EureNet.com - Integration de vos projets Sécurité = Informatique & Internet


mardi 8 août 2017

Cycle de vie des produits #Kaspersky Entreprise ( Juillet 2017 )

  1. Kaspersky Security for Virtualization Light Agent 3.2.99.5024 ne sera plus supporté à partir du 16 Aout 2017
  2. Kaspersky Security for Virtualization Agentless 3.1.0.77 est en support limité* depuis le 1er Août 2017
  3. Kaspersky Endpoint Security 10.2.4.674 sera en support limité* à partir du 1er Décembre 2017
  4. Kaspersky Endpoint Security for Mac 8.0.9.1017 ne sera plus supporté à partir du 1er Janvier 2018
  5. Kaspersky Anti-Virus 8.0 for Linux File Servers 8.0.2.172 ne sera plus supporté à partir du 1er Janvier 2018
  6. Kaspersky Security Center 10.2.434 ne sera plus supporté à partir du 1er Février 2018
  • Support limité (*) : Fin de correction des bugs

Pour plus d'informations sur le cycle de vie des produits, Cliquez ici.

vendredi 7 juillet 2017

Cycle de vie des produits #Kaspersky Entreprise ( Juin 2017 )

  1. Kaspersky Endpoint Security 10.2.2.10535mr1 est en support limité* depuis le 1er Juin 2017
  2. Kaspersky Anti-Virus for Linux File Servers 8.0.3.297 est en support limité* depuis 1 Juillet 2017
  3. Kaspersky Security for Virtualization Light Agent 3.2.99.5024 ne sera plus supporté à partir du 16 Aout 2017
  4. Kaspersky Security for Virtualization Agentless 3.1.0.77 sera en support limité* à partir du 1er Août 2017
  5. Kaspersky Endpoint Security 10.2.4.674 sera en support limité* à partir du 1er Décembre 2017
  • Support limité (*) : Fin de correction des bugs

Pour plus d'informations sur le cycle de vie des produits, Cliquez ici.

mercredi 28 juin 2017

L'attaque du #ransomware #ExPetr aka #Petya != #NotPetya #Kaspersky

Annonce officielle de Kaspersky Lab concernant l’attaque de ransomware « ExPetr » du 27 juin

Les chercheurs de Kaspersky Lab travaillent actuellement sur la nouvelle vague de ransomwares qui cible les entreprises à travers le monde. Nos premières découvertes suggèrent qu’il ne s’agit pas d’une variante du ransomware Petya ainsi que cela a été annoncé mais d’un nouveau ransomware, inconnu à ce jour. Bien qu’il ait quelques similitudes avec Petya, il a des fonctionnalités totalement différentes. Nous l’avons appelé ExPetr.

Nos indicateurs révèlent environ 2000 entités attaquées jusqu’ici. Des entreprises russes et ukrainiennes sont les plus touchées et nous avons également vu des attaques en Pologne, en Italie, au Royaume-Uni, en France aux Etats-Unis et dans plusieurs autres pays.

Cette attaque se révèle complexe avec plusieurs vecteurs de compromission. Nous pouvons confirmer que des versions modifiées de l’exploit EternalBlue et d’EternalRomance sont utilisées pour la propagation au sein des réseaux d’entreprises.

Kaspersky Lab détecte la menace ainsi :

  • UDS:DangerousObject.Multi.Generic
  • Trojan-Ransom.Win32.ExPetr.a
  • HEUR:Trojan-Ransom.Win32.ExPetr.gen


Notre moteur de détection comportementale System Watcher détecte la menace ainsi :

  • PDM:Trojan.Win32.Generic
  • PDM:Exploit.Win32.Generic


Dans la plupart des cas, Kaspersky Lab détecte proactivement le vecteur initial d’infection grâce à son moteur de détection comportementale, System Watcher. Nous travaillons également à des améliorations de la détection comportementale des ransomwares pour détecter proactivement d’éventuelles futures versions.

Les experts de Kaspersky Lab continuent d’étudier l’attaque pour déterminer s’il est possible de déchiffrer les données bloquées par l’attaque dans le but de développer un outil de déchiffrement au plus vite.

Nous conseillons à toutes les entreprises de mettre à jour leurs systèmes Windows : les utilisateurs de Windows XP et Windows 7 peuvent se protéger en installant le patch de sécurité MS17-010

Nous conseillons également à toutes les entreprises de s’assurer qu’elles ont une sauvegarde. Une sauvegarde à jour permet de restaurer les fichiers originaux après un incident de ce type.

Les clients de Kaspersky Lab sont invités à :

  • Vérifier que les mécanismes de protection recommandés sont activés et que les composants KSN et System Watcher (activés par défaut) ne sont pas désactivés.
  • Pour rajouter une mesure de sécurié, utiliser Application Startup Control (https://help.kaspersky.com/KESWin/10SP2/en-US/129102.htm - https://help.kaspersky.com/KESWin/10SP2/fr-FR/129102.htm), un composant de Kaspersky Endpoint Security pour empêcher l’exécution du fichier nommé perfc.dat et bloquer l’exécution de l’utilitaire PSExec (qui fait partie de la suite Sysinternals)
  • Configurer et activer le mode “Default Deny” du composant Application Startup Control de Kaspersky Endpoint Security pour s’assurer d’une protection proactive contre cette attaque et d’autres.


Si vous n’avez pas les produits de Kaspersky Lab sur votre appareil, utilisez la fonctionnalité AppLocker de Windows pour empêcher l’exécution de n’importe quel fichier qui porterait le nom “perfc.dat” ou l’utilitaire PSExec de la suite Sysinternals.

Pour des informations détaillées, nous vous invitons à vous rendre sur le post de nos chercheurs du GReAT : https://securelist.com/schroedingers-petya/78870/

Cet article comporte les indicateurs de compromission, les règles Yara ainsi que des verdicts supplémentaires.

Votre équipe Kaspersky Lab


ExPetr/Petya/NotPetya is a Wiper, Not Ransomware (By Anton Ivanov, Orkhan Mamedov on June 28, 2017. 6:51 pm)


mardi 27 juin 2017

Le #ransomware #Petya > les consignes de @ANSSI_FR / MENACE HAUTE - VICTIMES Impact mondial particuliers et entreprises - @certbe / Kaspersky - #NotPetya

Le CERT-FR constate un nouveau mode de propagation du rançongiciel Petya. Le CERT-FR ne dispose pas de plus d'information à cette date (27 juin 2017 à 16h30).

Suite au premiers retours, il est possible que le code malveillant se propage via le réseau. En cas d'infection, la machine redémarre et affiche un message demandant un paiement de 300 bitcoins et de contacter l'adresse électronique wowsmith123456@posteo.net.

.../...

Le CERT-FR recommande :

l'application immédiate des mises à jour de sécurité notamment la mise à jour de sécurité Microsoft MS17-010 (cf. section Documentation); le respect des recommandations génériques relatives aux rançongiciels ; de limiter l'exposition du service SMB, en particulier sur internet ; de ne pas payer la rançon.

.../...


Alert (TA17-181A) Petya Ransomware


MAJ CERT.BE

CERT.be a appris par des partenaires fiables que les autorités ukrainiennes, des entreprises russes et une compagnie danoise qui opère des terminaux de containers sont victimes d’une nouvelle attaque par ransomware. Peu après des sociétés inscrites aux Pays-Bas, en Espagne, en France, en Grande-Bretagne et en Belgique ont allongé la liste des victimes. Il semblerait qu’elles aient affaire à une nouvelle variante du ransomware « Petya ». Celle-ci semble se propager sur les réseaux (locaux) grâce à l’exploit « EternalBlue/DoublePulsar » pour le service SMB, qui a a fait fureur le mois passé grâce à ‘Wannacry’. Une fois qu’un système est infcté, le ransomware tente de se propager grâce à un outil interne à Windows (WMIC) et l’outil de gestion à distance PsExec. Le vecteur d’infection initial n’a pas encore été identifié, mais on soupçonne une propagation par un document excel présentant une fausse signature Windows (LokiBot).

Une fois le système infecté par le ransomware, celui-ci tente de chiffrer le disque dur en faisant usage de privilèges administrateur. En cas d’échec, il utilise un exploit sysème et s’injecte dans le MBR4 du disque dur et enregistre une tâche planifiée qui redémarre la machine une heure plus tard. Après le redémarrage du système, le ransomware s’exécute en mémoire et commence le chiffrement.

Il n’y a pas de « killswitch » et le ransomware ne communique pas avec un quelconque serveur de commande.

Le fichiers ayant les extensions suivantes sont chiffrés :

  • .3ds.7z.accdb.ai.asp.aspx.avhd.back.bak.c.cfg.conf.cpp.cs.ctl.dbf.disk.djvu.doc .docx.dwg.eml.fdb.gz.h.hdd.kdbx.mail.mdb.msg.nrg.ora.ost.ova.ovf.pdf.php.pmf .ppt.pptx.pst.pvi.py.pyc.rar.rtf.sln.sql.tar.vbox.vbs.vcb.vdi.vfd.vmc.vmdk.vmsd .vmx.vsdx.vsv.work.xls.xlsx.xvd.zip

.../...


Une cyberattaque mondiale vise des institutions et des entreprises, dont Saint-Gobain et Auchan

Des attaques informatiques se sont multipliées dans le monde ce mardi. Le virus a contaminé des banques et des entreprises ukrainiennes, le français Saint-Gobain et la filiale ukrainienne d'Auchan, le pétrolier russe Rosneft, le transporteur danois Maersk, le port de Rotterdam, mais aussi la centrale de Tchernobyl.

.../...

Mais le spécialiste russe Kaspersky Labs, lui, estime que ce n'est pas Petya qui est en cause. "Notre analyse préliminaire suggère qu'il ne s'agit pas d'une variante du ransomware Petya, comme suggéré jusqu'ici, mais d'un nouveau ransomware, qui n'a jamais été vu jusqu'ici. C'est la raison pour laquelle nous l'avons surnommé NotPetya", a expliqué l'entreprise dans son communiqué. "Cela semble être une attaque complexe, qui utilise plusieurs vecteurs afin de se propager au moins au sein des réseaux des entreprises visées", a détaillé Kaspersky Labs. Afin d'empêcher la propagation, l'entreprise de cybersécurité recommande aux groupes visés de mettre à jour les versions de Windows utilisées en interne.


Schroedinger’s Pet(ya)

Kaspersky Lab solutions successfully stop the attack through the System Watcher component. This technology protects against ransomware attacks by monitoring system changes and rolling back any potentially destructive actions.

At this time, our telemetry indicates more than 2,000 attacks: .../..


Annonce officielle de Kaspersky Lab concernant l’attaque de ransomware « ExPetr » du 27 juin


New ransomware, old techniques: Petya adds worm capabilities


01/07/1/ - Alert (TA17-181A) Petya Ransomware


mardi 13 juin 2017

Cycle de vie des produits #Kaspersky Entreprise ( Mai 2017 )

  1. Kaspersky Antivirus for Workstation/Server 6.0.4.1611 (MP4) ne bénéficie plus des mises à jour étendues depuis le 1er Juin 2017
  2. Kaspersky Endpoint Security 10.2.2.10535mr1 est en support limité* depuis le 1er Juin 2017
  3. Kaspersky Security for Exchange 9.3.54.0 est en support limité* depuis le 17 Mai 2017
  4. Kaspersky Security for Virtualization Agent Less 3.0.0.92 n'est plus supporté depuis le 24 Mai 2017
  5. Kaspersky Security for Virtualization Light Agent 3.2.99.5024 ne sera plus supporté à partir du 16 Aout 2017
  6. Kaspersky Anti-Virus for Linux File Servers 8.0.3.297 sera en support limité* à partir du 1 Juillet 2017
  • Support limité (*) : Fin de correction des bugs

Pour plus d'informations sur le cycle de vie des produits, Cliquez ici.

vendredi 26 mai 2017

#Kaspersky > KES10 > Les meilleurs logiciels antivirus pour Entreprise Windows Client

Aux mois de mars et avril 2017, AV-TEST a examiné 13 produits de sécurité destinés aux entreprises (Endpoint Protection) dans la configuration prédéfinie par le fabricant. Pour réaliser ces tests, les dernières versions de produits disponibles au public ont été utilisées. Grâce à la mise en jour en ligne, les versions ont pu être mises à jour à tout moment et leurs services « en nuages » étaient accessibles en permanence. AV-TEST n’a pris en compte que des scénarios de test réalistes et testé les produits par rapport aux menaces actuelles. Les produits ont dû prouver leurs capacités lors de l’utilisation de l’ensemble des fonctions et des niveaux de protection
.../...

  • testée KES 10.2 & 10.3
  • Plateforme Windows 10 (64 bit)
  • Rapport 171537
  • Date mars-avril/2017

Protection

  • Protection contre les infections de logiciels malveillants (tels que les virus, vers informatiques ou chevaux de Troie)


Influence sur le systeme

  • Influence moyenne du produit de sécurité sur la vitesse de l’ordinateur pendant l’utilisation quotidienne


Utilisation

  • Effet du logiciel de sécurité sur l’utilisation de l’ensemble de l’ordinateur (plus les valeurs sont faibles, meilleurs sont les résultats)

vendredi 19 mai 2017

Comment mettre à jour #Windows correctement afin de protéger votre ordinateur de #WannaCry ?

Désormais, tout le monde a entendu parler de l’attaque du ransomware WannaCry. Jusqu’à présent nous avions publié deux articles à son sujet : un aperçu général sur ce qui s’est passé, et un autre avec des conseils pour les entreprises. Mais il est évident que tout le monde n’a pas compris de quelle façon corriger une vulnérabilité Windows exploitée par WannaCry, qui lui permet de voyager d’un ordinateur à un autre. Ici, nous vous expliquerons quoi faire et où trouver les patchs nécessaires. .../...

jeudi 18 mai 2017

#Kaspersky > #WannaCry: Comment s’en protéger et détecter la faille avec KSC10

mercredi 17 mai 2017

#WannaCry #ransomware > une attaque informatique de portée mondiale crée la panique (WCry, WannaCry, WanaCrypt0r, WannaCrypt ou Wana Decrypt0r)

Des hôpitaux britanniques et des entreprises espagnoles ont été touchés par des virus, vendredi. Ils bloquent l’accès aux fichiers d’un ordinateur afin d’obtenir une rançon.

Les autorités américaines ont mis en garde vendredi 12 mai contre une vague de cyberattaques simultanées qui a touché des dizaines de pays dans le monde, recommandant de ne pas payer de rançon aux pirates informatiques. Ceux-ci ont apparemment exploité une faille dans les systèmes Windows, divulguée dans des documents piratés de l’agence de sécurité américaine NSA.

.../...


Information on the WannaCry malware and ways to fight it


WannaCry ransomware used in widespread attacks all over the world

Earlier today, our products detected and successfully blocked a large number of ransomware attacks around the world. In these attacks, data is encrypted with the extension “.WCRY” added to the filenames.

Our analysis indicates the attack, dubbed “WannaCry”, is initiated through an SMBv2 remote code execution in Microsoft Windows. This exploit (codenamed “EternalBlue”) has been made available on the internet through the Shadowbrokers dump on April 14th, 2017 and patched by Microsoft on March 14.

Unfortunately, it appears that many organizations have not yet installed the patch.

.../...


CERT-FR : Propagation d'un rançongiciel exploitant les vulnérabilités MS17-010


US CERT : Alert (TA17-132A) / Indicators Associated With WannaCry Ransomware


WANNACRY RANSOMWARE: RECENT CYBER-ATTACK


Customer Guidance for WannaCrypt attacks

MS17-010 : Description de la mise à jour de sécurité pour le serveur Windows SMB datée du 14 mars 2017

Catalogue Microsoft®Update #KB4012598


Protect Against WannaCry: Microsoft Issues Patch for Unsupported Windows (XP, Vista, 8,...)


Nissan confirm Sunderland car plant brought to a halt by cyber attack which swept NHS; Hospitals and businesses across the world have been affected by the attack which began on Friday, including Sunderland-based car plant


MAJ : 13h30

Cyberattaque : Renault stoppe la production de plusieurs usines


MAJ : 16h30

Vague mondiale de cyberattaques : comment éviter que votre ordinateur soit infecté


MAJ : 18h00

Microsoft réagit face à la cyberattaque qui vise ses logiciels

L'éditeur a réactivé une mise à jour pour aider les utilisateurs de certaines versions de son système d'exploitation Windows à faire face à l'attaque informatique massive utilisant un logiciel de rançon appelé "Wannacry".


MAJ : 19h15

L'ANSSI redoute un regain de blocages de données lundi (par Emmanuel Jarry)

PARIS (Reuters) - L'Agence nationale de la sécurité des systèmes d'information (Anssi) redoute une nouvelle vague de blocages de données en France en début de semaine, par les logiciels malveillants à l'origine d'une gigantesque cyberattaque mondiale vendredi.

Selon son directeur général, Guillaume Poupard, cette attaque a pour origine des vulnérabilités informatiques connues jusqu'à récemment de la seule Agence nationale de sécurité américaine (NSA) mais qu'un groupe de hackers a mis dans le domaine public pour le plus grand profit de cybercriminels .../...

les consignes de l'Anssi privilégient la prévention : mise à jour des logiciels, sauvegardes des données séparées des réseaux, vigilance accrue vis-à-vis des mails, des pièces jointes et des liens vers des sites web, déconnexion des ordinateurs infectés, réinstallation de logiciels propres ..../...


MAJ : ALERTE CAMPAGNE DE RANÇONGICIEL – MISE À JOUR 14/05/2017

Le CERT-FR constate l'apparition d'un nouveau rançongiciel, "WannaCrypt", qui exploite les vulnérabilités MS17-010 pour se propager. Il provoque le chiffrement de tous les fichiers d’un ordinateur ou d'un réseau. Des moyens existent pour y remédier.

.../...

Pour plus d’informations, vous pouvez consulter :


MAJ : 15/05/17

Alert (TA17-132A) Indicators Associated With WannaCry Ransomware

Initial reports indicate the hacker or hacking group behind the WannaCry campaign is gaining access to enterprise servers either through Remote Desktop Protocol (RDP) compromise or through the exploitation of a critical Windows SMB vulnerability. Microsoft released a security update for the MS17-010 (link is external) vulnerability on March 14, 2017. Additionally, Microsoft released patches for Windows XP, Windows 8, and Windows Server 2003 (link is external) operating systems on May 13, 2017. According to open sources, one possible infection vector is via phishing emails. .../...

Yara Signatures .../...

Solution

Recommended Steps for Prevention

  • Apply the Microsoft patch for the MS17-010 SMB vulnerability dated March 14, 2017.
  • Enable strong spam filters to prevent phishing e-mails from reaching the end users and authenticate in-bound e-mail using technologies like Sender Policy Framework (SPF), Domain Message Authentication Reporting and Conformance (DMARC), and DomainKeys Identified Mail (DKIM) to prevent e-mail spoofing.
  • Scan all incoming and outgoing e-mails to detect threats and filter executable files from reaching the end users.
  • Ensure anti-virus and anti-malware solutions are set to automatically conduct regular scans.
  • Manage the use of privileged accounts. Implement the principle of least privilege. No users should be assigned administrative access unless absolutely needed. Those with a need for administrator accounts should only use them when necessary.
  • Configure access controls including file, directory, and network share permissions with least privilege in mind. If a user only needs to read specific files, they should not have write access to those files, directories, or shares.
  • Disable macro scripts from Microsoft Office files transmitted via e-mail. Consider using Office Viewer software to open Microsoft Office files transmitted via e-mail instead of full Office suite applications.
  • Develop, institute and practice employee education programs for identifying scams, malicious links, and attempted social engineering.
  • Have regular penetration tests run against the network. No less than once a year. Ideally, as often as possible/practical.
  • Test your backups to ensure they work correctly upon use.

Recommended Steps for Remediation

  • Contact law enforcement. We strongly encourage you to contact a local FBI field office upon discovery to report an intrusion and request assistance. Maintain and provide relevant logs.
  • Implement your security incident response and business continuity plan. Ideally, organizations should ensure they have appropriate backups so their response is simply to restore the data from a known clean backup.

Defending Against Ransomware Generally Precautionary measures to mitigate ransomware threats include:

  • Ensure anti-virus software is up-to-date.
  • Implement a data back-up and recovery plan to maintain copies of sensitive or proprietary data in a separate and secure location. Backup copies of sensitive data should not be readily accessible from local networks.
  • Scrutinize links contained in e-mails, and do not open attachments included in unsolicited e-mails.
  • Only download software – especially free software – from sites you know and trust.
  • Enable automated patches for your operating system and Web browser.

.../...


MAJ 18h08

@PoliceNationale > WannaCry > Rançongiciels > ransomware Payer la rançon ne garantit pas la récupération des données!

Protégez-vs avant qu'il ne soit trop tard


MAJ : 17/05/17

Attaque mondiale–WannaCry: Comment s’en protéger et détecter la faille

Pourquoi cette attaque est-elle sans précédent?

En fait c’est une attaque classique de Ransomware que nous subissons déjà depuis quelques années via l’envoi massif d’emails ce qui touche l’ensemble des utilisateurs et des entreprises de la planète. Rien de neuf sur l’objectif.

2 problèmes majeures s’ajoutent ici :

L’exploitation d’une faille Microsoft qui permet d’exécuter le ransomware sur les machines vulnérables à distance. Plus besoin qu’un utilisateur ouvre le fichier pour infecter la machine. Propagation automatisée avec montée en mémoire directe. Même principe que les anciens vers de réseau de type Kido (conficker) par exemple, rien de neuf non plus. https://support.kaspersky.com/fr/1956 Les anciens OS Microsoft Windows XP et Windows 2003 sont touchés. C’est la raison pour laquelle nous avons vu le ransomware sur des tableaux d’affichage ou sur les écrans d’usines de production. Ces équipements n’ont pas été renouvelés et n’utilisent pas de produit de sécurité capable de bloquer ce type d’attaque, ceci souvent pour des raisons de coûts. L’évaluation des risques n’a pas été réalisée de façon méthodique. Pourtant l’utilisation de produits spécifiques comme Kaspersky Embedded Systems Security ou Kaspersky Industrial CyberSecurity for Nodes sont efficaces même pour ce type de systèmes. .../...


mardi 16 mai 2017

Alerte aux #rancongiciels ( #Ransomware ) Vos données en otage, contre de l’argent !

Vous êtes de plus en plus nombreux à recevoir des messages douteux avec des pièces jointes et/ou des liens qui sont piégés, NE CLIQUEZ PAS DESSUS !

Un virus pourrait chiffrer vos données et exiger une rançon. La payer ne garantit pas la récupération de l’intégralité de vos données.

Il est constaté de plus en plus d’escroqueries par des emails qui contiennent des pièces jointes et/ou des liens piégés. Ces messages frauduleux sont maintenant plus difficiles à détecter par les utilisateurs car ils sont bien souvent de parfaites copies, avec de vrais logos et sans fautes d’orthographes.

.../...

L’ANSSI est l'autorité nationale en matière de sécurité et de défense des systèmes d’information. Prévention, protection, réaction, formation et labellisation de solutions et de services pour la sécurité numérique de la Nation.

Les emails sont protegés par la solution (raKoonsKy ) AntiVirus & AntiSpam Kaspersky ( http://antivirus-france.com )

iddn SARL Eur'Net - Vollore Montagne / site déclaré à la CNIL sous le n°76192
EUR'NET R.C.S. CLERMONT FERRAND 414 642 058 / NAF 6203 Z - Mentions Légales
Tél : 0899 49 48 49 (3 € / appel + prix appel)

*