EureNet.com - Integration de vos projets Sécurité = Informatique & Internet


mercredi 28 juin 2017

L'attaque du #ransomware #ExPetr aka #Petya != #NotPetya #Kaspersky

Annonce officielle de Kaspersky Lab concernant l’attaque de ransomware « ExPetr » du 27 juin

Les chercheurs de Kaspersky Lab travaillent actuellement sur la nouvelle vague de ransomwares qui cible les entreprises à travers le monde. Nos premières découvertes suggèrent qu’il ne s’agit pas d’une variante du ransomware Petya ainsi que cela a été annoncé mais d’un nouveau ransomware, inconnu à ce jour. Bien qu’il ait quelques similitudes avec Petya, il a des fonctionnalités totalement différentes. Nous l’avons appelé ExPetr.

Nos indicateurs révèlent environ 2000 entités attaquées jusqu’ici. Des entreprises russes et ukrainiennes sont les plus touchées et nous avons également vu des attaques en Pologne, en Italie, au Royaume-Uni, en France aux Etats-Unis et dans plusieurs autres pays.

Cette attaque se révèle complexe avec plusieurs vecteurs de compromission. Nous pouvons confirmer que des versions modifiées de l’exploit EternalBlue et d’EternalRomance sont utilisées pour la propagation au sein des réseaux d’entreprises.

Kaspersky Lab détecte la menace ainsi :

  • UDS:DangerousObject.Multi.Generic
  • Trojan-Ransom.Win32.ExPetr.a
  • HEUR:Trojan-Ransom.Win32.ExPetr.gen


Notre moteur de détection comportementale System Watcher détecte la menace ainsi :

  • PDM:Trojan.Win32.Generic
  • PDM:Exploit.Win32.Generic


Dans la plupart des cas, Kaspersky Lab détecte proactivement le vecteur initial d’infection grâce à son moteur de détection comportementale, System Watcher. Nous travaillons également à des améliorations de la détection comportementale des ransomwares pour détecter proactivement d’éventuelles futures versions.

Les experts de Kaspersky Lab continuent d’étudier l’attaque pour déterminer s’il est possible de déchiffrer les données bloquées par l’attaque dans le but de développer un outil de déchiffrement au plus vite.

Nous conseillons à toutes les entreprises de mettre à jour leurs systèmes Windows : les utilisateurs de Windows XP et Windows 7 peuvent se protéger en installant le patch de sécurité MS17-010

Nous conseillons également à toutes les entreprises de s’assurer qu’elles ont une sauvegarde. Une sauvegarde à jour permet de restaurer les fichiers originaux après un incident de ce type.

Les clients de Kaspersky Lab sont invités à :

  • Vérifier que les mécanismes de protection recommandés sont activés et que les composants KSN et System Watcher (activés par défaut) ne sont pas désactivés.
  • Pour rajouter une mesure de sécurié, utiliser Application Startup Control (https://help.kaspersky.com/KESWin/10SP2/en-US/129102.htm - https://help.kaspersky.com/KESWin/10SP2/fr-FR/129102.htm), un composant de Kaspersky Endpoint Security pour empêcher l’exécution du fichier nommé perfc.dat et bloquer l’exécution de l’utilitaire PSExec (qui fait partie de la suite Sysinternals)
  • Configurer et activer le mode “Default Deny” du composant Application Startup Control de Kaspersky Endpoint Security pour s’assurer d’une protection proactive contre cette attaque et d’autres.


Si vous n’avez pas les produits de Kaspersky Lab sur votre appareil, utilisez la fonctionnalité AppLocker de Windows pour empêcher l’exécution de n’importe quel fichier qui porterait le nom “perfc.dat” ou l’utilitaire PSExec de la suite Sysinternals.

Pour des informations détaillées, nous vous invitons à vous rendre sur le post de nos chercheurs du GReAT : https://securelist.com/schroedingers-petya/78870/

Cet article comporte les indicateurs de compromission, les règles Yara ainsi que des verdicts supplémentaires.

Votre équipe Kaspersky Lab


ExPetr/Petya/NotPetya is a Wiper, Not Ransomware (By Anton Ivanov, Orkhan Mamedov on June 28, 2017. 6:51 pm)


mardi 27 juin 2017

Le #ransomware #Petya > les consignes de @ANSSI_FR / MENACE HAUTE - VICTIMES Impact mondial particuliers et entreprises - @certbe / Kaspersky - #NotPetya

Le CERT-FR constate un nouveau mode de propagation du rançongiciel Petya. Le CERT-FR ne dispose pas de plus d'information à cette date (27 juin 2017 à 16h30).

Suite au premiers retours, il est possible que le code malveillant se propage via le réseau. En cas d'infection, la machine redémarre et affiche un message demandant un paiement de 300 bitcoins et de contacter l'adresse électronique wowsmith123456@posteo.net.

.../...

Le CERT-FR recommande :

l'application immédiate des mises à jour de sécurité notamment la mise à jour de sécurité Microsoft MS17-010 (cf. section Documentation); le respect des recommandations génériques relatives aux rançongiciels ; de limiter l'exposition du service SMB, en particulier sur internet ; de ne pas payer la rançon.

.../...


Alert (TA17-181A) Petya Ransomware


MAJ CERT.BE

CERT.be a appris par des partenaires fiables que les autorités ukrainiennes, des entreprises russes et une compagnie danoise qui opère des terminaux de containers sont victimes d’une nouvelle attaque par ransomware. Peu après des sociétés inscrites aux Pays-Bas, en Espagne, en France, en Grande-Bretagne et en Belgique ont allongé la liste des victimes. Il semblerait qu’elles aient affaire à une nouvelle variante du ransomware « Petya ». Celle-ci semble se propager sur les réseaux (locaux) grâce à l’exploit « EternalBlue/DoublePulsar » pour le service SMB, qui a a fait fureur le mois passé grâce à ‘Wannacry’. Une fois qu’un système est infcté, le ransomware tente de se propager grâce à un outil interne à Windows (WMIC) et l’outil de gestion à distance PsExec. Le vecteur d’infection initial n’a pas encore été identifié, mais on soupçonne une propagation par un document excel présentant une fausse signature Windows (LokiBot).

Une fois le système infecté par le ransomware, celui-ci tente de chiffrer le disque dur en faisant usage de privilèges administrateur. En cas d’échec, il utilise un exploit sysème et s’injecte dans le MBR4 du disque dur et enregistre une tâche planifiée qui redémarre la machine une heure plus tard. Après le redémarrage du système, le ransomware s’exécute en mémoire et commence le chiffrement.

Il n’y a pas de « killswitch » et le ransomware ne communique pas avec un quelconque serveur de commande.

Le fichiers ayant les extensions suivantes sont chiffrés :

  • .3ds.7z.accdb.ai.asp.aspx.avhd.back.bak.c.cfg.conf.cpp.cs.ctl.dbf.disk.djvu.doc .docx.dwg.eml.fdb.gz.h.hdd.kdbx.mail.mdb.msg.nrg.ora.ost.ova.ovf.pdf.php.pmf .ppt.pptx.pst.pvi.py.pyc.rar.rtf.sln.sql.tar.vbox.vbs.vcb.vdi.vfd.vmc.vmdk.vmsd .vmx.vsdx.vsv.work.xls.xlsx.xvd.zip

.../...


Une cyberattaque mondiale vise des institutions et des entreprises, dont Saint-Gobain et Auchan

Des attaques informatiques se sont multipliées dans le monde ce mardi. Le virus a contaminé des banques et des entreprises ukrainiennes, le français Saint-Gobain et la filiale ukrainienne d'Auchan, le pétrolier russe Rosneft, le transporteur danois Maersk, le port de Rotterdam, mais aussi la centrale de Tchernobyl.

.../...

Mais le spécialiste russe Kaspersky Labs, lui, estime que ce n'est pas Petya qui est en cause. "Notre analyse préliminaire suggère qu'il ne s'agit pas d'une variante du ransomware Petya, comme suggéré jusqu'ici, mais d'un nouveau ransomware, qui n'a jamais été vu jusqu'ici. C'est la raison pour laquelle nous l'avons surnommé NotPetya", a expliqué l'entreprise dans son communiqué. "Cela semble être une attaque complexe, qui utilise plusieurs vecteurs afin de se propager au moins au sein des réseaux des entreprises visées", a détaillé Kaspersky Labs. Afin d'empêcher la propagation, l'entreprise de cybersécurité recommande aux groupes visés de mettre à jour les versions de Windows utilisées en interne.


Schroedinger’s Pet(ya)

Kaspersky Lab solutions successfully stop the attack through the System Watcher component. This technology protects against ransomware attacks by monitoring system changes and rolling back any potentially destructive actions.

At this time, our telemetry indicates more than 2,000 attacks: .../..


Annonce officielle de Kaspersky Lab concernant l’attaque de ransomware « ExPetr » du 27 juin


New ransomware, old techniques: Petya adds worm capabilities


01/07/1/ - Alert (TA17-181A) Petya Ransomware


vendredi 19 mai 2017

Comment mettre à jour #Windows correctement afin de protéger votre ordinateur de #WannaCry ?

Désormais, tout le monde a entendu parler de l’attaque du ransomware WannaCry. Jusqu’à présent nous avions publié deux articles à son sujet : un aperçu général sur ce qui s’est passé, et un autre avec des conseils pour les entreprises. Mais il est évident que tout le monde n’a pas compris de quelle façon corriger une vulnérabilité Windows exploitée par WannaCry, qui lui permet de voyager d’un ordinateur à un autre. Ici, nous vous expliquerons quoi faire et où trouver les patchs nécessaires. .../...

mardi 16 mai 2017

Alerte aux #rancongiciels ( #Ransomware ) Vos données en otage, contre de l’argent !

Vous êtes de plus en plus nombreux à recevoir des messages douteux avec des pièces jointes et/ou des liens qui sont piégés, NE CLIQUEZ PAS DESSUS !

Un virus pourrait chiffrer vos données et exiger une rançon. La payer ne garantit pas la récupération de l’intégralité de vos données.

Il est constaté de plus en plus d’escroqueries par des emails qui contiennent des pièces jointes et/ou des liens piégés. Ces messages frauduleux sont maintenant plus difficiles à détecter par les utilisateurs car ils sont bien souvent de parfaites copies, avec de vrais logos et sans fautes d’orthographes.

.../...

L’ANSSI est l'autorité nationale en matière de sécurité et de défense des systèmes d’information. Prévention, protection, réaction, formation et labellisation de solutions et de services pour la sécurité numérique de la Nation.

lundi 15 mai 2017

Communiqué #Kaspersky Lab sur l'attaque #WannaCry du 12 mai 2017

Le 12 mai, une attaque ransomware a été déclenchée, impactant de nombreuses organisations à travers le monde. Les chercheurs de Kaspersky Lab ont analysé les données et peuvent confirmer que les systèmes de protection pour les entreprises ont détecté au moins 45 000 tentatives d'infection dans 74 pays, la plupart en Russie.

L’attaque exploite une vulnérabilité réseau connue et décrite dans le bulletin de sécurité Microsoft MS17-010. L'exploit utilisé, "Eternal Blue" a été révélé par le groupe Shadowbrokers le 14 avril. Une fois dans le système, les attaquants installent un rootkit qui leur permet de télécharger le logiciel pour chiffrer les données. Le logiciel malveillant chiffre les fichiers. Une demande de 600 $ en Bitcoin s'affiche et la somme augmente avec le temps.

Les experts Kaspersky Lab tentent actuellement de déterminer s'il est possible de déchiffrer des données. Les solutions de sécurité de Kaspersky Lab détectent les logiciels malveillants utilisés dans cette attaque par les noms de détection suivants :

  • Trojan-Ransom.Win32.Scatter.uf
  • Trojan-Ransom.Win32.Scatter.tr
  • Trojan-Ransom.Win32.Fury.fr
  • Trojan-Ransom.Win32.Gen.djd
  • Trojan-Ransom.Win32.Wanna.b
  • Trojan-Ransom.Win32.Wanna.c
  • Trojan-Ransom.Win32.Wanna.d
  • Trojan-Ransom.Win32.Wanna.f
  • Trojan-Ransom.Win32.Zapchast.i
  • Trojan.Win64.EquationDrug.gen
  • Trojan.Win32.Generic (le module System Watcher doit être activé)

Nous vous recommandons de prendre les mesures suivantes pour réduire le risque d'infection et propagation :

  • Installez le correctif officiel de Microsoft qui ferme la vulnérabilité utilisée dans l'attaque
  • Assurez-vous que les solutions de sécurité sont activées sur tous les noeuds du réseau
  • Si la solution de Kaspersky Lab est utilisée, assurez-vous qu'elle comprend le System Watcher (un module de détection proactif) et que celui-ci est activé
  • Exécutez la tâche « Analyse rapide » (Mémoire système, Objets de démarrage automatique, Secteurs d’amorçage) dans la solution Kaspersky Lab pour détecter une éventuelle infection au plus tôt (sinon, elle sera détectée automatiquement si elle n'est pas désactivée dans les 24 heures).
  • Redémarrez le système après avoir détecté MEM:Trojan.Win64.EquationDrug.gen
  • Utilisez les services personnalisés de rapports et de renseignements sur les menaces

Une description détaillée des méthodes utilisées par WannaCry et Indicators of Compromise se trouve dans le blog Securelist.

Vous trouverez aussi sur notre base de connaissance un article rassemblant toutes les informations sur cette attaque.


Cyberattaque WannaCry : Êtes-vous en sécurité ?

Utilisez un anti-virus fiable. Kaspersky Internet Security peut détecter WannaCry à la fois localement et pendant les tentatives de diffusion sur un réseau. De plus, System Watcher, un module intégré, a pour fonction de bloquer les modifications indésirables, ce qui signifie qu’il empêchera le cryptage des fichiers, même pour les versions malveillantes qui ne sont pas encore dans les bases de données antivirus. .../...


WannaCry: Comment s’en protéger et détecter la faille

Information on the WannaCry malware and ways to fight it

Information about the WannaCry malware

Kaspersky Lab engineers have analyzed the information on the cases of infection with the file-encrypting malware known as WannaCry, which attacked a number of companies around the world on May, 12. For the attack, the known network vulnerability Microsoft Security Bulletin MS17-010 was used. Then, the rootkit was installed on the infected computers, through which the file-encrypting malware was run.

All Kaspersky Lab solutions now detect this rootkit as MEM:Trojan.Win64.EquationDrug.gen. Kaspersky Lab solutions also detect the encryption malware which was used during this attack under the following names:

  • Trojan-Ransom.Win32.Scatter.uf
  • Trojan-Ransom.Win32.Scatter.tr
  • Trojan-Ransom.Win32.Fury.fr
  • Trojan-Ransom.Win32.Gen.djd
  • Trojan-Ransom.Win32.Wanna.b
  • Trojan-Ransom.Win32.Wanna.c
  • Trojan-Ransom.Win32.Wanna.d
  • Trojan-Ransom.Win32.Wanna.f
  • Trojan-Ransom.Win32.Zapchast.i
  • Trojan.Win64.EquationDrug.gen
  • PDM:Trojan.Win32.Generic (System Watcher must be enabled for detection of this malware)

We recommend that the companies perform the following actions to minimize the risk of infection:

  • Install the official Microsoft patch, which fixes the vulnerability exploited by this malware.
  • Make sure antivirus solutions are enabled on all nodes in the network.
  • Update databases of all Kaspersky Lab solutions used.

Kaspersky Lab experts are currently analyzing the malware samples to find decryption options. For detailed information about the WannaCry attacks, please refer to the Kaspersky Lab report at https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/


What to do in case of infection?

How to prevent the infection?

Centralized distribution of the Microsoft update through Kaspersky Security Center

How to use the computers safely without installing the Microsoft update

mardi 11 avril 2017

Fin du support Windows Vista au 11 avril 2017

Chaque produit Windows a un cycle de vie. Le cycle de vie commence lorsqu’un produit est mis sur le marché et s’arrête lorsque son support n’est plus assuré. Les dates clés du cycle de vie vous permettent de savoir quand effectuer une mise à niveau ou d’autres modifications relatives à votre logiciel.

Fin du support

La fin du support correspond à la date à laquelle Microsoft ne fournit plus de correctifs automatiques, de mises à jour ou d’assistance technique en ligne. C’est le moment de vous assurer que vous avez bien installé le dernier Service Pack ou la dernière mise à jour disponible. Sans le support Microsoft, vous ne recevrez plus les mises à jour de sécurité qui permettent de protéger votre PC des virus dangereux, logiciels espions et autres logiciels malveillants susceptibles de voler vos informations personnelles. Pour plus d’informations, consultez le site web Politique de support Microsoft.

Systèmes d’exploitation clients

  • Windows Vista
Dernier Service Pack ou dernière mise à jour

Fin du support standard

  • 10 avril 2012

Fin du support étendu

.../...


Que signifie la fin du support de Windows Vista ?

À compter du 11 avril 2017, les clients Windows Vista ne recevront plus de nouvelles mises à jour de sécurité, de correctifs logiciels non liés à la sécurité, d'options de support assisté gratuit ou payant ou de mises à jour des contenus techniques en ligne de la part de Microsoft. Microsoft a assuré la prise en charge de Windows Vista au cours des 10 dernières années, mais le moment est venu pour nous, ainsi que pour nos partenaires matériels et logiciels, d’investir nos ressources vers des technologies plus récentes afin que nous puissions continuer d'offrir de nouvelles expériences inoubliables.

Que se passe-t-il si je continue à utiliser Windows Vista ?

Si vous continuez d’utiliser Windows Vista après la fin du support, votre ordinateur fonctionnera encore, mais il pourrait devenir plus vulnérable face aux risques de sécurité et aux virus. Internet Explorer 9 n'est plus pris en charge, par conséquent si votre PC Windows Vista est connecté à Internet et que vous utilisez Internet Explorer 9 pour naviguer, vous risquez d’exposer votre PC à des menaces supplémentaires. Par ailleurs, dans la mesure où les fabricants de matériel et de logiciels continuent d’optimiser leurs produits pour des versions plus récentes de Windows, de plus en plus d’applications et d’appareils ne fonctionneront pas avec Windows Vista.

Microsoft a également mis fin à la possibilité de télécharger Microsoft Security Essentials sur Windows Vista. Si vous avez déjà installé Microsoft Security Essentials, vous continuerez de recevoir les mises à jour des signatures anti-programmes malveillants pendant une durée limitée. Toutefois, notez que Microsoft Security Essentials (ou tout autre logiciel antivirus) aura une efficacité limitée sur les PC ne disposant pas des dernières mises à jour de sécurité. Cela signifie que les PC exécutant Windows Vista ne seront pas sécurisés et seront vulnérables aux virus et aux logiciels malveillants.

.../...

lundi 27 mars 2017

DoubleAgent Vs Kaspersky

Vous trouverez ci-dessous le communiqué officiel de KL concernant DoubleAgent :

  • Kaspersky Lab would like to thank Cybellum Technologies LTD for discovering and reporting the vulnerability which made a DLL Hijacking attack possible, via an undocumented feature of Microsoft Application Verifier. This allows the attacker to inject code into most OS processes, not just security solutions. It should be mentioned that this attack can only be performed thorough a local vector, when the attacker has already penetrated the device. The attacker has to infect the attacked computer with malicious software in advance, and escalate its privilege on the device in order to register a new Application Verifier Provider DLL ­ both actions require an attacker to use a range of other tools. The detection and blocking of this malicious scenario has been added to all Kaspersky Lab products from 22 March. In order to stay protected, Kaspersky Lab recommends all customers keep their security solutions up to date and do not disable behavior-based detection features.

vendredi 27 janvier 2017

#CNIL > #password > Journée de la protection des données : les mots de passe n’auront plus de secret pour vous !

Journée de la protection des données : les mots de passe n’auront plus de secret pour vous !

Générer un mot de passe solide

Les conseils de la CNIL pour un bon mot de passe

Les mots de passe n'ont plus de secret pour vous !


Étiquette : Mots de Passe

mardi 24 janvier 2017

ANSSI > guide d’hygiène informatique > renforcer la sécurité de son système d’information en 42 mesures

Paru en janvier 2013 dans sa première version, le Guide d’hygiène informatique édité par l’ANSSI s’adresse aux entités publiques ou privées dotées d’une direction des systèmes d’information (DSI) ou de professionnels dont la mission est de veiller à leur sécurité. Il est né du constat que si les mesures qui y sont édictées avaient été appliquées par les entités concernées, la majeure partie des attaques informatiques ayant requis une intervention de l’agence aurait pu être évitée.

Cette nouvelle version a fait l’objet d’une mise à jour portant à la fois sur les technologies et pratiques – nouvelles ou croissantes – avec lesquelles il s’agit de composer en matière de sécurité (nomadisme, séparation des usages, etc.) mais aussi sur la mise à disposition d’outils (indicateurs de niveau standard ou renforcé) pour éclairer le lecteur dans l’appréciation des mesures énoncées. Si l’objet de ce guide n’est pas la sécurité de l’information en tant que telle, appliquer les mesures proposées maximise la sécurité du système d’information, berceau des données de votre entité.

La sécurité n’est plus une option. À ce titre, les enjeux de sécurité numérique doivent se rapprocher des préoccupations économiques, stratégiques ou encore d’image qui sont celles des décideurs. En contextualisant le besoin, en rappelant l’objectif poursuivi et en y répondant par la mesure concrète correspondante, ce guide d’hygiène informatique est une feuille de route qui épouse les intérêts de toute entité consciente de la valeur de ses données.
.../...

  • Sensibiliser et former
  • Connaître le système d’information
  • Authentifier et contrôler les accès
  • Sécuriser les postes
  • Sécuriser le réseau
  • Sécuriser l’administration
  • Gérer le nomadisme
  • Maintenir le système d’information à jour
  • Superviser, auditer, réagir
  • Pour aller plus loin

.../...


Les emails sont protegés par la solution (raKoonsKy ) AntiVirus & AntiSpam Kaspersky ( http://antivirus-france.com )

iddn SARL Eur'Net - Vollore Montagne / site déclaré à la CNIL sous le n°76192
EUR'NET R.C.S. CLERMONT FERRAND 414 642 058 / NAF 6203 Z - Mentions Légales
Tél : 0899 49 48 49 (3 € / appel + prix appel)

*