La semaine dernière dans le monde du rançongiciel

La célèbre – mais impossible à traduire – citation de Mark Twain : « Denial is not a river in Egypt » colle très bien au thème de la semaine qui est « le déni ». 

Nous savons que la majorité des entreprises ont subi une forme d’attaque de rançongiciel. Selon un sondage Telus publié en 2022, « les cyberattaques sont en hausse au Canada, 98 % des organisations canadiennes signalant une cyberattaque au cours des 12 derniers mois ».

Source : solarseven / Getty

À qui peut-on faire confiance lorsque les cybercriminels prétendent avoir réussi une attaque de rançongiciel, mais que l’entreprise nie que l’attaque ait réussi ?

Cette semaine, deux grandes entreprises ont publié des démentis en réponse à des gangs de rançongiciels affirmant avoir réussi à les attaquer, et qui publient des échantillons des données volées pour prouver leur affirmation.

Walmart dément l’attaque du gang Yanluowang

Walmart a nié avoir été attaqué avec un rançongiciel par le gang Yanluowang, bien que le gang ait prétendu avoir chiffré des milliers d’ordinateurs.

Dans une déclaration à Bleeping Computer, Walmart a déclaré que son « équipe de sécurité de l’information surveille nos systèmes 24 heures sur 24, 7 jours sur 7 » et croit que les affirmations sont inexactes.

Walmart continue de nier l’attaque, mais les fichiers publiés, apparemment par le gang Yanluowang, semblent contenir des informations qui prétendent provenir du réseau interne de Walmart, y compris un certificat de sécurité, une liste d’utilisateurs de domaine et le résultat d’une attaque kerberoasting.

Le kerberoasting est une attaque utilisée lorsque des pirates accèdent à un réseau et sont ensuite en mesure d’accéder aux comptes de services Windows et à leurs mots de passe NTLM hachés. Les attaquants utilisent ensuite des mots de passe hachés pour forcer brutalement l’extraction de mots de passe en texte brut. Une fois qu’ils disposent de ces informations d’identification, ils peuvent élever leurs privilèges sur le domaine Windows.

Tiré d’un article de Tech News Day avec des informations supplémentaires de Bleeping Computer.

AMD dément une attaque de rançongiciel

AMD dit enquêter sur une cyberattaque après que le gang RansomHouse ait affirmé avoir volé 450 Go de données à l’entreprise au cours de la dernière année.

RansomHouse est connu pour avoir volé des données, puis exigé une rançon avec la menace de divulguer publiquement les données ou de les vendre à d’autres cybercriminels.

Bien qu’ils n’aient pas nommé AMD, le gang RansomHouse a publié sur Telegram qu’ils vendraient bientôt les données d’une société bien connue à trois lettres commençant par la lettre «A».

Extrait d’un article de Bleeping Computer

Aucune bonne action ne reste impunie ?

Pourquoi les entreprises nient-elles les attaques  Ces entreprises n’ont-elles pas été piratées ? Ou sont-elles réticentes à se manifester, étant donné les sanctions extrêmes qui sont imposées aux entreprises qui ont été attaquées avec succès.

L’animateur de podcast Howard Solomon a rapporté sur Cyber ​​Security Today que Carnival Cruise Line a été condamnée à une amende de 5 millions de dollars américains pour des violations de données qui comportaient le vol d’informations personnelles sur les passagers et les employés. Selon Carnival, la société a connu quatre événements de cybersécurité entre 2019 et 2021, dont deux attaques de rançongiciel.

Carnival est pénalisée pour avoir enfreint la réglementation des services financiers de l’État en ne mettant pas en œuvre l’authentification multifacteur. Les autorités affirment qu’elle n’a pas signalé la première des quatre attaques et qu’elle n’a pas non plus « formé adéquatement le personnel à la cybersécurité ».

Ironiquement, la raison pour laquelle les entreprises de Carnival ont pu être pénalisées découle du fait que l’entreprise vend également une assurance de cybersécurité et, de ce fait, elle était soumise aux réglementations nationales en matière de cybersécurité. Le règlement obligera les sociétés Carnival à cesser de vendre des assurances dans l’État de New York en plus des sanctions financières.

Toujours selon le balado, Carnival a récemment conclu un règlement de 1,2 million de dollars  avec 46 États impliquant une violation de données en 2019.

Extrait du balado Cyber ​​Security Today 

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Lire aussi :

Un mandat plus large pour une société canadienne de négociation de rançongiciels

La marque de rançongiciel Conti est morte, mais le groupe se restructure

Les RSI canadiens privilégient la prévention dans la lutte aux rançongiciels

Adaptation et traduction française par Renaud Larue-Langlois

Jim Love
Jim Love
Jim œuvre dans les domaines de l'informatique et des affaires depuis plus de 30 ans. Il a gravi les échelons à partir de la salle du courrier et a fait tous les métiers, du commis au courrier au PDG. Aujourd'hui, il est directeur des systèmes d'information et de la stratégie numérique chez IT World Canada – le leader canadien de l'édition en TI et du marketing numérique.

Articles connexes

Indigo admet que la cyberattaque était un rançongiciel ; des données d’employés ont été consultées

Deux semaines après avoir été victime d’une cyberattaque, Indigo Books and Music a reconnu avoir été touchée par un rançongiciel et que les données d’employés avaient été compromises.

Mauvaise journée pour Intel dont la cote a baissé… mais une bonne journée pour AMD

Suite à l' annonce selon laquelle l'équipe de direction d'Intel Corp. réduira ses salaires jusqu'à 25 % et réduira le salaire des employés de 5 % à la suite d'une grave crise économique, la triste nouvelle s'est poursuivie hier, avec la baisse par S&P Global Ratings de la cote de l'entreprise de A+ à A.

La marque de rançongiciel Conti est morte, mais le groupe se restructure

La marque du groupe de rançongiciel Conti est morte. C'est ce que concluent des chercheurs d'Advanced Intelligence. Son infrastructure liée aux négociations, aux téléchargements de données et à l'hébergement de données volées a été fermée.

L’erreur humaine principale cause de violation de données

L'erreur humaine demeure un facteur majeur dans les violations de données, selon l'analyse annuelle de Verizon des cyberattaques dans le monde.

Un nouveau variant du rançongiciel Conti

La souche de rançongiciel Conti ciblant l'hyperviseur ESXi de VMware semble être conçue pour être exécutée directement par un opérateur, affirment des chercheurs de Trellix.