Ransomware que peut on esperer ?

[neoluna]

Bonjour,

L'administration communale de ma commune (liège 230.000 habitant) est paralysé par un ransoware ryuk.

https://www.rtc.be/article/info/soci...09624_325.html

Je ne m'y connais pas assez pour tout saisir. J'aimerais savoir si ce genre d'attaque arrivent souvent à être déjouer, si on arrive à retracer les auteurs ou si la seul option est de payer. Je pense que la computer crime unit de la police fédérale belge a dû intervenir mais je suis juste curieux de savoir si ça demande de grand moyen pour les hackers, équipe ? Grande compétence informatique ? Et surtout si possible de retracé et de déjouer.

Merci
-----

[neoluna]

Bonjour,

Personne ne connaît les réponses ? Merci

[pm42]

J'aimerais savoir si ce genre d'attaque arrivent souvent à être déjouer

A être déjouée comment ? En amont ? Cela dépend de plein de choses, du degré de sécurité des gens attaqués, de la complexité de leur système informatique et de la compétence des hackers.
Disons que pour une institution normale comme ton administration communale, se protéger contre des gens motivés est très difficile.

si on arrive à retracer les auteurs

Plus ou moins mais en pratique, vu qu'ils sont en général dans des Etats qui les protègent tant qu'ils ne s'en prennent qu'à des cibles qui les arrangent, cela ne change pas grand chose.

ou si la seul option est de payer.

On peut payer en espérant que l'on va récupérer une clé de décryptage, tout décrypter, ce qui prend du temps et ne marche pas toujours à 100%, et que tout va repartir.
L'autre solution est de reconstruire le système d'information à partir des backups s'ils sont suffisamment protégés pour ne pas avoir été touchés par l'attaque. Là aussi, cela prend du temps et c'est toujours plus compliqué que prévu.

je suis juste curieux de savoir si ça demande de grand moyen pour les hackers, équipe ? Grande compétence informatique ?

Tout dépend de l'attaque. Acheter sur le darkweb un crypto-virus et esssayer de le balancer chez des gens très peu protégé ne demande pas de grands moyens ni de compétence informatique pointue.
Attaquer réellement une vraie structure comme c'est arrivé récemment à Colonial Pipeline, un réseau d'oléoducs aux USA, là, c'est du sérieux et les hackers font un gros travail préparatoire pendant des semaines ou plus avant de lancer le cryptage, ayant pénétré le système, vérifié qu'ils ne sont pas détectés, diminué les sécurités.

Toutefois dans leur cas, le plus gros de la rançon payée en bitcoins a été retrouvée et saisie.

[penthode]

mais pourquoi , pourquoi , pourquoi.......

un réseau stratégique : mairie , hôpital, entreprise , etc.....

est il ouvert sur internet ????

c'est vraiment chercher les emmerdes !

[A voir en vidéo sur Futura]

[pm42]

mais pourquoi , pourquoi , pourquoi.......
un réseau stratégique : mairie , hôpital, entreprise , etc.....
est il ouvert sur internet ????
c'est vraiment chercher les emmerdes !

Je pense qu'il y a plein de gens qui vont t'embaucher si tu sais sécuriser un réseau en plus de mettre des enrichissements typographiques partout.

Ils te poseront toutefois quelques questions :

- comment est ce que les gens font pour travailler sans accès à Internet vu que certains services, gouvernementaux, bancaires, etc, sont accessibles principalement de cette façon ?
- comment est ce que les gens font pour travailler sans accès à cette masse d'information que donne Internet, sans email, etc ? Ou sans certains logiciels disponibles uniquement en ligne ?
- comment en période Covid permet t'on aux gens de télétravailler sans relier le système d'information à Internet ?

[penthode]

je connais pas mal de boites , dont les informaticiens sont plus compétents que moi ( ce qui n'est pas difficile)

dont les services stratégiques : gestion , compta , R&D NE SONT PAS OUVERTS SUR INTERNET....

ce qui leur évite des soucis !

[pm42]

je connais pas mal de boites , dont les informaticiens sont plus compétents que moi ( ce qui n'est pas difficile)
dont les services stratégiques : gestion , compta , R&D NE SONT PAS OUVERTS SUR INTERNET....

C'est très, très drôle mais pas du tout crédible. Une compta ne peut pas fonctionner aujourd'hui sans le Net tout simplement. Un service de R&D non plus.

Et même si c'était le cas, cela ne changerait pas grand chose face aux attaques en question sauf si la boite isole totalement ses réseaux locaux entre eux ce qui veut dire que les gens ne peuvent même pas s'envoyer de mail en interne.

Bref, on est dans le cas de "je connais la solution parce que je ne comprends absolument rien au problème".

[penthode]

de toi z'a moi ....

entends-tu parler de piratage de l'armée , de la gendarmerie , ou de la banque de France (entre autres) ?

Crois-tu que les codes de la bombe passent par facebook ?

[Deedee81]

Salut,

Attention, distinguons deux choses.

- Il y a de nombreuses institutions de R&D, de compta, de finance.... qui sont sur internet car il est devenu extrêmement difficile de travailler sans être ouvert sur le monde (j'en sais quelque chose puisque je fais partie de l'administration mais nous avons dans notre département le statut d'organisme payeur, légalement identique à une banque). Et comme la plupart des entreprises sont réparties elles doivent aussi communiquer et avoir un réseau en site propre est souvent d'un coût exhorbitant. Mais bien entendu, les protections sont majeures (on a un service chez nous qui ne fait pratiquement que ça ! Lors de la vague d'attaque informatique récente en Belgique, nous, on n'a pas été touché). On communique aussi par internet avec des banques pour les transferts financiers, mais leur niveau de sécurité est encore plus sévère que le nôtre.
- Parfois c'est tellement sensible (en général militaire) que on ne peut prendre aucun risque. Et là bien entendu, on fonctionne déconnecté, totalement, avec parfois des réseaux en site propre (presque toujours en fibre optique, l'OTAN a été dans les pionniers, me souvient quand je travaillais à Mons de l'énorme cabine enterrée qu'ils avaient installé près de notre bureau, cabine pour le relais, aiguillage et amplification des signaux optiques, grosse car blindée et technique de l'époque fort volumineuse, les méthodes d'amplifications avec fibres enrichies en niobium n'existaient pas encore).

Mais d'autres problèmes peuvent surgir, dans les deux cas :
- Si la protection devient trop forte, ça peut cause des soucis. Au centre du Ministère de la Défense (où j'ai bien failli travailler, j'ai même passé l'examen devant un colonel en uniforme ) la sécurité informatique est maximale. Par exemple, les mots de passe doivent être changés tous les jours et je vous dis pas combien ils sont imbuvables, du genre fs!è5f45+sf4s5=4f et très long. Résultat ? Tout le monde planque son nouveau mot de passe avec un petit papier scotché sous le bureau. Bravo la sécurité
- Le fonctionnement off ligne n'empêche pas le piratage suite à une bourde, comme la célèbre histoire : https://fr.wikipedia.org/wiki/Stuxnet
Quand j'ai travaillé dans une usine sous contrat militaire (en tant qu'ingénieur civil) la règle était simple à l'époque : si on était pris à sortir du bâtiment avec une disquette même vierge c'était "viré sur le champ".

[micapivi]

Bonjour

Je suppose (enfin … j'espère) que tous ceux qui ont la charge de gèrer un réseau
savent déjà qu'il est impératif de toujours se tenir au courant de l'actualité.

Pour les autres, vous pouvez vous en faire une idée
en allant régulièrement lire les documents accessibles par https://www.cert.ssi.gouv.fr/

[Deedee81]

Je suppose (enfin … j'espère) que tous ceux qui ont la charge de gèrer un réseau
savent déjà qu'il est impératif de toujours se tenir au courant de l'actualité.

Moi aussi je l'espère (les actus mais aussi les développements récents en matière de sécurité, faut toujours être à la page dans ce domaine).

Mais à petite échelle faut pas rêver. J'ai vu des responsables de petits réseaux locaux qui prenaient certaines choses par dessus la jambe, même parfois simplement les copies (backup) de sécurité !!! Et en matière d'individus seuls c'est encore pire (j'ai vu un architecte pleurer : il avait perdus tous ses plans et toute sa compta, sur vingt ans, car il n'avait jamais fait de copie et n'avait même pas de version papier.... en vingt ans, on croit rêver mais là c'était plutôt un cauchemar). Et au Ministère suite à un problème de surcharge, il y a un peu plus de vingt ans, arrêt des backup le temps de faire tourner les programmes.... et loi de Murphy oblige, c'est là que le disque dur su serveur a fait BOUM. Il a fallu récupérer le vieux backups, les infos récentes dans des serveurs secondaires et des semaines de boulot pour resynchronisé les infos de base de données. Peu de temps après le Directeur Général annonçait le financement d'un nouveau serveur beaucoup plus puissant : parfois, dépensé un peu d'argent évite d'en perde beaucoup plus, on ne joue pas avec la sécurité même s'il ne s'agit pas de protection contre des attaques

[Deedee81]

Désolé, quelques fautes d'orthographes qui piquent les yeux mais je ne sais plus modifier, je n'ai pas les droits dans ce forum.

[invite7a0a8d2e]

je connais pas mal de boites , dont les informaticiens sont plus compétents que moi ( ce qui n'est pas difficile)

dont les services stratégiques : gestion , compta , R&D NE SONT PAS OUVERTS SUR INTERNET....

ce qui leur évite des soucis !

C'est vrai, ça arrive (et même dans de grosses boites genre basée près de la Défense).
Parfois pour accéder à certains fichiers sensibles, il faut écrire une "requête maison" dans un fichier, et un programme dédié ira décoder la requête pour permettre de servir le fichier (ou pas...)
On sort du standard connu de tous les hackers et on limite les possibilités d'action (par exemple le programme dédié n'est pas capable de fournir l'ensemble des données d'une base de données car ce n'est pas codé (et comme c'est inutile on ne développe pas cette possibilité).
Ça demande d'avoir des informaticiens capables de développer et qui savent ce qu'ils font.

De la même manière, j'ai souvent vu les services de gestion communiquer avec les banques (pour les transferts bancaires) par le biais de lignes sécurisées dédiées (employant des modems spécifiques).

De même en standard, on ne mélange effectivement pas les communications des différents services.
Ce n'est pas parce-qu'on est entré dans réseau du service client qu'on a accès au réseau de service du personnel.
C'est géré niveau hardware (les switchs programmables)

Après, si on a une société qui n'est même pas capable de restaurer ses données et applications ni à J-1 ni à J-15 en un temps normal (genre, allez, 1 journée), c'est qu'il y a un soucis de base et on imagine alors l'état de sa sécurité réseau...

[jiherve]

bonjour,
il existe des secteurs d'activités(R&D kaki) presque totalement déconnectés d'internet , il y a juste deux réseaux , l'un fermé ,l'autre classique ,liaison entre les deux Adidas Net et pas par tout le monde et pas sur toutes les machines.

JR

[penthode]

pour l'histoire de SCADA

On peut être surpris que les iraniens ne soient pas en déconnecté

bref , là on ne sait pas tout

[pm42]

On sort du standard connu de tous les hackers

C'est très naif de croire ça parce qu'on applique ce genre de méthode depuis des décennies et tous les hackers les connaissent.

Ça demande d'avoir des informaticiens capables de développer et qui savent ce qu'ils font.

Mais bien sur. Ce genre de concept à base de DMZ, limite d'accès, etc, c'est là aussi ce qu'on fait depuis toujours.

De la même manière, j'ai souvent vu les services de gestion communiquer avec les banques (pour les transferts bancaires) par le biais de lignes sécurisées dédiées (employant des modems spécifiques).

Oui, on ne fait pratiquement plus ça parce qu'en pratique, cela n'améliore pas la sécurité comparé aux techniques modernes de cryptage.

Ce n'est pas parce-qu'on est entré dans réseau du service client qu'on a accès au réseau de service du personnel.
C'est géré niveau hardware (les switchs programmables)

Et là aussi, on fait ça depuis toujours et cela n'a jamais arrêté les vrais hackers pour plein de raisons.

Après, si on a une société qui n'est même pas capable de restaurer ses données et applications ni à J-1 ni à J-15 en un temps normal (genre, allez, 1 journée), c'est qu'il y a un soucis de base et on imagine alors l'état de sa sécurité réseau...

Mais bien sur.
Quand on n'y connait rien, on explique des solutions qu'on n'a pas compris, on fait du yakafokon et on explique que forcément, ceux qui se prennent une attaque et ne s'en sortent pas tout de suite sont des nuls sans rien savoir de ce que cela implique.

On est encore dans les contributions des experts en tout qui n'ont jamais posté quelque chose de pertinent sur aucun des nombreux sujets où il font pilier de bar.

[invite9ce22e65]

Petit passage

Le ransomware de ce sujet s'appelle RYUK
Pour connaitre la bête --> https://www.cert.ssi.gouv.fr/uploads...20-CTI-011.pdf

***

Le mode d'entrée est un email de phishing (= courriel d'hameçonnage)
brève explication --> https://www.vadesecure.com/fr/blog/r...s-de-diffusion


***

Sécurité, Sécurité, oui, mais si le personnel n'est pas formé dans ce sens, alors fatalement une porte d'entrée

[invite7a0a8d2e]

C'est très naif de croire ça parce qu'on applique ce genre de méthode depuis des décennies et tous les hackers les connaissent.

Vous n'avez pas compris.

"Oh je sais que ça existe !
Me voilà bien avancé, il me reste plus qu'à trouver le moyen de contourner. "

Mais bien sur. Ce genre de concept à base de DMZ, limite d'accès, etc, c'est là aussi ce qu'on fait depuis toujours.

Pas depuis toujours, mais oui c'est un peu la base (lorsqu'on a les moyens).

Oui, on ne fait pratiquement plus ça parce qu'en pratique, cela n'améliore pas la sécurité comparé aux techniques modernes de cryptage.

Vous n'avez pas compris.
Perso j'ai souvent observé un PC déconnecté du réseau qu'on alimentait avec des données, disquettes ou USB.
Les données sont aussi cryptées bien sûr.
Avec une sauvegarde et du matériel pour restaurer le PC bien sûr.

Et là aussi, on fait ça depuis toujours et cela n'a jamais arrêté les vrais hackers pour plein de raisons.

Des switchs programmables, genre ça existe depuis toujours (vous au moins vous me faites rire depuis toujours ).
Et oui, ça arrête les hackers si c'est fait par des vrais administrateurs de la sécurité.
Mais si vous avez trouvé une faille récente dans le firmware de ces matériels, n'hésitez pas à nous en faire part.
Et si vous savez déplacer physiquement des câbles à distance, c'est à un autre service qu'il faudra vous tourner...

Chez HSBC en tous cas ça marche.
Juste un exemple de petite entreprise qui se fait des illusions sur le fait d'investir dans ce type de matériel.
Mais allez donc vite les avertir que vous avez expertisé leur grande naïveté.

Mais bien sur.
Quand on n'y connait rien, on explique des solutions qu'on n'a pas compris, on fait du yakafokon et on explique que forcément, ceux qui se prennent une attaque et ne s'en sortent pas tout de suite sont des nuls sans rien savoir de ce que cela implique.

Mais bien sûr quand on ne fait que de la théorie on ne peut pas se rendre compte des exigences d'une entreprise.

On est encore dans les contributions des experts en tout qui n'ont jamais posté quelque chose de pertinent sur aucun des nombreux sujets où il font pilier de bar.

Heureusement que vous êtes là pour expertiser la chose.

[pm42]

Perso j'ai souvent observé un PC déconnecté du réseau qu'on alimentait avec des données, disquettes ou USB.

Des disquettes en 2021 ? Le délire continue.

Chez HSBC en tous cas ça marche.

Mais bien sur :

https://www.zataz.com/fuite-de-donnees-pour-hsbc/
https://www.hebergementwebs.com/cybe...nt-de-securite

Mais bien sûr quand on ne fait que de la théorie on ne peut pas se rendre compte des exigences d'une entreprise.

Et quand on ne connait absolument rien de rien au sujet, on accuse de théoricien quelqu'un qui a fait de la sécurité en milieu bancaire professionnellement et de ne rien connaitre aux entreprises quand il a bossé pour pas mal de multinationales avant d'en créer plusieurs boites.

Vous ne connaissez rien à la cybersécurité donc vous devriez éviter d'expliquer comment on bloque les hackers en n'étant pas capable d'utiliser le vocabulaire correct ou des concepts qui ont moins de 30 ans.

[jiherve]

Re
enfin ce que tout çà démontre à nouveau c'est la propension qu'ont les hommes à tout pervertir, je suis de plus en plus convaincu qu'internet n'aurait jamais du être rendu accessible à tout le monde, personnellement je m'en serais sans doute passé, car je me demande si les effets négatifs(piratage et trafics divers, harcèlement, e-commerce incontrôlé, pornographie, propagande terroriste, surveillance généralisée etc etc) ne l'emportent pas sur ceux positifs (accès au savoir, simplification administrative, échange sociaux constructifs).
Certain(s) vont dire : oui mais cela existait avant ce n'est pas la faute du net , bien sur mais pas avec la même puissance de frappe, car étrangement la massue existait aussi avant la bombe A!
JR

[Deedee81]

Des disquettes en 2021 ? Le délire continue.

Ah oui tiens, j'avais pas tilté. Ceci dit, je suis sûr qu'on en trouve encore (pas les disquettes mais les PC équipés)

Vous ne connaissez rien à la cybersécurité

Perso je n'en connais grosso modo que mon vécu (assez large mais tout de même), j'évite de dépasser mes compétences. Mais pour le reste de ta phrase, question, franchement, es-tu étonné ?
(bon je veux pas être méchant mais le fait est que.... hein.... bon....)

[Flyingbike]

Vous n'avez pas compris.

"Oh je sais que ça existe !
Me voilà bien avancé, il me reste plus qu'à trouver le moyen de contourner. "



Pas depuis toujours, mais oui c'est un peu la base (lorsqu'on a les moyens).


Vous n'avez pas compris.
Perso j'ai souvent observé un PC déconnecté du réseau qu'on alimentait avec des données, disquettes ou USB.
Les données sont aussi cryptées bien sûr.
Avec une sauvegarde et du matériel pour restaurer le PC bien sûr.



Des switchs programmables, genre ça existe depuis toujours (vous au moins vous me faites rire depuis toujours ).
Et oui, ça arrête les hackers si c'est fait par des vrais administrateurs de la sécurité.
Mais si vous avez trouvé une faille récente dans le firmware de ces matériels, n'hésitez pas à nous en faire part.
Et si vous savez déplacer physiquement des câbles à distance, c'est à un autre service qu'il faudra vous tourner...

Chez HSBC en tous cas ça marche.
Juste un exemple de petite entreprise qui se fait des illusions sur le fait d'investir dans ce type de matériel.
Mais allez donc vite les avertir que vous avez expertisé leur grande naïveté.



Mais bien sûr quand on ne fait que de la théorie on ne peut pas se rendre compte des exigences d'une entreprise.



Heureusement que vous êtes là pour expertiser la chose.

Ce qui me fascine, c'est que malgré le fait que vous ayez été banni sous un autre pseudo et sous celui-ci, que vous ayez eu une bonne dizaine de cartons, et qu'un certain nombre de forumeurs spécialisés ou non vous aient plusieurs fois mis le nez dans votre ignorance et vos contradictions, vous continuez à intervenir comme si vous pensiez avoir encore un reste de crédibilité.

Je pense qu'on a été assez patients avec vous

au revoir

[Deedee81]

je me demande si les effets négatifs [ ...] ne l'emportent pas sur ceux positifs

TRES vaste question et difficile.

[jiherve]

re
Ésope déjà!
JR

[neoluna]

Merci pour tout ces precieux renseignements. Ici il ne parle pas de virus acheté sur le dark web mais d'attaque complexe par une organisation internationale.

https://www.rtl.be/info/regions/lieg...--1308056.aspx

[invite44510b00]

je connais pas mal de boites , dont les informaticiens sont plus compétents que moi ( ce qui n'est pas difficile)

dont les services stratégiques : gestion , compta , R&D NE SONT PAS OUVERTS SUR INTERNET....

Affirmation bidon, où alors c'était il y a 15 ans.
Toutes les obligations légales (nombreuses dans ce pays où l'état est aussi nuisible qu'omniprésent) de ces services nécessitent internet.

[invite44510b00]

C'est vrai, ça arrive (et même dans de grosses boites genre basée près de la Défense).
Parfois pour accéder à certains fichiers sensibles, il faut écrire une "requête maison" dans un fichier, et un programme dédié ira décoder la requête pour permettre de servir le fichier (ou pas...)...

Bricolage typique des années 80; plus personne n'utilise ce genre de truc, mais il n'y a que toi pour l'ignorer visiblement.

[Flyingbike]

Bricolage typique des années 80; plus personne n'utilise ce genre de truc, mais il n'y a que toi pour l'ignorer visiblement.

Je comprends qu'on ait envie de le tacler, mais BrainMan n'est plus membre du forum. S'il revient par la fenêtre, je l'attends avec ma pelle.

[micapivi]

… S'il revient par la fenêtre, je l'attends avec ma pelle.

Ouiiiiii !

je vois très bien ce que tu veux dire : Bernie (film d'Albert Dupontel)

[Flyingbike]

C’est exactement l’image qu’il y avait derrière mon message