Les experts en sécurité avertissent que les victimes d'attaques de ransomwares DOIVENT changer tous les mots de passe

Lorsqu'une organisation est touchée par un ransomware, de nombreuses personnes ont tendance à penser que la seule chose à craindre est de restaurer les données le plus rapidement possible. Plus tôt cette semaine, cependant, le journaliste de cybersécurité Brian Krebs a raconté l'histoire d'une attaque de ransomware contre un fournisseur de services informatiques qui s'appelle Virtual Care Provider Inc. (VCPI), et ce faisant, il nous a montré combien d'autres facteurs entrent en jeu. jouer lorsque les pirates tiennent en otage les données d'autrui.

Nous devrions probablement commencer par le fait que VCPI fournit des services à plus de 100 maisons de soins infirmiers et établissements de santé dans 45 États. Il ne devrait pas être trop difficile de voir que perturber l'infrastructure informatique d'une telle entreprise pourrait être assez dévastateur, mais l'ampleur réelle du danger ne devient apparente que lorsque vous examinez le déroulement de l'attaque.

Cela a été remarqué pour la première fois aux premières heures du matin du 17 novembre lorsque les attaquants ont lancé le rançongiciel Ryuk sur le réseau de VCPI. Peu de temps après, toutes les données hébergées par le fournisseur de services cloud ont été cryptées, et VCPI a été informé qu'il peut avoir la clé qui déverrouille les fichiers s'il paie 14 millions de dollars de bitcoins. C'est une rançon assez importante, mais là encore, il en va de même pour la quantité de données retenues en otage.

L'attaque a eu un impact horrible sur VCPI et ses clients

Les clients de VCPI ont perdu tout accès à la messagerie électronique, au téléphone et aux systèmes de facturation, aux opérations de paie. Les dossiers des patients étaient inaccessibles et certains médecins n'étaient pas en mesure de passer des commandes de médicaments vitaux en raison de l'attaque, ce qui signifiait que pour certains patients, l'infection par ransomware pouvait avoir des conséquences fatales. Quelques jours après l'incident, Karen Christianson, PDG de VCPI, a déclaré à Brian Krebs que son entreprise n'avait pas les ressources pour payer la rançon et que l'attaque pourrait très bien mettre fin à l'activité d'hébergement de données.

Les prévisions initiales ne se sont cependant pas concrétisées. Bien que les clients de VCPI aient rencontré des problèmes importants à la suite de l'attaque, le fournisseur d'hébergement a réussi à restaurer les données. Probablement dans une tentative de limiter le montant des dommages PR subis par VCPI, Karen Christianson a demandé à Brian Krebs d'écrire un rapport de suivi sur la façon dont la société s'est rétablie. Krebs a accepté de planifier une entrevue, mais peu de temps après la date et l'heure convenues, il a reçu un e-mail qui a immédiatement attiré son attention.

L'étendue de l'infiltration devient apparente

Le message prétendument provenir d'un membre du groupe de piratage qui a attaqué VCPI, ce qui, pour Brian Krebs, du moins, n'est pas vraiment inhabituel. La demande de l'e-mail, cependant, était plutôt étrange. L'escroc a demandé à Krebs de rappeler au PDG de VCPI que l'offre de réduction sur la rançon était sur le point d'expirer.

L'opérateur présumé de ransomware avait en quelque sorte pris connaissance de l'entretien prévu, et Krebs doutait que cette connaissance soit basée sur des suppositions. Le journaliste de cybersécurité pensait qu'en plus du rançongiciel, les pirates avaient utilisé d'autres outils qui leur avaient donné accès aux systèmes internes et aux communications de VCPI. Krebs a appelé des experts de Hold Security et leur a demandé de l'aider à mieux comprendre la portée du compromis.

Bientôt, l'enquête a produit des preuves que l'infrastructure de VCPI a été infiltrée pour la première fois en septembre 2018, très probablement avec l'utilisation d'un document Word malveillant contenant des macro-instructions. Le document Word a téléchargé Emotet, une famille de logiciels malveillants connue pour ses fonctionnalités de type ver qui lui permettent de se déplacer latéralement au sein d'un réseau.

Les pirates informatiques se sont livrés à une volée de mots de passe avant de déployer le rançongiciel Ryuk

Après avoir utilisé Emotet pour s'implanter dans le réseau de VCPI, les escrocs ont déployé Trickbot - un cheval de Troie bancaire salué pour sa polyvalence et ses puissantes capacités de vol d'informations d'identification. Les experts de Hold Security ont même réussi à intercepter certaines communications entre des escrocs, ce qui suggère que pendant l'attaque VCPI, les noms d'utilisateur et les mots de passe de 300 sites Web et fournisseurs de services en ligne ont été compromis. Il s'agissait notamment de plates-formes de gestion de mots de passe, de portails bancaires, de facturation et de paie, de services de gestion des ordonnances et de fournitures médicales, de comptes d'expédition et d'affranchissement, etc. Brian Krebs a apporté des preuves lors de l'entretien avec Karen Christianson, et bien que VCPI ne l'ait pas admis. officiellement, le fait que l'interview se soit terminée brusquement peu de temps après cela suggère que le PDG n'avait absolument aucune idée du vol.

Depuis un certain temps, les opérateurs de ransomwares se concentrent sur les organisations plutôt que sur les utilisateurs finaux. Nous ne parlons plus de script-kiddies qui cherchent à faire des ravages et à faire de l'argent rapidement. Les attaques plus récentes sont exécutées par des équipes de piratage sophistiquées qui ont beaucoup d'outils et de ressources à leur disposition, et parfois, le déploiement du ransomware n'est qu'une petite partie de l'ensemble de l'opération. Des organisations comme VCPI doivent apprendre que les pirates peuvent frapper sur de nombreux fronts différents, et que les données de connexion sont souvent le fruit proverbial à faible portée. C'est pourquoi, comme l'a conclu Brian Krebs dans son rapport, le changement de mot de passe devrait figurer en tête de liste des priorités pour toute entreprise ayant subi une cyberattaque, que l'incident soit ou non lié à un ransomware.

Par Duran
January 9, 2020
Ransomware
Français
January 9, 2020
Ransomware

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 4 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pinaview est une application publicitaire complète

Il y a 10 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.