Les cyber-attaques : Si votre ordinateur est "o'zapft is" (en français : "c'est le moment")
Cela semble perfide, mais les cybercriminels et les pirates informatiques ciblent de plus en plus les hôpitaux d'Europe centrale, les détaillants et d'autres secteurs spécifiques de PME, comme le souligne une étude de cas de proofpoint.com. Les pirates informatiques ne se contentent pas de paralyser les hôpitaux à certaines heures, ils semblent aussi s'attaquer à des ordinateurs pertinents lors de certains événements sociaux.
Liste de contrôle
Quelle que soit leur situation géographique, les entreprises et les particuliers peuvent prendre différentes mesures pour prévenir les infections et les pertes financières :
1) Soyez vigilant lorsque vous lisez des messages électroniques contenant des liens ou des pièces jointes.
La plupart des campagnes décrites ici s'appuyaient sur l'ingénierie sociale pour inciter les utilisateurs à s'infecter avec des logiciels malveillants, alors que leurs systèmes auraient probablement affiché des avertissements de sécurité pendant ou avant l'ouverture des fichiers malveillants.
2. n'activez jamais de macros dans les documents reçus par e-mail
N'exécutez jamais d'exécutables liés à un message électronique si vous n'êtes pas absolument certain de l'authenticité du message. Effectuez des sauvegardes régulières et fréquentes qui peuvent être restaurées plutôt que de payer une rançon pour débloquer les données cryptées.
3. les entreprises devraient également investir dans des technologies de sécurité appropriées afin de protéger leurs employés.
Les PME sont particulièrement vulnérables, car leurs données bancaires sont souvent indiquées dans des comptes de messagerie privés et constituent donc une cible plus prioritaire pour les attaquants. Les PME ont également plus à perdre en cas d'attaque de ransomware. Toutefois, des effectifs plus importants augmentent les chances de réussite de l'infection.
Les ransomwares sont devenus une industrie illégale, mais qui rapporte des millions. Récemment, l'Europe centrale est devenue la cible de l'une des variantes de ransomware les plus puissantes, ainsi que d'une variante inhabituelle. Plus tôt cette année, par exemple, plusieurs hôpitaux en Allemagne ont été contraints de reporter des opérations et d'éteindre un grand nombre d'appareils connectés lorsqu'ils ont été touchés par un ransomware.
Comme pour les chevaux de Troie bancaires, les pertes sont bien supérieures aux coûts directs du paiement d'une rançon ou du nettoyage des virus informatiques. Un aperçu actuel.
Ransomware Petya
Bien qu'il ne soit pas aussi connu que ses célèbres cousins ransomwares - que ce soit Locky, Cerber, CryptXXX ou Cryptowall - la famille de ransomwares Petya a récemment attiré l'attention en ciblant l'Europe centrale et orientale. En Allemagne, le ransomware Petya n'a curieusement été observé que dans le cadre d'attaques par imitation en demi-teinte.
Le ransomware Petya ne crypte pas les fichiers individuellement comme de nombreuses autres variantes de ransomware. Au lieu de cela, il utilise un chargeur d'amorçage spécial et un très petit noyau (système d'exploitation) pour introduire et chiffrer le tableau de fichiers maître sur le disque dur. La routine d'écriture de Petya écrase en fait le Master Boot Record avec son propre noyau.
Les systèmes infectés sont alors redémarrés et les utilisateurs obtiennent des pages-écrans comme celle de l'illustration.
Ransomware Locky
Depuis février 2016, Locky circule le plus souvent sous forme de campagnes d'e-mails fictifs à gros volume. Ces messages portent le ransomware Locky et sont associés aux acteurs de la menace Dridex. Au troisième trimestre 2016, les messages électroniques distribués représentaient plus de 95% des volumes d'e-mails malveillants surveillés par Proofpoint dans le monde.
Par exemple, le courriel neutre suivant a été envoyé avec un tel ransonware : Service@kids-party-world.de avec pour objet "Votre commande est en route vers vous ! - OrderID 654321" et la pièce jointe "invoice_12345.zip" (les deux avec des chiffres aléatoires) étaient joints à l'e-mail.
De même, un "John.doe123@[domaine aléatoire]"(nom aléatoire, 1-3 chiffres) avec l'objet "Emailing : _12345_123456" (chiffres aléatoires) et la pièce jointe correspondante "_12345_123456.zip" réapparaît régulièrement ! - Les pièces jointes contaminées étaient des archives .zip contenant du JavaScript (dans des fichiers WSF ou HTA) qui, lorsqu'elles sont exécutées, téléchargent le ransomware Locky.
Résumé
Même si l'Europe est actuellement confrontée à des pressions financières persistantes, la relative prospérité et le bon climat des affaires des régions germanophones expliquent les récentes augmentations du volume et de la diversité des logiciels malveillants, en particulier en Allemagne et en Suisse. proofpoint.com y a observé des attaques par courriel avec la distribution de messages et de documents d'appel allemands concernant plusieurs familles de ransomwares et de chevaux de Troie bancaires, y compris des variantes comme Petya (ainsi que des campagnes personnalisées pour les chevaux de Troie bancaires comme Ursnif et Dridex), rares ailleurs.
