Dans le cadre de nos activités de cybersécurité, nos experts EY traquent sans cesse l'évolution des menaces cyber et les nouvelles formes d'attaques. Notre Bulletin Cyber mensuel vous permet de suivre l’actualité dans le secteur de la cybersécurité.
Découvrez l'édition du mois de novembre de notre Bulletin Cyber, un condensé des dernières tendances en matière de cybermenaces sectorielles, informatiques et mobiles.
Les dernières attaques par ransomware : Egregor
Alors que le groupe derrière le ransomware MAZE a déclaré mettre fin à ses activités, une nouvelle menace est apparue : Egregor. En quelques semaines d’activités, Egregor indique avoir compromis plusieurs dizaines de site et pourrait être à l’origine du vol du code source d’un jeu vidéo et de la cessation des activités de plusieurs entreprises.
Qu’est-ce qu’un ransomware ?
Les attaques de type ransomware sont de plus en plus nombreuses : elles consistent à s’introduire dans un système d’informations pour chiffrer les données qui y sont stockées avant d’en proposer le déchiffrement contre le versement d’une rançon. Seulement aujourd’hui, les pirates ne se contentent plus d’immobiliser les données. Ils les dérobent et menacent de les publier afin d’accentuer la pression sur les entreprises pour qu’elles paient la rançon exigée.
Comment réagir ?
- Mettre en place une cellule de crise incluant les décideurs et le métier
- Faire appel à une équipe de réponses à incidents
- Déconnecter les supports de sauvegarde – copier un état des systèmes
- Isoler les équipements infectés du SI
- Bloquer les communications vers et depuis Internet
- Collecter et analyser les traces laissées par les attaquants
- Faire un dépôt de plainte
- Réaliser une analyse des impacts sur la vie privée
Campagne de défacement
Une centaine de sites français auraient été défacés depuis ces derniers jours. Le message présenté par les pirates prend la forme d’une revendication politique en réponse à des prises de parole publiques liées à l’actualité.
Qu’est-ce que le défacement ?
Les attaques par défacement sont largement exploitées par les pirates. Elles consistent à diffuser un message diffamant ou à caractère politique sur une page web compromise. Le défacement est souvent une activité opportuniste, conjuguant un contexte et une possibilité d’attaque comme l’exploitation d’une vulnérabilité. Les défacements sont souvent réalisés par des pirates possédant de faibles compétences et disposant de moyens réduits, utilisant des outils automatisés ou semi-automatisés déjà connus. Des vulnérabilités connues et non corrigées sur les sites web sont généralement à l'origine de leur compromission.
Comment se protéger ?
- Mettez vos applications à jour : appliquez de manière régulière et systématique les mises à jour de sécurité du système d’exploitation et des logiciels installés sur vos serveurs.
- Paramétrez votre pare-feu : fermez tous les ports inutilisés et ne laissez que les adresses des machines indispensables accéder aux fonctionnalités d’administration du site.
- Durcissez vos mots de passe : assurez-vous qu’ils sont suffisamment complexes et changés régulièrement. Evitez les mots de passe par défaut.
- Sensibilisez vos utilisateurs : ne communiquez jamais vos identifiants à des tiers non identifiés (ingénierie sociale, hameçonnage, etc.)
Menaces sectorielles
Quelles sont les attaques visant des secteurs industriels spécifiques, leurs impacts et les solutions de remédiation ?
Finance
Les banques sont la cible de multiples attaques. Récemment, des banques ont subi une attaque par déni de service (DDOS) en Hongrie. Le volume du flux de données observé a été 10 fois plus élevé que celui habituellement relevé lors de ce type d’attaque. Cette menace connaît un réel regain d'intérêt ces derniers mois avec des débits record atteignant 2,54 Tb/s.
Santé
Le secteur hospitalier et médical n’est pas épargné : un groupe américain ainsi que plusieurs hôpitaux ont déjà été les victimes de ransomwares. Ces attaques reposent principalement sur les malwares Trickbot, BazarLoader ou encore Ryuk. Le Cybersecurity and Infrastructure Security Agency (CISA), le bureau fédéral d’enquête (FBI) et le département américain de la santé et des services sociaux (HHS) ont récemment publié un avis de sécurité, signe que la menace est toujours prégnante.
Transport
Le transport maritime a été particulièrement ciblé ces dernières semaines. On note une campagne d’attaque par ransomware contre une société française de transport maritime ainsi qu’une cyberattaque ciblant une organisation internationale du secteur.
Ces attaques s’inscrivent dans la lignée des précédents incidents, dont le plus connu est NotPetya qui avait coûté près de 300 millions de dollars à l’entreprise concernée.
Services IT
Les attaques par ransomwares augmentent. Les techniques d’extorsion des gangs de cybercriminels sont de plus e plus innovantes. Des rançons ont été exigées aux clients d’une entreprise finlandaise de psychanalyse, victime d’un ransomware (200€ à payer en 24h ou 500€ en 48h).
Derniers rapports et tendances majeures en termes de cybersécurité
Rapport 2020 de l’« Internet Organized Crime Threat Assessment » (IOCTA)
Le rapport IOCTA publié par Europol met en lumière les dynamiques et les tendances du cybercrime organisé :
Le rapport montre la capacité d’adaptation et la grande agilité des criminels pour adopter de nouveaux vecteurs d’attaques cette année, marquée par la pandémie et les attaques associées (phishing, attaques sur les VPNs etc.).
Ce rapport couvre toute une série de domaines de la cybercriminalité et constitue une lecture indispensable pour permettre aux entreprises de mieux comprendre les menaces auxquelles elles peuvent être confrontées.
Compromission des données
Europol observe que les criminels utilisent des stratégies plus globales et font preuve d’un haut niveau de compétences dans l'exploitation d’outils malveillants et des vulnérabilités. Cependant, la majorité de ces attaques exploitent une application inadéquate des mesures de sécurité ou encore le manque de sensibilisation des utilisateurs.
Augmentation des attaques par SIM Swapping
Les attaques par SIM Swapping se multiplient avec des attaques d’ingénierie sociale très ciblées. Elles sont utilisées pour outrepasser les mécanismes MFA utilisant l’envoi de code confidentiel par SMS.
La menace des ransomware
Selon Europol, les ransomware sont devenus la menace la plus importante pour les organisations publiques et privées. L'ampleur des attaques, le nombre de victimes, le montant des sommes dérobées inquiètent les entreprises. Les malwares bancaires sont également en constante augmentation, d'autant plus qu'ils s'adaptent et évoluent selon les cibles.
Nos atouts
- Le Lab : 600m2 dédiés à la recherche et au développement à l’innovation et à la transformation numérique.
- War Room : Un environnement hautement sécurisé exploitant des solutions collaboratives et des technologies propriétaires innovantes.
- Cyber Teams : L’équipe EY France cybersécurité est composée d’experts pluridisciplinaires, proposant des solutions nouvelles pour résoudre des problématiques stratégiques pour nos clients.
- CyberEye : Une solution leader de Cyber Threat Intelligence solution, apportant une connaissance précise des cybermenaces pouvant toucher les entreprises.
- ASC and CTI : Nos 63 Advanced Security Centers, situés dans de nombreux pays, partagent des renseignements opérationnels et centrés vers les entreprises pour notre Cyber Threat Intelligence.
Les dirigeants, les conseils d’administration et les responsables de la cybersécurité ne sont pas toujours informés des menaces que suscitent les nouvelles formes émergentes de cybercriminalité. Retrouvez dans ce bulletin des informations sur les dernières attaques par ransonware Egregor, les dernières menaces sectorielles ou encore les derniers rapports et tendances majeures en termes de cybersécurité.