Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
La région Grand Est victime d’un rançongicielCrédits : kaptnali/iStock

Après Bouygues Construction ciblé par Maze, des pirates se sont cette fois-ci attaqué aux serveurs de l’administration.

« Toutes les mesures ont été prises pour gérer cette attaque qui peut encore entraîner quelques retards dans les réponses que nous apportons », affirme Jean Rottner (président de la région) sur Twitter.

Selon le Monde, qui s’appuie sur des déclarations de porte-parole, cette attaque aurait « déstabilisé le travail concret de 2 000 agents, auxquels il faut ajouter 169 élus et les 180 membres du Ceser, le conseil économique, social et environnemental régional. Entre le vendredi 14 et le mercredi 19 février, l’accès à leur messagerie, aux documents ou aux logiciels internes de l’administration, ou encore, au système de badges, n’était plus possible ».

En fin de semaine, la situation revenait progressivement à la normale, mais sans pouvoir envoyer de pièces jointes dans un premier temps. À nos confrères, la région affirme : « a priori, aucune information de façon générale n’a été volée, mais nous restons prudents ». Aucune rançon n’a été payée par la collectivité, qui assure ne pas connaître l’identité des pirates. L’ANSSI est sur le pont.

21 commentaires
Avatar de vizir67 Abonné
Avatar de vizir67vizir67- 24/02/20 à 09:11:53

« Toutes les mesures ont été prises pour gérer cette attaque...

en clair...ça signifie quoi ?
(ils ont fait QUOI, pour se protéger ?
p.c.q. : c'est vague-->''Toutes les mesures...." ) :langue:

Avatar de janiko Abonné
Avatar de janikojaniko- 24/02/20 à 09:14:33

Mode de propagation : Dridex, souvent via un doc Word piégé cf. numerama. Il suffit d'un clic sur une PJ et hop...

Édité par janiko le 24/02/2020 à 09:14
Avatar de Urtok INpactien
Avatar de UrtokUrtok- 24/02/20 à 09:35:40

Ce genre d'attaque peut aussi toucher des machines qui n'ont pas les droits d'admins ?

Avatar de Ler van keeg INpactien
Avatar de Ler van keegLer van keeg- 24/02/20 à 09:47:21

vizir67 a écrit :

« Toutes les mesures ont été prises pour gérer cette attaque...

en clair...ça signifie quoi ?
(ils ont fait QUOI, pour se protéger ?
p.c.q. : c'est vague-->''Toutes les mesures...." ) :langue:

Ben à part part payer la rançon...

Avatar de Cronycs Abonné
Avatar de CronycsCronycs- 24/02/20 à 09:49:18

Ce type de ransomware ratisse large, si les machines ne sont pas à jour, c'est possible que ça fonctionne via des élévations de privilèges. Mais bon, je parierai que dans ce cas, l'utilisateur qui a ouvert le Word infecté devait être admin de sa machine.

Avatar de brice.wernet Abonné
Avatar de brice.wernetbrice.wernet- 24/02/20 à 10:48:55

Urtok a écrit :

Ce genre d'attaque peut aussi toucher des machines qui n'ont pas les droits d'admins ?

Oui, en général le logiciel va crypter tout ce qu'il trouve accessible à l'utilisateur:

  • les fichiers de l'utilisateurs
  • les fichiers partagés en écriture avec l'utilisateur (par exemple un collègue qui a partagé tous ses fichiers en lecture/écriture à tout son service) (ou ton NAS)

Si l'utilisateur a des synchros en écriture vers le cloud, les fichiers seront cryptés localement puis le logiciel de synchro enverra tout vers le cloud.

Si le logiciel n'arrive à rien, il essaie d'aller ailleurs, soit via la messagerie interne et avec l'annuaire local, soit autrement (failles).
 
De plus, ils testent souvent des failles d'élévation de privilège (notamment les failles SMBv1, les failles des outils tiers genre les panneaux de contrôle Nvidia, AMD, carte son, souvent installés mais jamais mis à jour en entreprise alors qu'ils ont parfois la main sur le système) afin d'aller plus loin. Enfin, ces logiciels vont chercher des charges de travail (des plugins) avec d'autres méthodes d'attaque sur internet...

D'habitude on les reçoit vers 11h30, 16h30, les veilles de jour fériés ou de pont, pendant les ponts, et aux retours de vacances (plein de courrier à trier --> on ne fait pas attention à tout)

Le principe est quasi toujours le même: un fichier PDF, un fichier Word ou ZIP vérolé, l'utilisateur ouvre, rien ne se passe ou un message d'erreur apparaît, et l'utilisateur passe à autre chose. En fait, le virus est lancé, se décompresse, va chercher sur internet un contenu à exécuter et l'exécute.

Le plus radical il y a 2 ans, c'était d'empêcher Windows d'exécuter quoique ce soit depuis les répertoires utilisateurs et depuis c:\Windows\Temp. Mais ça bloque des logiciels tout à fait normaux et la plupart des install.

Édité par brice.wernet le 24/02/2020 à 10:49
Avatar de ArchangeBlandin Abonné
Avatar de ArchangeBlandinArchangeBlandin- 24/02/20 à 13:16:19

Tu veux dire, à part recharger les sauvegardes ?

Avatar de brice.wernet Abonné
Avatar de brice.wernetbrice.wernet- 24/02/20 à 13:35:39

Ler van keeg a écrit :

Ben à part part payer la rançon...

Il n'y a aucune garantie que payer la rançon te rendra tes données. Il n'y a pas de moyen de vérifier si les hackers ont la possibilité de fournir un décrypteur et s'il n'y avait pas de bug dans leur virus. 

Avatar de Patch INpactien
Avatar de PatchPatch- 24/02/20 à 13:48:30

brice.wernet a écrit :

Oui, en général le logiciel va crypter chiffrer

:cap:

brice.wernet a écrit :

Il n'y a aucune garantie que payer la rançon te rendra tes données. Il n'y a pas de moyen de vérifier si les hackers ont la possibilité de fournir un décrypteur la clé de déchiffrement et s'il n'y avait pas de bug dans leur virus.

:cap:

Édité par Patch le 24/02/2020 à 13:49
Avatar de gg40 INpactien
Avatar de gg40gg40- 24/02/20 à 13:51:52

ArchangeBlandin a écrit :

Tu veux dire, à part recharger les sauvegardes ?

Restaurer :) :non:

Il n'est plus possible de commenter cette actualité.
Page 1 / 3