IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 381
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 381
    Points : 196 408
    Points
    196 408
    Par défaut Des hackers ont extorqué 1,14 million $ à l'Université de Californie après une attaque au ransomware
    Des hackers ont extorqué 1,14 million de dollars à l'Université de Californie après une attaque au ransomware.
    Le malware a verrouillé des fichiers cruciaux de recherches stockés dans le réseau de sa faculté de médecine

    L'Université de Californie (University of California, San Francisco ou encore UCSF) a admis avoir payé à des hackers une rançon de 1,14 million de dollars après une phase de négociation pour récupérer des fichiers verrouillés par une infection par ransomware.

    L'université a été frappée le 1er juin par des logiciels malveillants qui ont pénétré les systèmes informatiques de l'école de médecine de l'UCSF, cette dernière travaillant entre autres sur un remède pour le Covid-19. Les administrateurs ont rapidement tenté d'isoler l'infection et de circonscrire un certain nombre de systèmes pour empêcher le ransomware de se rendre sur le réseau UCSF principal et de causer d'autres dommages.

    Alors que l'Université affirmait que la cyberattaque n'a pas affecté « nos opérations de prestation de soins aux patients, le réseau global du campus ou le travail COVID-19 », les serveurs UCSF utilisés par l'école de médecine ont été chiffrés.

    Les ransomwares peuvent être particulièrement destructeurs, car une fois qu'un système est compromis, le contenu est chiffré et rendu inaccessible. Les victimes sont alors confrontées à un choix : perdre potentiellement leurs fichiers (pour celles qui ne disposent pas de sauvegardes), ou payer une demande de rançon. Les cyberattaquants incluent souvent un délai pour la prise de décision, mettant explicitement plus de pression aux victimes qui envisagent de payer.

    Comme le montre ce cas, les demandes de rançon peuvent atteindre des millions de dollars.

    Il n'est pas recommandé aux victimes de se plier aux demandes de rançon, car cela favorise les entreprises criminelles. Les experts en cybersécurité affirment que ce type de négociations se déroule désormais dans le monde entier (parfois pour des sommes encore plus importantes) contre l'avis des forces de l'ordre, notamment le FBI, Europol et le National Cyber Security Center du Royaume-Uni.

    Cependant, l'UCSF a déclaré avoir pris la « décision difficile de payer une partie de la rançon », car certaines des informations stockées sur les serveurs sont « importantes pour certains des travaux académiques que nous poursuivons en tant qu'université au service du bien public ».

    Le gang Netwalker serait responsable. Netwalker à lui seul a été lié à au moins deux autres attaques de ransomwares contre des universités entre avril 2020 et mai 2020.

    Dans les coulisses des négociations

    La BBC a pu suivre la négociation, faite sur le Dark Web, entre Netwalker et l'université. Les acteurs malveillants ont d'abord exigé 3 millions de dollars, mais l’UCSF a proposé une offre de 780 000 dollars, rappelant que la nouvelle pandémie de coronavirus avait été « financièrement dévastatrice » pour l'institution universitaire. Cette offre, cependant, a été rejetée et au fil des échanges, les deux parties ont décidé du montant de 1 140 895 $ qui ont été payés en bitcoins. En échange du paiement, les acteurs malveillants ont fourni un outil de déchiffrement et ont déclaré qu'ils supprimeraient les données volées de ses serveurs.

    Une information anonyme a permis à BBC News de suivre les négociations de rançon dans un chat en direct sur le dark web.

    Nom : un.png
Affichages : 2946
Taille : 149,3 Ko
    Le site sur le Dark Web de Netwalker utilisé pour les négociations avec les victimes

    À première vue, la page d'accueil sur le Dark Web ressemble à un site Web standard de service à la clientèle, avec un onglet Foire aux questions (FAQ), une offre d'un échantillon « gratuit » de son logiciel et une option de chat en direct.

    Mais il y a aussi un compte à rebours jusqu'à un moment où les hackers doublent le prix de leur rançon ou suppriment les données qu'ils ont chiffrées avec des logiciels malveillants.

    Invitée à se connecter (soit par courriel, soit par une note de rançon laissée sur des écrans d'ordinateur piratés, l'UCSF a reçu le message suivant, publié le 5 juin : « Hello UCSF, ne soyez pas timides. Nous pouvons travailler de concert pour résoudre l’incident actuel ».

    Nom : deux.png
Affichages : 2440
Taille : 130,8 Ko

    Six heures plus tard, l'université a demandé plus de temps et que les détails du piratage soient supprimés du blog public de Netwalker. Les hackers ce sont exécutés et ont prévenu l’université :

    Nom : trois.png
Affichages : 2368
Taille : 100,9 Ko

    Notant que l'UCSF gagnait des milliards par an, les hackers ont ensuite exigé 3 millions de dollars. Mais le représentant de l'UCSF, qui peut être un négociateur spécialisé externe, a expliqué que la pandémie de coronavirus avait été « financièrement dévastatrice » pour l'université et les a suppliés d'accepter 780 000 dollars.

    Ce à quoi l’interlocuteur a répondu :

    « Comment pourrais-je accepter 780 000 dollars ? Ce serait comme si j’ai travaillé pour rien. Vous pouvez réunir de l’argent en quelques heures seulement. Vous devez prendre ce problème au sérieux. Si nous publions [ces données] sur notre blogue, les données sur vos étudiants, je suis certain que vous allez perdre plus d’argent que ce que nous vous demandons. Nous pouvons nous entendre sur un prix, mais pas de cette façon, parce que je le prends comme une insulte

    « Gardez cet argent pour acheter des McDonald à vos employés, le montant est vraiment trop faible pour nous ».

    Nom : quatre.png
Affichages : 2478
Taille : 347,9 Ko

    Après une journée de négociations, l'UCSF a déclaré qu'elle avait rassemblé tout l'argent disponible et pouvait payer 1,02 million de dollars - mais les criminels ont refusé de descendre en dessous de 1,5 million de dollars :

    « J’ai parlé à mon boss, je lui ai envoyé tous les messages et il ne comprend pas comment une université comme la votre qui fait 4 à 5 milliards de dollars par an [ne parvient pas à payer la rançon]. C’est vraiment difficile à croire que vous ne pouvez réunir que 1 020 895 dollars, mais d’accord. Je pense sincèrement que votre service comptabilité peut réunir 500 000 dollars de plus. Nous accepterons donc 1,5 million et tout le monde pourra aller se coucher.

    Nom : cinq.png
Affichages : 2500
Taille : 225,6 Ko

    Quelques heures plus tard, l'université est revenue avec des détails sur la façon dont elle avait obtenu plus d'argent et une offre finale de 1 140 895 $.

    Nom : six.png
Affichages : 2390
Taille : 95,6 Ko

    Et le lendemain, 116,4 bitcoins ont été transférés vers les portefeuilles électroniques de Netwalker et le logiciel de déchiffrement a été envoyé à UCSF. Par la suite, l'UCSF a assisté le FBI dans ses enquêtes tout en travaillant à restaurer tous les systèmes affectés.

    L’Université a déclaré : « Les données chiffrées sont importantes pour certains des travaux universitaires que nous poursuivons en tant qu'université au service du bien public. Nous avons donc pris la décision difficile de payer une partie de la rançon, environ 1,14 million de dollars, aux personnes à l'origine de l'attaque du malware en échange d'un outil pour déverrouiller les données cryptées et le retour des données qu'ils ont obtenues. Ce serait une erreur de supposer que toutes les déclarations et affirmations faites dans le cadre des négociations sont factuellement exactes ».

    Ce qu’en pensent les professionnels et les forces de l’ordre ?

    Selon les SophosLabs, la boîte à outils Netwalker est complète et comprend le ransomware Netwalker, Zeppelin et Smaug, des outils de reconnaissance basés sur Windows et un logiciel d'identification par force brute.

    Les chercheurs affirment que ce groupe a tendance à se concentrer sur les grandes organisations plutôt que sur des cibles individuelles. Dans les attaques passées, Netwalker a ciblé les systèmes via des vulnérabilités bien connues et publiques ou via le bourrage d'informations d'identification sur des machines sur lesquelles les services de bureau à distance sont activés.

    Jan Op Gen Oorth, d'Europol, qui gère un projet appelé No More Ransom, a déclaré : « Les victimes ne devraient pas payer la rançon, car cela finance les criminels et les encourage à poursuivre leurs activités illégales. Au lieu de cela, elles devraient le signaler à la police afin que les forces de l'ordre puissent perturber l'entreprise criminelle ».

    Brett Callow, analyste des menaces au sein de la société de cybersécurité Emsisoft, a déclaré : « Les organisations dans cette situation n'ont pas de bonne option. Même si elles paient la demande, elles auront simplement la promesse que les données volées seront supprimées des serveurs des hackers. Mais pourquoi une entreprise criminelle impitoyable supprimerait-elle des données qu'elle pourrait éventuellement monétiser ultérieurement ? »

    La plupart des attaques de ransomwares commencent par un emaiI piégé et la recherche suggère que les gangs criminels utilisent de plus en plus des outils qui peuvent accéder aux systèmes via un seul téléchargement. Au cours de la première semaine de juin seulement, les analystes en cybersécurité de Proofpoint affirment avoir vu plus d'un million d'e-mails utilisant une variété de leurres de phishing, y compris de faux résultats de test Covid-19, envoyés à des organisations aux États-Unis, en France, en Allemagne, en Grèce et en Italie.

    Les organisations sont encouragées à sauvegarder régulièrement leurs données hors ligne.

    Mais Ryan Kalember de Proofpoint a déclaré : « Les universités peuvent être des environnements difficiles à sécuriser pour les administrateurs informatiques. La population étudiante en constante évolution, combinée à une culture d'ouverture et de partage d'informations, peut entrer en conflit avec les règles et les contrôles souvent nécessaires pour protéger efficacement les utilisateurs et les systèmes contre les attaques ».

    Source : BBC

    Et vous ?

    Êtes-vous pour ou contre le fait de payer des rançons pour récupérer ses données chiffrées ? Dans quelle mesure ?
    Quelles sont les pratiques de sécurité que vous recommanderiez ?
    Partagez-vous l'idée selon laquelle des entités comme les universités sont des cas particuliers où il serait difficile d'appliquer des politiques strictes en matière de cybersécurité ?
    Que pensez-vous de la menace du ministère américain des Finances qui prévoit d'infliger de lourdes amendes aux organisations qui acceptent de verser des rançons aux cyberacteurs pour récupérer leurs données ?

    Voir aussi :

    Le géant français de l'informatique Sopra Steria touché par le ransomware Ryuk, qui aurait chiffré des parties de son réseau
    Une flambée des attaques de ransomware au cours du dernier trimestre, selon une étude de Check Point
    Les victimes de ransomwares qui paient pourraient se voir infliger de lourdes amendes par l'Oncle Sam, la sanction s'applique même aux sociétés de sécurité et de financement impliquées
    Les attaques de logiciels malveillants sont en baisse de 33 % tandis que les attaques par ransomwares connaissent une progression de 20 % en 2020, selon un rapport de SonicWall
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre éclairé
    Homme Profil pro
    Enseignant
    Inscrit en
    Juin 2004
    Messages
    515
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Meurthe et Moselle (Lorraine)

    Informations professionnelles :
    Activité : Enseignant

    Informations forums :
    Inscription : Juin 2004
    Messages : 515
    Points : 705
    Points
    705
    Par défaut
    Mon commentaire paraitra sûrement naïf car je ne suis pas spécialiste dans le domaine, mais à ce niveau d'importance des données pour un institut de recherche, il n'y aurait aucune sauvegarde régulière?

  3. #3
    Membre expérimenté
    Homme Profil pro
    Développeur Java
    Inscrit en
    Mai 2019
    Messages
    474
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Développeur Java

    Informations forums :
    Inscription : Mai 2019
    Messages : 474
    Points : 1 359
    Points
    1 359
    Par défaut
    Citation Envoyé par jackk Voir le message
    Mon commentaire paraitra sûrement naïf car je ne suis pas spécialiste dans le domaine, mais à ce niveau d'importance des données pour un institut de recherche, il n'y aurait aucune sauvegarde régulière?
    Très certainement que les pc sur lesquels les données sont sauvegardées étaient infectés aussi, ce qui pose la question de : pourquoi ne pas avoir un serveur connecté au réseau uniquement tous les X temps pour faire une sauvegarde et ensuite le sortir.

  4. #4
    Expert éminent sénior

    Homme Profil pro
    Directeur des systèmes d'information
    Inscrit en
    Avril 2002
    Messages
    2 789
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 63
    Localisation : Luxembourg

    Informations professionnelles :
    Activité : Directeur des systèmes d'information
    Secteur : Finance

    Informations forums :
    Inscription : Avril 2002
    Messages : 2 789
    Points : 18 930
    Points
    18 930
    Par défaut
    Les malwares sont très sophistiqués et vont aussi crypter les unités de sauvegardes connectées qu'il trouve.

    Il faut avoir un système de sauvegarde à l'ancienne avec des unités qui ne restent pas connectées, et aussi avoir des sauvegardes multiples en rotation pour pouvoir remonter en arrière pour retrouver des données encore lisibles, n'oublions pas qu'il y aura donc quand même des données perdues entre la sauvegarde et la dernière exploitation et pour certaines entreprises ça peu être fatal.

    N'oublions pas la fameuse blague qui a encore toujours court : toutes les sociétés qui n'ont jamais fait de tests de récupération et qui découvrent le moment venu que leur sois disant système de sauvegarde en réalité ne marche pas du tout, parce qu'il n'a simplement jamais été testé, et pour ceux la ceux la, et ils sont nombreux, c'est mort.

    La Cybersécurité c'est un métier, les entreprises qui n'ont pas mis les moyens de le gérer correctement sont devenues des cibles faciles. Tous les tests faits par des hackers éthiques montrent que les entreprises, même les plus grandes et les plus connues peuvent avoir des grosses failles, exemples :

    Apple paie 288 000 dollars à des hackers éthiques qui ont trouvé 55 vulnérabilités sur le réseau de l'entreprise, dont 11 estimées comme critiques
    Le géant français de l'informatique Sopra Steria touché par le ransomware Ryuk, qui aurait chiffré des parties de son réseau
    Ne prenez pas la vie au sérieux, vous n'en sortirez pas vivant ...

  5. #5
    Candidat au Club
    Inscrit en
    Juin 2005
    Messages
    3
    Détails du profil
    Informations forums :
    Inscription : Juin 2005
    Messages : 3
    Points : 4
    Points
    4
    Par défaut Hacker ?
    Bonjour,
    dans wikipedia : "En sécurité informatique, un hacker, francisé hackeur ou hackeuse, est un spécialiste d'informatique, qui recherche les moyens de contourner les protections logicielles et matérielles. Il agit par curiosité, à la recherche de la gloire, par conscience politique ou bien contre rémunération".
    Pourquoi parle-t-on de hackers ici ? ne sont ils pas plutôt des pirates ?

Discussions similaires

  1. Réponses: 8
    Dernier message: 04/07/2019, 17h32
  2. Réponses: 1
    Dernier message: 27/11/2018, 12h48
  3. Réponses: 80
    Dernier message: 24/03/2017, 10h56
  4. Réponses: 13
    Dernier message: 31/12/2016, 12h18
  5. Réponses: 13
    Dernier message: 17/12/2009, 17h30

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo