Connexion
Abonnez-vous

La région Grand Est victime d’un rançongiciel

La région Grand Est victime d’un rançongiciel

Le 24 février 2020 à 08h39

Après Bouygues Construction ciblé par Maze, des pirates se sont cette fois-ci attaqué aux serveurs de l’administration.

« Toutes les mesures ont été prises pour gérer cette attaque qui peut encore entraîner quelques retards dans les réponses que nous apportons », affirme Jean Rottner (président de la région) sur Twitter.

Selon le Monde, qui s’appuie sur des déclarations de porte-parole, cette attaque aurait « déstabilisé le travail concret de 2 000 agents, auxquels il faut ajouter 169 élus et les 180 membres du Ceser, le conseil économique, social et environnemental régional. Entre le vendredi 14 et le mercredi 19 février, l’accès à leur messagerie, aux documents ou aux logiciels internes de l’administration, ou encore, au système de badges, n’était plus possible ».

En fin de semaine, la situation revenait progressivement à la normale, mais sans pouvoir envoyer de pièces jointes dans un premier temps. À nos confrères, la région affirme : « a priori, aucune information de façon générale n’a été volée, mais nous restons prudents ». Aucune rançon n’a été payée par la collectivité, qui assure ne pas connaître l’identité des pirates. L’ANSSI est sur le pont.

Le 24 février 2020 à 08h39

Commentaires (20)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Tu veux dire, à part recharger les sauvegardes ?

votre avatar







Ler van keeg a écrit :



Ben à part part payer la rançon…



Il n’y a aucune garantie que payer la rançon te rendra tes données. Il n’y a pas de moyen de vérifier si les hackers ont la possibilité de fournir un décrypteur et s’il n’y avait pas de bug dans leur virus. 


votre avatar







brice.wernet a écrit :



Oui, en général le logiciel va crypter chiffrer



<img data-src=" />







brice.wernet a écrit :



Il n’y a aucune garantie que payer la rançon te rendra tes données. Il n’y a pas de moyen de vérifier si les hackers ont la possibilité de fournir un décrypteur la clé de déchiffrement et s’il n’y avait pas de bug dans leur virus.



<img data-src=" />


votre avatar







ArchangeBlandin a écrit :



Tu veux dire, à part recharger les sauvegardes ?





Restaurer :) <img data-src=" />


votre avatar

Tu es tatillon. Ca me fais “cryer”.

votre avatar







brice.wernet a écrit :



Tu es tatillon. Ca me fais “cryer”.



Je ne suis pas tatillon. On chiffre, si on a la clé on déchiffre, et si on ne l’a pas on décrypte. On ne crypte jamais (pour cela il faudrait chiffrer sans connaître la clé… Ce qui est techniquement assez difficile), et on ne décrypte pas si on a la clé (du moins on pourrait, mais autant déchiffrer directement, c’est plus simple).


votre avatar

C’est bien un decrypteur dans cette situation.



Décrypter c’est l’action de déchiffrer sans la clef de chiffrement.



Seul crypter n’existe pas.



Edit : j’ai loupé ton second commentaire expliquant correctement <img data-src=" />

votre avatar

Un ransomware qui ne prend pas la peine de conserver la clé comme on en croise des fois, ça compte comme du cryptage ou du chiffrement? <img data-src=" />

votre avatar







Patch a écrit :



Je ne suis pas tatillon. On chiffre, si on a la clé on déchiffre, et si on ne l’a pas on décrypte. On ne crypte jamais&nbsp;



<img data-src=" />

Je ferai attention désormais… Surtout que c’est pas la première fois que tu m’épingles sur mes écarts de langage dans le domaine du cryptement/de la chiffro&nbsp;<img data-src=" />


votre avatar







Zerdligham a écrit :



Un ransomware qui ne prend pas la peine de conserver la clé comme on en croise des fois, ça compte comme du cryptage ou du chiffrement? <img data-src=" />



Chiffrement débile, vu que c’est ensuite qu’il perd la clé <img data-src=" />

Mais il y a eu bien mieux : un ransomware où tu n’auras jamais d’aide. Le paiement se fait en bitcoin, sur une adresse perdue, personne n’y ayant accès (et donc les “pirates” n’ayant jamais de paiement, ils ne donnent pas la solution pour déchiffrer) <img data-src=" /> <img data-src=" />







brice.wernet a écrit :



<img data-src=" />

Je ferai attention désormais… Surtout que c’est pas la première fois que tu m’épingles sur mes écarts de langage dans le domaine du cryptement/de la chiffro <img data-src=" />



Ah possible. A ta décharge, j’avoue que je suis un peu comme un grammar nazi quand je vois des trucs comme “crypter”, qui me font bien saigner des yeux <img data-src=" />


votre avatar

crypte cryptage cryptique cryptactites cryptographie cryptologue cryptide crypter

et le fameux cryptex ! roi des cryptages

votre avatar







Elwyns a écrit :



crypte cryptage cryptique cryptactites cryptographie cryptologue cryptide crypter

et le fameux cryptex ! roi des cryptages



En dehors de cryptage et crypter, tout existe en francais dans ta liste <img data-src=" />


votre avatar

Ne pas oublier bien sur le chiffrage des données.

votre avatar







Zerdligham a écrit :



Ne pas oublier bien sur le chiffrage des données.





Là c’est un coup à se faire plumer <img data-src=" />


votre avatar





« Toutes les mesures ont été prises pour gérer cette attaque…



en clair…ça signifie quoi ?

(ils ont fait QUOI, pour se protéger ?

p.c.q. : c’est vague–&gt;“Toutes les mesures….” ) <img data-src=" />

votre avatar

Mode de propagation : Dridex, souvent via un doc Word piégé cf. numerama. Il suffit d’un clic sur une PJ et hop…

votre avatar

Ce genre d’attaque peut aussi toucher des machines qui n’ont pas les droits d’admins ?

votre avatar







vizir67 a écrit :



« Toutes les mesures ont été prises pour gérer cette attaque…



en clair…ça signifie quoi ?

(ils ont fait QUOI, pour se protéger ?

p.c.q. : c’est vague–&gt;“Toutes les mesures….” ) <img data-src=" />





Ben à part part payer la rançon…


votre avatar

Ce type de ransomware ratisse large, si les machines ne sont pas à jour, c’est possible que ça fonctionne via des élévations de privilèges. Mais bon, je parierai que dans ce cas, l’utilisateur qui a ouvert le Word infecté devait être admin de sa machine.

votre avatar







Urtok a écrit :



Ce genre d’attaque peut aussi toucher des machines qui n’ont pas les droits d’admins ?





Oui, en général le logiciel va crypter tout ce qu’il trouve accessible à l’utilisateur:





  • les fichiers de l’utilisateurs

  • les fichiers partagés en écriture avec l’utilisateur (par exemple un collègue qui a partagé tous ses fichiers en lecture/écriture à tout son service) (ou ton NAS)



    Si l’utilisateur a des synchros en écriture vers le cloud, les fichiers seront cryptés localement puis le logiciel de synchro enverra tout vers le cloud.



    Si le logiciel n’arrive à rien, il essaie d’aller ailleurs, soit via la messagerie interne et avec l’annuaire local, soit autrement (failles).

    &nbsp;

    De plus, ils testent souvent des failles d’élévation de privilège (notamment les failles SMBv1, les failles des outils tiers genre les panneaux de contrôle Nvidia, AMD, carte son, souvent installés mais jamais mis à jour en entreprise alors qu’ils ont parfois la main sur le système) afin d’aller plus loin. Enfin, ces logiciels vont chercher des charges de travail (des plugins) avec d’autres méthodes d’attaque sur internet…



    D’habitude on les reçoit vers 11h30, 16h30, les veilles de jour fériés ou de pont, pendant les ponts, et aux retours de vacances (plein de courrier à trier –&gt; on ne fait pas attention à tout)



    Le principe est quasi toujours le même: un fichier PDF, un fichier Word ou ZIP vérolé, l’utilisateur ouvre, rien ne se passe ou un message d’erreur apparaît, et l’utilisateur passe à autre chose. En fait, le virus est lancé, se décompresse, va chercher sur internet un contenu à exécuter et l’exécute.



    Le plus radical il y a 2 ans, c’était d’empêcher Windows d’exécuter quoique ce soit depuis les répertoires utilisateurs et depuis c:\Windows\Temp. Mais ça bloque des logiciels tout à fait normaux et la plupart des install.


La région Grand Est victime d’un rançongiciel

Fermer