement. Et au fait, la libération de ces clés n’a pas été vérifiée. Ma question est donc: Darkside est parti. Et même si c’est le cas, est-ce important?

Torchon: N.personne ne sait avec certitude. Je pense que ce qui s’est passé, c’est qu’ils ne s’attendaient pas à ce désordre chaotique avec le pipeline [temporarily] crash. Donc je pense qu’ils ont eu beaucoup trop de chaleur. Et d’autres gangs veulent se retirer, surtout après le président [Biden] elle mentionne à la télévision nationale. Ils ne veulent donc pas être affiliés à cela. Ce qui est intéressant, c’est que c’est arrivé un jour après ça [President’s] l’ordre exécutif est sorti et ils ont dit [the U.S.] vont prendre cela en main et arrêter ces cybercriminels. Et puis les serveurs sont tombés en panne et cet argent a été pris … Je pense que ce qui va se passer, c’est eux [Darkside] vont fermer cette marque et se reconstruire.

Howard: Combien Darkside a-t-il obtenu dans sa jeune vie?

Torchon: [According to security firm Elliptic] they a obtenu 90 millions de dollars en neuf mois … 75 millions de dollars sont allés aux affiliés et ces types ont rapporté 15 millions de dollars.

Howard: Une autre société de cybersécurité appelée Emsisoft a estimé que les ransomwares ont coûté aux entreprises du monde entier 42 milliards de dollars en interruptions d’activité et en paiements de ransomwares l’année dernière. L’autre chose qui était intéressante était qu’il y avait un rapport cette semaine d’un fournisseur de sécurité géré canadien appelé eSentire. Il a calculé que six groupes de ransomwares ont frappé 292 victimes au cours des quatre premiers mois de cette année seulement. Si la moitié d’entre eux avaient payé en moyenne environ 300 000 dollars en rançon, ces gangs auraient rapporté 45 millions de dollars. Et encore une fois, c’est juste une preuve supplémentaire de la rentabilité des ransomwares.

Cela a été une semaine de rapports sur les ransomwares. Il y a eu un rapport sur le site d’informations Bleeping Computer selon lequel le gang de ransomwares Mt Locker dispose d’une nouvelle version de son ransomware qui utilise une capacité de Windows Active Directory pour permettre à son ransomware de se propager sur le réseau informatique d’une organisation. Il utilise une API ou une interface de programmation d’application dans Active Directory pour collecter des informations sur tout ce qui se trouve sur le réseau. Et c’est mauvais, car Active Directory est un endroit central pour toutes ces informations. C’est une autre raison pour laquelle les responsables informatiques doivent s’assurer qu’Active Directory est protégé contre toutes sortes d’attaques. Comment le service informatique peut-il protéger Active Directory?

Torchon: Ils doivent apprendre à former leurs employés à surveiller les informations d’identification sur le Web sombre, car les cybercriminels utilisent souvent des mots de passe divulgués sur le Web sombre et utilisent des attaques dites de bourrage d’informations d’identification pour se connecter à l’entreprise. Une fois qu’ils y ont accès, en particulier s’il s’agit d’un accès administrateur, ils peuvent réellement commencer à implémenter un ransomware … Une fois qu’il peut entrer dans votre environnement, la première chose que vous ferez est d’essayer de renommer vos systèmes. Identifiez vos contrôleurs dans votre environnement. Et puis il va faire des recherches sur ces systèmes pour voir les noms des ordinateurs qui sont dans l’environnement. Une fois qu’il a cette liste d’ordinateurs, il va relayer ces informations d’identification et commencer à se connecter à ces ordinateurs. Et une fois qu’il est entré, il commence à crypter ces ordinateurs.

Howard: E.depuis que le groupe de travail sur les ransomwares a publié un rapport au président il y a environ une semaine [Biden], a déclaré que les États-Unis souhaitaient devenir plus actifs sur les ransomwares. Il y a beaucoup de pression sur les pays pour qu’ils se rassemblent, que leurs forces de l’ordre se réunissent et s’attaquent aux gangs de ransomwares et à leur infrastructure. Et cela fonctionne: en janvier, par exemple, l’infrastructure du gang de ransomwares Netwalker a été démolie avec l’aide de la GRC au Canada, du FBI aux États-Unis et des forces de l’ordre européennes.

Torchon: jeCela fonctionne vraiment, mais le problème est souvent que nous avons affaire à la loi, lorsque nous travaillons souvent avec des agents d’application de la loi, ils sont en sous-effectif, surchargés de travail et il est très difficile d’avoir toute l’attention et de se concentrer sur la prise de ces types de gangs. vers le bas. Mais quand ça marche, ça marche vraiment.

Howard: Je sais qu’il y a eu une réunion en avril des ministres responsables de la police internationale dans les pays de Five Eyes. Et cela inclut le Canada, les États-Unis, le Royaume-Uni, l’Australie et la Nouvelle-Zélande, et ils ont signé une déclaration conjointe s’engageant à travailler plus dur ensemble pour lutter contre les gangs de ransomwares. C’est donc bon signe.

En attendant, juste pour souligner que les ransomwares ne disparaissent pas, voici quelques-unes des dernières victimes des ransomwares: un courtier d’assurance en ligne britannique, des filiales de la compagnie d’assurance AXA, le service de santé irlandais, une division de Toshiba. Et je n’ai pas été en mesure de le confirmer, mais un gang de ransomwares dit qu’il a frappé une société de distribution à Calgary. Quels sont les meilleurs moyens pour les organisations de se protéger contre les ransomwares?

Torchon: OL’un des moyens consiste à vous assurer que vos sauvegardes sont protégées. Assurez-vous d’avoir plusieurs copies, en particulier celles hors ligne. De cette façon, vous pouvez récupérer beaucoup plus rapidement si vous êtes affecté par un ransomware. Le défi qui va se produire ici est que si des cybercriminels ont envahi votre environnement et sont passés inaperçus pendant des mois, il y a de fortes chances qu’ils aient copié vos données. Ainsi, même si vos sauvegardes peuvent vous aider à récupérer après une attaque de ransomware, elles peuvent revenir et vous extorquer de ne pas divulguer vos données.

Vous avez besoin d’une authentification à deux facteurs [for extra login protection]. De nombreuses entreprises ne l’ont pas mis en œuvre correctement pour le moment. Assurez-vous également d’utiliser un VPN [virtual private network] et soyez également prudent avec [Windows] Protocole RDP Remote Desktop.

Faites attention à qui vous donnez un accès administrateur: seuls les administrateurs doivent avoir des droits d’administrateur. Assurez-vous d’appliquer les principes du moindre privilège … Une autre chose que les entreprises ne font pas souvent est la segmentation du réseau … pour éviter une panne catastrophique complète si un ransomware frappe.

Lorsque nous effectuons des audits, nous constatons toujours que de nombreuses entreprises ne disposent pas des bases, telles que la correction correcte de vos systèmes ou le fait d’avoir des utilisateurs dans Active Directory qui ne font pas partie de l’entreprise depuis des années.

Formez vos utilisateurs. La formation de sensibilisation est essentielle. C’était l’une des principales façons dont les cyberattaques ont eu lieu en 2020 – par le phishing. Former les utilisateurs à ne pas cliquer sur. Nous avons des problèmes avec les entreprises qui utilisent des logiciels antivirus qui ne disposent pas de la protection adéquate. Alors optez toujours pour les versions payantes de ce logiciel. Regardez votre pare-feu et votre logiciel de filtrage des e-mails qui peuvent surveiller les pièces jointes malveillantes qui arrivent.

Assurez-vous également de rencontrer votre équipe pour vous assurer qu’un plan de reprise après sinistre est en place. En cas de catastrophe, vous savez quoi faire, dans quel ordre et qui contacter.

(Pour écouter le podcast complet, lisez l’enregistrement)

Leave a Reply

Your email address will not be published. Required fields are marked *