EureNet.com - Integration de vos projets Sécurité = Informatique & Internet


vendredi 30 avril 2021

Le top 5 des groupes de ransomwares, #Maze, #Conti, #REvil , #Netwalker, #DoppelPaymer

Les groupes de ransomwares exploitent les moyens financiers des entreprises, qui ont tendance à être plus importants que ceux des utilisateurs lambdas. De plus, de nombreux groupes récents de ransomwares volent les données avant de les chiffrer et menacent de les publier ; il s’agit-là d’une pression supplémentaire sur les victimes.

Pour les entreprises touchées, les risques sont nombreux :

les cybercriminels peuvent nuire à leur réputation, créer des problèmes avec les actionnaires ou bien faire en sorte qu’elles reçoivent des amendes de la part des autorités réglementaires, qui sont souvent plus conséquentes que la rançon.
…/…

Ransomware, rançongiciel

  • Le ransomware est un type malveillant de programme qui bloque votre ordinateur, tablette ou smartphone, ou chiffre vos fichiers et demande ensuite une rançon en échange de la récupération de ces derniers. Il y a deux types de ransomwares principalement.

https://antivirus-france.com/glossary/ransomware-rancongiciel/

mercredi 6 mai 2020

Quelques conseils pour améliorer votre sécurité informatique

Comment sécurisez votre terminal informatique :

  • mise à jour,
  • verrouillage,
  • sauvegarde
  • .../...

Disposer d'un matériel informatique ( PC, portable ( Windows, macOS, Linux), smartphone ), performant et mis à jour régulièrement est la première étape importante pour vous protéger d'éventuelles cyberattaques.

Découvrez nos conseils pour assurer votre sécurité numérique.

jeudi 6 février 2020

La vulnérabilité en informatique.

Le terme vulnérabilité est souvent employé dans différents contextes du jargon de la sécurité informatique.

Au sens large du terme, le terme vulnérabilité est associé à une violation de la politique de sécurité. Cela peut être le résultat de règles de sécurité insuffisantes, ou d'un problème dans le logiciel. En théorie, tous les systèmes informatiques sont porteurs de vulnérabilités, le danger apparaît lorsque ces dernières sont utilisées pour causer du tort au système.

Les principales vulnérabilités sont accessibles depuis :

mardi 19 mars 2019

Cybermalveillance.gouv.fr est le dispositif national d’assistance aux victimes d’actes de cybermalveillance

Sur la plateforme Cybermalveillance.gouv.fr les victimes peuvent être orientées vers des prestataires de service informatique de proximité qui pourront les assister et remettre en service leurs installations et matériels informatiques.

Depuis 2017, la société Eur'Net est référencé en tant que "professionel" sur la plateforme Cybermalveillance.

En mettant en avant les prestataires référencés sur sa plateforme, Cybermalveillance.gouv.fr souhaite valoriser leur engagement dans l’effort collectif de lutte contre la cybermalveillance. Les victimes pourront s’adresser à ces prestataires en sachant qu’ils se sont engagés à respecter les règles de fonctionnement de la plateforme. Le GIP ACYMA se réserve, comme inscrit dans la charte signée par les prestataires, la capacité d’exclure des prestataires indélicats.


A propos de Cybermalveillance.gouv.fr

Lancé en octobre 2017, Cybermalveillance.gouv.fr est le dispositif national d’assistance aux victimes de cybermalveillance.

Ce dispositif a été incubé par l’Agence nationale de sécurité des systèmes d'information (ANSSI) en copilotage avec le ministère de l’Intérieur et le soutien des ministères de l’Économie et des Finances, de la Justice et du secrétariat d’État chargé du Numérique. Il est désormais piloté par le Groupement d’Intérêt Public ACYMA.

Ses publics sont :

  • les particuliers,
  • les entreprises (hors opérateurs critiques – OIV , OSE – qui relèvent de l'ANSSI),
  • les collectivités (hors opérateurs critiques – OIV , OSE – qui relèvent de l'ANSSI).

Ses missions sont :

  • l'assistance aux victimes d'actes de cybermalveillance,
  • l’information et la sensibilisation au niveau national sur la sécurité numérique,
  • l'observation du risque numérique pour pouvoir l'anticiper.

La démarche de Cybermalveillance.gouv.fr vise à accroître la sécurité numérique dans la société, auprès des particuliers, des TPE, PME et ETI, et des collectivités locales. Les prestataires informatiques de proximité sont des acteurs essentiels de ce dispositif d’amélioration globale du niveau de sécurité .

En apportant une assistance directe aux victimes, les prestataires référencés sur Cybermalveillance.gouv.fr participent aux enjeux de sécurité quotidienne et de résilience des territoires et des personnes. En travaillant en collaboration avec Cybermalveillance.gouv.fr par la transmission d’éléments techniques, ils participent à la mission d’observation de la menace numérique dont est chargée le dispositif.


Professionnel Référencé CyberMalveillance.gouv.fr
( Assistance et prévention du risque numérique )

vendredi 15 juin 2018

La sécurité numérique pour tous - Kit de sensibilisation

Le premier volet du kit de sensibilisation a été réalisé par Cybermalveillance.gouv.fr et ses membres. Il vise à sensibiliser aux questions de sécurité du numérique, à partager les bonnes pratiques dans les usages personnels, et de manière vertueuse, à améliorer les usages dans le cadre professionnel.


Comment gérer ses mots de passe ?

La sécurité des usages pro-perso

La sécurité des appareils mobiles

L’hameçonnage Vs phishing

mardi 9 janvier 2018

Multiples vulnérabilités de fuite d’informations dans des processeurs #MELTDOWN #SPECTRE

Multiples vulnérabilités de fuite d’informations dans des processeurs – CERT-FR

Le 4 janvier 2018 deux sites internet relatifs à des vulnérabilités dans plusieurs processeurs pouvant conduire à des fuites d’informations étaient rendus disponibles 12. Intitulées Meltdown et Spectre ces failles regroupent trois vulnérabilités identifiées comme CVE-2017-5754 pour Meltdown et CVE-2017-5753 ainsi que CVE-2017-5715 pour Spectre.


Deux vulnérabilités graves découvertes dans le matériel d’Intel – Meltdown Spectre

Deux vulnérabilités graves ont été découvertes dans les puces Intel ; toutes deux pourraient permettre à des attaquants de mettre la main sur des informations sensibles d’applications en accédant à la mémoire centrale. La première vulnérabilité, Meltdown, peut supprimer la barrière entre les applications utilisateur et les parties sensibles du système d’exploitation. La seconde vulnérabilité que l’on trouve également dans les puces AMD et ARM, Spectre, peut tromper les applications vulnérables en les amenant à divulguer le contenu de leur mémoire.


Microsoft corrige en urgence les vulnérabilités Meltdown – Spectre / Kaspersky

La mise à jour de sécurité KB4056892 lancée par Microsoft pour Windows 10 permet de corriger les vulnérabilités affectant le kernel des processeurs Intel. Problème : cette mise à jour pose des problèmes de compatibilité avec certains antivirus.

mardi 17 octobre 2017

Cybermalveillance.gouv.fr | GIP #ACYMA > dispositif national d’#assistance aux #victimes d’actes de #cybermalveillance

Cybermalveillance.gouv.fr est un programme gouvernemental assumant un rôle de sensibilisation, de prévention et de soutien en matière de sécurité du numérique auprès de la population française. Vous êtes un particulier, une entreprise ou une collectivité territoriale et vous pensez être victime d’un acte de cybermalveillance ?


mercredi 28 juin 2017

L'attaque du #ransomware #ExPetr aka #Petya != #NotPetya #Kaspersky

Annonce officielle de Kaspersky Lab concernant l’attaque de ransomware « ExPetr » du 27 juin

Les chercheurs de Kaspersky Lab travaillent actuellement sur la nouvelle vague de ransomwares qui cible les entreprises à travers le monde. Nos premières découvertes suggèrent qu’il ne s’agit pas d’une variante du ransomware Petya ainsi que cela a été annoncé mais d’un nouveau ransomware, inconnu à ce jour. Bien qu’il ait quelques similitudes avec Petya, il a des fonctionnalités totalement différentes. Nous l’avons appelé ExPetr.

Nos indicateurs révèlent environ 2000 entités attaquées jusqu’ici. Des entreprises russes et ukrainiennes sont les plus touchées et nous avons également vu des attaques en Pologne, en Italie, au Royaume-Uni, en France aux Etats-Unis et dans plusieurs autres pays.

Cette attaque se révèle complexe avec plusieurs vecteurs de compromission. Nous pouvons confirmer que des versions modifiées de l’exploit EternalBlue et d’EternalRomance sont utilisées pour la propagation au sein des réseaux d’entreprises.

Kaspersky Lab détecte la menace ainsi :

  • UDS:DangerousObject.Multi.Generic
  • Trojan-Ransom.Win32.ExPetr.a
  • HEUR:Trojan-Ransom.Win32.ExPetr.gen


Notre moteur de détection comportementale System Watcher détecte la menace ainsi :

  • PDM:Trojan.Win32.Generic
  • PDM:Exploit.Win32.Generic


Dans la plupart des cas, Kaspersky Lab détecte proactivement le vecteur initial d’infection grâce à son moteur de détection comportementale, System Watcher. Nous travaillons également à des améliorations de la détection comportementale des ransomwares pour détecter proactivement d’éventuelles futures versions.

Les experts de Kaspersky Lab continuent d’étudier l’attaque pour déterminer s’il est possible de déchiffrer les données bloquées par l’attaque dans le but de développer un outil de déchiffrement au plus vite.

Nous conseillons à toutes les entreprises de mettre à jour leurs systèmes Windows : les utilisateurs de Windows XP et Windows 7 peuvent se protéger en installant le patch de sécurité MS17-010

Nous conseillons également à toutes les entreprises de s’assurer qu’elles ont une sauvegarde. Une sauvegarde à jour permet de restaurer les fichiers originaux après un incident de ce type.

Les clients de Kaspersky Lab sont invités à :

  • Vérifier que les mécanismes de protection recommandés sont activés et que les composants KSN et System Watcher (activés par défaut) ne sont pas désactivés.
  • Pour rajouter une mesure de sécurié, utiliser Application Startup Control (https://help.kaspersky.com/KESWin/10SP2/en-US/129102.htm - https://help.kaspersky.com/KESWin/10SP2/fr-FR/129102.htm), un composant de Kaspersky Endpoint Security pour empêcher l’exécution du fichier nommé perfc.dat et bloquer l’exécution de l’utilitaire PSExec (qui fait partie de la suite Sysinternals)
  • Configurer et activer le mode “Default Deny” du composant Application Startup Control de Kaspersky Endpoint Security pour s’assurer d’une protection proactive contre cette attaque et d’autres.


Si vous n’avez pas les produits de Kaspersky Lab sur votre appareil, utilisez la fonctionnalité AppLocker de Windows pour empêcher l’exécution de n’importe quel fichier qui porterait le nom “perfc.dat” ou l’utilitaire PSExec de la suite Sysinternals.

Pour des informations détaillées, nous vous invitons à vous rendre sur le post de nos chercheurs du GReAT : https://securelist.com/schroedingers-petya/78870/

Cet article comporte les indicateurs de compromission, les règles Yara ainsi que des verdicts supplémentaires.

Votre équipe Kaspersky Lab


ExPetr/Petya/NotPetya is a Wiper, Not Ransomware (By Anton Ivanov, Orkhan Mamedov on June 28, 2017. 6:51 pm)


mardi 27 juin 2017

Le #ransomware #Petya > les consignes de @ANSSI_FR / MENACE HAUTE - VICTIMES Impact mondial particuliers et entreprises - @certbe / Kaspersky - #NotPetya

Le CERT-FR constate un nouveau mode de propagation du rançongiciel Petya. Le CERT-FR ne dispose pas de plus d'information à cette date (27 juin 2017 à 16h30).

Suite au premiers retours, il est possible que le code malveillant se propage via le réseau. En cas d'infection, la machine redémarre et affiche un message demandant un paiement de 300 bitcoins et de contacter l'adresse électronique wowsmith123456@posteo.net.

.../...

Le CERT-FR recommande :

l'application immédiate des mises à jour de sécurité notamment la mise à jour de sécurité Microsoft MS17-010 (cf. section Documentation); le respect des recommandations génériques relatives aux rançongiciels ; de limiter l'exposition du service SMB, en particulier sur internet ; de ne pas payer la rançon.

.../...


Alert (TA17-181A) Petya Ransomware


MAJ CERT.BE

CERT.be a appris par des partenaires fiables que les autorités ukrainiennes, des entreprises russes et une compagnie danoise qui opère des terminaux de containers sont victimes d’une nouvelle attaque par ransomware. Peu après des sociétés inscrites aux Pays-Bas, en Espagne, en France, en Grande-Bretagne et en Belgique ont allongé la liste des victimes. Il semblerait qu’elles aient affaire à une nouvelle variante du ransomware « Petya ». Celle-ci semble se propager sur les réseaux (locaux) grâce à l’exploit « EternalBlue/DoublePulsar » pour le service SMB, qui a a fait fureur le mois passé grâce à ‘Wannacry’. Une fois qu’un système est infcté, le ransomware tente de se propager grâce à un outil interne à Windows (WMIC) et l’outil de gestion à distance PsExec. Le vecteur d’infection initial n’a pas encore été identifié, mais on soupçonne une propagation par un document excel présentant une fausse signature Windows (LokiBot).

Une fois le système infecté par le ransomware, celui-ci tente de chiffrer le disque dur en faisant usage de privilèges administrateur. En cas d’échec, il utilise un exploit sysème et s’injecte dans le MBR4 du disque dur et enregistre une tâche planifiée qui redémarre la machine une heure plus tard. Après le redémarrage du système, le ransomware s’exécute en mémoire et commence le chiffrement.

Il n’y a pas de « killswitch » et le ransomware ne communique pas avec un quelconque serveur de commande.

Le fichiers ayant les extensions suivantes sont chiffrés :

  • .3ds.7z.accdb.ai.asp.aspx.avhd.back.bak.c.cfg.conf.cpp.cs.ctl.dbf.disk.djvu.doc .docx.dwg.eml.fdb.gz.h.hdd.kdbx.mail.mdb.msg.nrg.ora.ost.ova.ovf.pdf.php.pmf .ppt.pptx.pst.pvi.py.pyc.rar.rtf.sln.sql.tar.vbox.vbs.vcb.vdi.vfd.vmc.vmdk.vmsd .vmx.vsdx.vsv.work.xls.xlsx.xvd.zip

.../...


Une cyberattaque mondiale vise des institutions et des entreprises, dont Saint-Gobain et Auchan

Des attaques informatiques se sont multipliées dans le monde ce mardi. Le virus a contaminé des banques et des entreprises ukrainiennes, le français Saint-Gobain et la filiale ukrainienne d'Auchan, le pétrolier russe Rosneft, le transporteur danois Maersk, le port de Rotterdam, mais aussi la centrale de Tchernobyl.

.../...

Mais le spécialiste russe Kaspersky Labs, lui, estime que ce n'est pas Petya qui est en cause. "Notre analyse préliminaire suggère qu'il ne s'agit pas d'une variante du ransomware Petya, comme suggéré jusqu'ici, mais d'un nouveau ransomware, qui n'a jamais été vu jusqu'ici. C'est la raison pour laquelle nous l'avons surnommé NotPetya", a expliqué l'entreprise dans son communiqué. "Cela semble être une attaque complexe, qui utilise plusieurs vecteurs afin de se propager au moins au sein des réseaux des entreprises visées", a détaillé Kaspersky Labs. Afin d'empêcher la propagation, l'entreprise de cybersécurité recommande aux groupes visés de mettre à jour les versions de Windows utilisées en interne.


Schroedinger’s Pet(ya)

Kaspersky Lab solutions successfully stop the attack through the System Watcher component. This technology protects against ransomware attacks by monitoring system changes and rolling back any potentially destructive actions.

At this time, our telemetry indicates more than 2,000 attacks: .../..


Annonce officielle de Kaspersky Lab concernant l’attaque de ransomware « ExPetr » du 27 juin


New ransomware, old techniques: Petya adds worm capabilities


01/07/1/ - Alert (TA17-181A) Petya Ransomware


vendredi 19 mai 2017

Comment mettre à jour #Windows correctement afin de protéger votre ordinateur de #WannaCry ?

Désormais, tout le monde a entendu parler de l’attaque du ransomware WannaCry. Jusqu’à présent nous avions publié deux articles à son sujet : un aperçu général sur ce qui s’est passé, et un autre avec des conseils pour les entreprises. Mais il est évident que tout le monde n’a pas compris de quelle façon corriger une vulnérabilité Windows exploitée par WannaCry, qui lui permet de voyager d’un ordinateur à un autre. Ici, nous vous expliquerons quoi faire et où trouver les patchs nécessaires. .../...

Les emails sont protegés par la solution (raKoonsKy ) AntiVirus & AntiSpam Kaspersky ( http://antivirus-france.com )

iddn SARL Eur'Net - Vollore Montagne / site déclaré à la CNIL sous le n°76192
EUR'NET R.C.S. CLERMONT FERRAND 414 642 058 / NAF 6203 Z - Mentions Légales
Tél : 0899 49 48 49 (3 € / appel + prix appel)

*