Archive de l’étiquette cybermalveillance

ParA.I.R. Assistance Informatique Réthaise

Pourquoi tant de cyberattaques ?

Parce que la défense, dans toutes ses composantes, n’est pas au niveau. Et si les cyberattaques ne sont pas plus fréquentes, c’est uniquement parce que les assaillants ne sont pas assez nombreux pour cela.

Dans le monde, plus de 3 000 cyberattaques rapportées dans la presse et/ou revendiquées sur des vitrines de franchises de ransomware ont été relevées, en date du 7 septembre 2023, pour l’année entamée. C’est déjà plus que pour l’ensemble de 2022. En France, elles étaient déjà 140 connues publiquement au 1er septembre – probablement seulement un dixième, environ, de la réalité. 

Vous trouvez que c’est beaucoup ? Vous avez raison. Mais c’est vraisemblablement très peu, par rapport aux opportunités à disposition des cybercriminels. 

Pour lancer leurs attaques, ils disposent, grosso modo, de quatre principaux vecteurs d’acquisition d’accès initiaux : les identifiants collectés dans le cadre d’opérations de phishing ; ceux obtenus par l’exécution d’un maliciel dérobeur, un infostealer ; une tête de pont, comme un cheval de Troie, installée par exemple via une pièce jointe malicieuse ; ou encore l’exploitation d’une vulnérabilité non corrigée sur un système exposé directement sur Internet, de préférence permettant l’accès à distance à des ressources d’un système d’information. 

Pour les vulnérabilités, 2023 a été riche en opportunités. Des affidés de franchises telles que LockBit, Alphv/BlackCat ou encore le groupe Cl0p, pour ne citer qu’eux, s’en sont donnés à cœur joie. Côté têtes de pont, QakBot, avant la vaste opération lancée contre lui à la fin du mois d’août, ce n’était rien moins que 26 000 machines injectées en France, entre septembre 2022 et le 15 juin 2023.

Sur le front des infostealers, ce n’est guère mieux : près de 6 700 cas de compromission de PC connectés au seul réseau Renater entre le 1er janvier et le 7 septembre ! Les chiffres d’Hudson Rock sont encore plus effarants : plus de 25 400 PC affichant une adresse IP française, entre le 1er janvier et le 14 septembre, dont plus de 2 600 machines professionnelles. 

En somme, le potentiel de nuisance n’est pas pleinement exploité. Pourquoi ? Assurément pas parce que les défenses sont trop robustes pour l’empêcher ou le détecter. Il est bien plus vraisemblable que les cybercriminels manquent de bras. 

De fait, la monétisation d’un accès initial passe par sa vente à une franchise de rançongiciel ou des affidés qui se chargeront de lancer l’offensive. Mais cette vente ne survient que si l’accès est dûment qualifié et que l’organisation concernée s’avère alléchante. 

Cette étape de qualification demande des recherches, du temps. Les courtiers en accès initiaux n’ont certes que ça à faire, mais encore faut-il qu’ils aient le temps de traiter tous les accès à leur disposition. Et qu’ils arrivent ensuite à séduire, comme tout bon commercial. 

Vient ensuite la question des effectifs disponibles pour lancer les attaques : pourquoi un groupe ou un attaquant achèterait-il plus d’accès qu’il n’est en mesure d’en exploiter ? Conti a plus ou moins réussi à attirer et faire monter en compétences des nouvelles recrues pour renforcer ses effectifs. Mais probablement pas suffisamment pour faire croître significativement l’écosystème cybercriminel. 

Certaines opérations peuvent s’industrialiser, comme Cl0p en a fait la démonstration avec les campagnes GoAnywhere, PaperCut ou encore MOVEit, mais ce n’est pas le cas de la plupart des cyberattaques avec extorsion. Loin de là.

Certains fins observateurs sont ainsi formels : « il y a tellement d’accès initiaux dans la nature qu’il n’y a pas assez de personnes pour les utiliser ». L’un des symptômes de la situation ? Des milliers de logs d’infostealers sont distribués gratuitement, chaque mois, sur des canaux Telegram spécialisés. 

Clairement, de nombreuses victimes potentielles s’ignorent. Avec un peu de chance, les accès initiaux disponibles les concernant seront désuets – changements de mots de passe, déploiement de l’authentification à facteurs multiples (MFA), etc. – avant que quiconque ne s’y intéresse. 

Face à cela, il est urgent d’améliorer une défense qui, dans toutes ses composantes, n’est manifestement pas au niveau. Un cybercriminel bien connu nous l’a d’ailleurs confié : « les attaques sérieuses ne peuvent être menées que par un très petit nombre de personnes ».

ParA.I.R. Assistance Informatique Réthaise

Récupération et Sécurisation Rapide : Mon Intervention pour un Site Internet Piraté

Introduction :

L’un des aspects les plus inquiétants de la présence en ligne est la possibilité de voir son site internet piraté. Malheureusement, cela peut arriver à tout le monde, même si l’on prend des mesures de sécurité préventives. Récemment, j’ai été contacté par un client dont le site internet avait été compromis. Dans cet article, je partagerai les détails de mon intervention, les mesures que j’ai prises pour rétablir la sécurité du site et les conseils que j’ai donnés au client pour éviter de futures attaques.

Mon intervention :

Dès que j’ai été contacté par mon client, j’ai immédiatement pris en charge la situation. Le client m’a fourni les identifiants en sa possession, y compris les informations sur le site et l’hébergeur. Grâce à ces informations, j’ai pu agir rapidement et reprendre le contrôle du site en quelques heures seulement. Ma priorité était de rétablir la sécurité et de minimiser les dommages causés par l’attaque.

État des lieux et mesures prises :

Une fois que j’ai repris le contrôle du site, j’ai effectué un état des lieux approfondi pour évaluer l’ampleur des dommages causés par le piratage. Il est essentiel de comprendre comment et où le site a été compromis afin de prendre les mesures appropriées pour éviter une récidive.

J’ai commencé par effectuer toutes les mises à jour nécessaires, y compris celles du thème, des plugins et du langage de programmation (PHP). Les mises à jour régulières sont cruciales pour maintenir la sécurité d’un site WordPress, car elles corrigent les vulnérabilités connues et renforcent la protection contre les attaques potentielles.

En examinant le code du site avec l’aide du plugin de  Sucuri Security, j’ai identifié les modifications apportées par le pirate informatique. J’ai immédiatement procédé à la correction de ces modifications et j’ai effectué un nettoyage approfondi du site pour m’assurer qu’aucun fichier malveillant ne subsistait. Cette étape est essentielle pour éliminer les backdoors ou les scripts malveillants qui pourraient permettre au pirate informatique de récidiver.

Rendre le site au client et conseils pour l’avenir :

Une fois toutes les mesures de sécurité prises et le site entièrement nettoyé, j’ai rendu le site à mon client. Cependant, mon assistance ne s’est pas arrêtée là. J’ai également fourni à mon client un compte rendu détaillé de mon intervention, en lui expliquant les étapes que j’ai suivies et les mesures de sécurité que j’ai mises en place pour éviter de futures attaques.

En plus du compte rendu, je vais donner à mon client des conseils précieux pour renforcer la sécurité de son site à l’avenir. Cela inclut des recommandations sur les pratiques de gestion des identifiants, l’importance de la sauvegarde régulière du site, la mise en place d’un pare-feu robuste, et la sensibilisation aux techniques d’ingénierie sociale utilisées par les pirates informatiques.

Conclusion :

La récupération et la sécurisation d’un site internet piraté exigent une intervention rapide et des mesures de sécurité appropriées. Dans cette situation, j’ai pu agir rapidement pour reprendre le contrôle du site, effectuer les mises à jour nécessaires, corriger les modifications du code malveillant et nettoyer le site en profondeur. En fournissant également un compte rendu détaillé et des conseils de sécurité au client, j’ai contribué à renforcer la confiance et à prévenir de futures attaques.
N’oubliez pas, la vigilance et la mise en place de mesures de sécurité solides sont essentielles pour protéger votre site internet contre les menaces en ligne.

ParA.I.R. Assistance Informatique Réthaise

Que faire en cas de cyberattaque ? (Consignes pour les collaborateurs)

CONSIGNES EN CAS DE CYBERATTAQUE

CYBERATTAQUE : CONSIGNES POUR LES COLLABORATEURS

Toute entreprise, association, collectivité ou administration, quelle qu’en soit la taille, peut être la cible d’une cyberattaque. Une situation qui peut avoir de graves conséquences pour l’organisation qui en est victime : techniques, financières, réputationnelles, juridiques ou encore humaines.

Une cyberattaque peut se produire à tout moment et, parfois, ce sont les collaborateurs de l’organisation visée qui en sont les premiers témoins : fichiers chiffrés, difficultés ou impossibilité d’accès aux logiciels ou systèmes informatiques, etc.

Ce document synthétique vise à fournir aux collaborateurs les consignes d’urgence à appliquer pour réagir en cas de cyberattaque et ainsi aider l’organisation à répondre au plus vite à l’incident pour améliorer ses chances d’y faire face.

Ces mesures opérationnelles peuvent faire l’objet d’un affichage dans vos locaux et à proximité de chaque poste de travail.

Consignes en cas de cyberattaque

  • 1. Débranchez la machine d’Internet ou du réseau informatique.Débranchez le câble réseau et désactivez la connexion Wi-Fi ou les connexions de données pour les appareils mobiles.
  • 2. N’éteignez pas l’appareil.Certains éléments de preuve contenus dans la mémoire de l’équipement et nécessaires aux investigations seront effacés s’il est éteint.
  • 3. Alertez au plus vite votre support informatique.Votre support pourra prendre les mesures nécessaires pour contenir, voire réduire, les conséquences de la cyberattaque.
  • 4. N’utilisez plus l’équipement potentiellement compromis.Ne touchez plus à l’appareil pour éviter de supprimer des traces de l’attaque utiles pour les investigations à venir.
  • 5. Prévenez vos collègues de l’attaque en cours.Une mauvaise manipulation de la part d’un autre collaborateur pourrait aggraver la situation.

Source: www.cybermalveillance.gouv.fr/