Alerte sur les attaques de type cryptolocker ou rançongiciel

Depuis plusieurs semaines, nous notons une recrudescence des attaques de type cryptolocker auprès de différentes entreprises et collectivités.

Un cryptolocker(ou rançongiciel) est un programme malveillant qui chiffre les données du poste compromis. Il va également cibler les partages de fichiers accessibles depuis le compte utilisateur dont la session est compromise. Celui-ci est exécuté, dans le cas présent, par une action de l’utilisateur.

Ce « virus » est dit polymorphe et est difficilement détectable par les différents outils de sécurité (pare-feu, antispam, antivirus… etc.).

La vigilance de chacun peut limiter le risque d’attaque.

Le CERT-FR recommande de sensibiliser les utilisateurs aux risques associés aux messages électroniques pour éviter l’ouverture de pièces jointes.

Il convient en effet de ne pas cliquer sans vérification préalable sur les liens de messages et les pièces jointes. Les utilisateurs ne doivent pas ouvrir des messages électroniques de provenance inconnue, d’apparence inhabituelle ou frauduleuse. Plus généralement, il convient de mettre à jour les postes utilisateurs, notamment le système d’exploitation et les applications exposées sur Internet (lecteur PDF, lecteur messagerie, navigateurs et greffons) dans le cas où le code malveillant (ou une variante) exploiterait une vulnérabilité logicielle.

http://www.cert.ssi.gouv.fr/site/CERTFR-2015-ALE-015/index.html

En cas de suspicion d’attaques, déconnectez immédiatement le poste ou le serveur du réseau afin de bloquer la propagation au plus tôt.

Une fois cette opération réalisée, contacter les équipes Réseaux & Systèmes au plus vite par un des moyens suivants :

Risque d’attaques informatiques important à partir du 15 Janvier 2015

Agence nationale pour la Sécurité des Systèmes d'Information
Agence nationale pour la Sécurité des Systèmes d’Information

La gendarmerie nationale vient d’émettre un bulletin d’alerte important nous informant qu’une série d’attaques informatiques seraient en préparation depuis plusieurs mois. Cette vague se déclencherait à compter du Jeudi 15 Janvier 2015.

Nous vous recommandons donc d’observer la plus grande attention à tous changements « originaux » pouvant se produire dans vos systèmes d’informations, ainsi qu’à vérifier que vos sites webs visibles depuis Internet ne sont pas victimes de telles attaques. En cas de soucis, n’hésitez pas à prendre contact avec notre service d’assistance technique assistance@inforsud.com. Nous vous recommandons également cet article sur le FOVI.

Le bulletin d’alerte complet, présentant les démarches à suivre en cas d’attaque, ainsi que quelques bonnes pratiques à respecter, est disponible ici : Fiche Information Attaque 15 Janvier 2015

Alerte aux arnaques bancaires

I-Want-Your-MoneyUne recrudescence des arnaques bancaires est actuellement en train de s’abattre sur les entreprises françaises. Il n’aura pas échappé aux oreilles attentives que la société Michelin a récemment officialisé une perte nette de 1,6 Millions d’euros dans ce cadre. Mais attention, ce type d’attaque touche aujourd’hui l’ensemble des entreprises, petites comme grandes, également sur notre territoire !Ces attaques, classées de manière générique sous le terme de FOVI, se présentent aujourd’hui sous deux formes principales, toutes les deux touchant les collaborateurs des équipes comptables et financières :

  • « L’escroquerie au président » : Un collaborateur de l’équipe comptable est contacté par un supposé président de l’entreprise, ou cabinet intermédiaire agissant en pouvoir de cette même personne, et demande à ce que soit réalisé un virement pour le compte d’une opération ultra confidentielle et secrète . Le collaborateur peut subir différents types de pression et être mis dans une situation émotionnelle complexe à gérer, finissant ainsi par réaliser ledit virement. Cette opération va en général se dérouler pendant le déplacement d’un directeur général ou directeur administratif et financier, donnant ainsi plus de réalisme à l’opération, ou alors un vendredi en fin de journée. C’est à son retour qu’en général la supercherie sera découverte. Même s’il existe un délai de recouvrement des créances grâce à des accords interbancaires de quelques dizaines d’heures, il est probable que celui soit écoulé générant une perte sèche pour l’entreprise. Et bien sur, malheureusement, plus le montant sera important, plus l’opération sera jugée réaliste par la personne contactée.
  • « L’escroquerie au RIB » : Un supposé fournisseur contactera un collaborateur pour l’informer d’un changement de RIB vers une nouvelle banque. Cette nouvelle banque se trouvant dans un pays « exotique », ce type d’attaque touchera avant tout les entreprises travaillant déjà au niveau international. Le vrai fournisseur vous rappellera au bout d’un temps plus ou moins long, s’étonnant de ne plus voir de règlements, et là encore il sera trop tard pour récupérer les sommes extorquées.

Il existe d’autres variantes, utilisant des moyens plus ou moins complexes, mais toutes utilisent la même faille : l’Homme. Il est donc primordial afin de se protéger contre ces attaques de correctement sensibiliser l’ensemble de vos équipes à ces risques afin que les bonnes réactions soient prises au moment opportun. Quelques actions techniques peuvent être prises pour limiter le risque parmi lesquelles :

  • Identifier les éléments à risque au sein de votre entreprise, les éléments financiers devant bien sur être pris en compte.
  • Correctement formaliser vos processus de décision en prenant en compte ces nouveaux risques
  • Toujours re-contacter un interlocuteur sur un numéro de téléphone connu de l’entreprise (et non pas celui présent dans une signature mail ou communiqué par téléphone)

En cas d’attaque, ou de tentative, il est important de déposer une plainte en gendarmerie (ou en commissariat pour les zones couvertes par la police), en demandant un personnel spécialisé en numérique. Cette démarche étant nouvelle, nous vous conseillons de réaliser une pré-plainte en ligne qui rendra la discussion plus facile par la suite sur le site gouvernemental : www.pre-plainte-en-ligne.gouv.fr.

La région Midi-Pyrénées est aujourd’hui une des régions européennes victime du plus grand nombre de cyber-attaques, dans le secteur aéronautique naturellement, mais pas seulement. Notre positionnement au cœur du territoire, et des PME, nous confirme d’ailleurs cette vision statisticienne.  C’est donc pour cela que nous restons à votre entière disposition pour échanger sur ce sujet et pour obtenir des informations supplémentaires sur le sujet de plus en plus sensible de la sécurité numérique.

 

Attaque Virale – Mars 2013

Ce mois de Mars 2013 voit une forte montée en puissance de plusieurs virus visant une faille de sécurité d’Internet Explorer.

Malgré une mise à jour de sécurité critique pour plusieurs versions d’Internet Explorer sortie le 12 Mars 2013, il semble qu’un nombre important d’entreprises subissent actuellement des attaques utilisant les failles identifiées. Les failles qui n’avaient pas alors été identifié publiquement, permettent l‘exécution de code à distance avec les privilèges de l’utilisateur identifié, et peuvent donc avoir des impacts importants sur vos systèmes.

Quasiment tous les systèmes (postes XP, Vista, W7, W8 et serveurs 2003, 2008, 2012, hormis les versions « core ») utilisant Internet Explorer des versions 7 à 10 sont potentiellement impactés, et doivent être rapidement mis à jour avec le patch cumulatif 2809289, ou via Windows Update

La propagation de ces virus se fait principalement par clés USB, et via les répertoires partagés présents sur vos réseaux. Redoublez donc d’attention lors d’échanges d’informations par ces moyens !

Nous sommes bien sûr à votre disposition pour vous assister dans ces démarches de protection de vos environnements informatiques.

—-

Bulletin de sécurité Msft : MS13-021

Virus identifiés : WORM VOBFUS SMMC