SSI EXP RES PDT – Microsoft Shares Tactics Used in Human-Operated Ransomware Attacks

Defense measures against human-operated ransomware attacks

Microsoft advises security teams and admins at organizations that
might be targeted in the future by this type of ransomware campaigns to take defensive measures designed to bock common attack techniques or at
least dramatically reduce their effectiveness.

The Microsoft Defender Advanced Threat Protection (ATP) Research Team recommends implementing these mitigation measures against human-operated ransomware attacks:

• Harden internet-facing assets:

– Apply latest security updates

– Use threat and vulnerability management

– Perform regular audit remove privileged credentials

• Thoroughly investigate and remediate alerts:

– Prioritize and treat commodity malware infections as potential full compromise

• Include IT Pros in security discussions:

– Ensure collaboration among SecOps, SecAdmins, and IT admins to configure servers and other endpoints securely

• Build credential hygiene:

– Use MFA or NLA, and use strong, randomized, just-in-time local admin passwords

– Apply principle of least-privilege

• Monitor for adversarial activities:

– Hunt for brute force attempts

– Monitor for cleanup of Event logs

– Analyze logon events

• Harden infrastructure:

– Use Windows Defender Firewall

– Enable tamper protection

– Enable cloud-delivered protection

– Turn on attack surface reduction rules and AMSI for Office VBA

https://www.bleepingcomputer.com/news/security/microsoft-shares-tactics-used-in-human-operated-ransomware-attacks/

SSI RGPD – Solidarité avec les profs de Paris 13 remplacés par Google

La Quadrature du Net

Le cas de Paris 13 est criant : alors que l’université manque considérablement de moyens pour fournir des cours à ses étudiant·es,
elle accueille à bras ouvert Google, qui vient gratuitement expliquer
aux élèves comment devenir complices de sa surveillance économique de masse (récemment reconnue illégale par la CNIL suite à l’une de nos plaintes collectives).

https://www.laquadrature.net/2019/02/28/solidarite-avec-les-profs-de-paris-13-remplaces-par-google/

SSI APT – Vault7 – En Chine on attribue onze années de cyberattaques à la CIA

« Pour attribuer les cyberattaques, les experts se sont appuyés sur les éléments techniques révélés par Vault 7, cet ensemble de documents confidentiels qu’un ancien employé de la CIA a fait fuiter en 2017 au travers de WikiLeaks. »

« Au passage, on découvre que la CIA a également utilisé en Chine des outils de la NSA, tel que WISTFULTOLL. Ce plugin apparaît dans les documents d’Edward Snowden et permet d’extraire des informations depuis un poste Windows 2000, 2003 ou XP. »

https://www.01net.com/actualites/des-chercheurs-en-securite-chinois-attribuent-onze-annees-de-cyberattaques-a-la-cia-1868945.html

Cybersécurité : quand le « Shadow IoT » menace les entreprises | Silicon

www.silicon.fr/cybersecurite-shadow-iot-menace-entreprises-334839.html

Ariane Beky

3-4 minutes


Le volume de trafic généré par l’Internet des objets (IoT) autorisés et non autorisés monte en flèche dans les entreprises, selon une analyse du trafic cloud menée par Zscaler.

C’est ce que souligne un rapport* publié par ThreatLabZ, l’entité de recherche du fournisseur de solutions de sécurité en mode cloud. Désormais, les clients de la société de cybersécurité génèrent un milliard de transactions IoT par mois. Ce chiffre a bondi de « 1500% » par rapport au volume annoncé en mai 2019 par la firme basée à San José (Californie).

En analysant près de 500 millions de transactions de plus de 2 000 organisations dans le monde sur une période de deux semaines cette année, Zscaler déclare avoir dénombré 553 appareils IoT différents provenant de 212 fabricants et appartenant à 21 catégories distinctes.

Des objets connectés souvent hors de contrôle des directions des systèmes d’information (DSI).

SSI EXP – Ransomware – radioscopie d’un méga risque économique

par Xavier Raufer et Jean-Paul Pinte

https://www.atlantico.fr/decryptage/3587527/ransomware–radioscopie-d-un-mega-risque-economique-sous-estime-en-france-xavier-raufer-jean-paul-pinte

L’année 2018 a vu la multiplication d’attaques par rançongiciel impactant des entreprises et institutions dans le monde entier, et elles dépassent désormais en nombre celles impactant les particuliers. Ces codes malveillants représentent actuellement la menace informatique la plus sérieuse pour les entreprises et institutions parle nombre d’attaques quotidiennes et leur impact potentiel sur la continuité d’activité. Sur les très nombreuses at-taques de ce type en France, l’ANSSI a traité 69 incidents en 2019 sur son périmètre.

Il existe des centaines de variantes de rançongiciels selon le rapport de l’ANSSI portant sur l’état de la menace rançongiciel à l’encontre des entreprises et des institutions.

Selon une étude commandée par l’entreprise de sécurité informatique Bromium, les activités cybercriminelles correspondraient à une masse financière de plus de 1 500 milliards de dollars en 2018, des bénéfices estimés à deux milliards de dollars annuels et un salaire pour un groupe cybercriminel moyen d’environ 900 000 dollars par an. Les attaques cybercriminelles, y compris celles ayant pour objet le rançonnage, s’organisent autour d’un cycle proche de celui des attaques ciblées réalisées par des États.

Faisant référence à l’attaque NotPetya, un logiciel de sabotage aux airs de rançongiciel, lancé selon toute vraisemblance par la Russie, l’Anssi pense qu’« il est tout à fait envisageable que des puissances étrangères utilisent des rançongiciels dans une logique déstabilisatrice ». Une chose est certaine, pour le garde du corps numérique de l’état, « le phénomène rançongiciel prendra de l’ampleur dans les années à venir ».

La propagation planétaire du cyber-crime est hors-contrôle. Rien dans le monde numérique n’est à l’abri du piratage. Une exagération ? Hier, le réseau le plus sécu­risé au monde, la Defence Information Systems Agency (DISA) qui assure les transmis­sions des militaires américains sur le champ de bataille – et des échanges par téléphone du prési­dent Trump – a été piraté et les dossiers personnels de 200 000 de ses usagers – mili­taires, renseignement hauts fonctionnaires, etc.

A la rentrée 2018, des pirates cyber-mercenaires, requis par le Government Accoun­tability Office (Cour des Comptes des États-Unis), reçoivent la mission d’infiltrer les sys­tèmes d’armes high-tech et informatisés du Pentagone : missiles nouvelle généra­tion, lanceurs de vecteurs nucléaires, etc. (coût total, 1 600 milliards de dollars…) en un test de vulnérabilité digi­tale.

Nombre de ces systèmes sont mis hors-service ; cer­tains sont contrôlés en temps réel : les pirates y voient travailler les opérateurs militaires.

86 de ces systèmes ultrasecrets sont si mal protégés (mots de passe enfan­tins) que les pirates maquillent leurs page d’accueil en écran de flipper, exigeant 50 cents pour y lan­cer une nouvelle partie…

Fléau d’ampleur mondial, à coup sûr : pour 2020-2025, l’ONU estime que l’insécu­rité de l’ensemble Internet/data, causera un préjudice mondial de ± 5 200 mil­liards de dollars. Et pour le rapport 2019 (McAfee+Centre for International Strategic Stu­dies) le cyber-crime a coûté en 2018 600 milliards de dollars à l’économie globale, 0,8% du pro­duit brut mondial.

L’internet est d’autant plus friable que ses acteurs majeurs les GAFAM (Google, Apple, Facebook, Amazon, Microsoft) sont de culture libertaire et trouvent ces histoires de pi­rates plutôt rigolotes. Du haut de leurs capitalisations frisant les 1000 milliards de dollars, leurs dirigeants et propriétaires sont aussi bien sûr dans l’impunité totale.

Si l’objectif de ce document n’est pas de constituer un guide de sécurisation d’un système d’information, quelques bonnes pratiques sont par exemple référencées dans le guide d’hygiène de l’ANSSI. Parmi les mesures s’appliquant particulièrement dans le cadre de ce document, on peut citer :

  • appliquer les correctifs de sécurité fournis par les éditeurs ;
  • restreindre les programmes autorisés à être exécutés : application de stratégies de restriction logicielle ou de Applocker pour les systèmes Windows, options de montage en lecture seule des répertoires temporaires et de l’utilisateur pour les systèmes UNIX ;
  • durcir la configuration des logiciels bureautiques ou manipulant des données provenant d’Internet : restreindre l’autorisation des macros dans les suites bureautiques, désactiver le moteur Javascript des lecteurs PDF, activer les bacs à sable (sandbox) des logiciels le permettant, installer des extensions dédiées aux navigateurs Internet pour restreindre par défaut l’interprétation de code Javascript, etc. ;
  • configurer le pare-feu des postes de travail pour empêcher les flux de poste à poste ;
  • lorsque des anti-virus sont employés sur les postes ou sur les passerelles de messagerie, veiller à la mise à jour fréquente des signatures et du moteur du logiciel ;
  • minimiser les droits sur les partages réseau : s’assurer que le droit en écriture n’est accordé qu’aux utilisateurs en ayant réellement le besoin et contrôler régulièrement les droits d’accès ;
  • effectuer des sauvegardes et des tests de restauration. Procéder à la mise hors ligne des sauvegardes des éléments les plus sensibles. Ces points sont développés par la suite ;
  • effectuer des audits et des tests d’intrusion réguliers et mettre en place un plan d’action pour corriger les défauts mis en évidence.

On insiste aussi sur la sensibilisation et la formation des utilisateurs à propos des ransomwares et sur la nécessité de procéder aux sauvegardes qui s’imposent.

Brave dévoile ce qui serait un programme de surveillance de masse au Royaume-Uni

En début de mois, Brave a publié un rapport dans lequel il fait état d’une surveillance de masse des citoyens britanniques opérée par des entreprises privées.

https://www.clubic.com/amp/885691-brave-programme-surveillance-masse-royaume-uni.html

Baptisé UK Councils Report, le texte précise que la surveillance utilise les sites web des districts et comtés locaux.

Cybersécurité : quand l’épuisement menace les RSSI

9 responsables de la sécurité informatique sur 10 déclarent travailler plus de quarante heures par semaine. Le niveau de stress est élevé.

Cybersécurité : 5 points à retenir du rapport IBM X-Force

Les équipes doivent faire face à l’extension du paysage des menaces et répondre aux injonctions parfois contradictoires du top management. Résultat, les responsables de la sécurité des systèmes d’information (RSSI, CISO en anglais) sont toujours sous pression.

C’est le principal enseignement de l’édition 2020 d’un rapport anglophone publié par Nominet, registre du .uk et éditeur de la plateforme de cybersécurité NTX.

95% des RSSI interrogés* ont déclaré travailler plus de quarante heures hebdomadaires. Un taux qui a progressé de 7 points en un an. En outre, les professionnels concernés consacreraient en moyenne dix heures de plus par semaine que la durée légale à leur travail.

Qu’en est-il de la situation perçue par la direction exécutive ?

Pour 47% des dirigeants et membres de conseil d’aministration qui ont aussi participé au sondage promu par Nominet, la cybersécurité est une préoccupation « majeure ». Ils sont même plus susceptibles que les RSSI de dire que les cybermenaces constituent un risque « élevé » ou « très élevé » pour leur entreprise (90%, contre 66%).

En revanche, ils sont peu enclin à valider une augmentation des montants investis pour faire face au risque cyber. Ainsi, 97% d’entre eux jugent que les équipes de sécurité IT « pourraient » faire davantage pour « apporter de la valeur » avec le budget dont ils disposent.

Autant d’éléments qui fatiguent de nombreux professionnels de la cybersécurité.