La région Grand Est victime d’un rançongiciel

La région Grand Est victime d’un rançongiciel

Par Sébastien Gavois

Le 24 Février 2020 à 08h39
Internet
2 min 21

La région Grand Est victime d’un rançongiciel

Après Bouygues Construction ciblé par Maze, des pirates se sont cette fois-ci attaqué aux serveurs de l’administration.

« Toutes les mesures ont été prises pour gérer cette attaque qui peut encore entraîner quelques retards dans les réponses que nous apportons », affirme Jean Rottner (président de la région) sur Twitter.

Selon le Monde, qui s’appuie sur des déclarations de porte-parole, cette attaque aurait « déstabilisé le travail concret de 2 000 agents, auxquels il faut ajouter 169 élus et les 180 membres du Ceser, le conseil économique, social et environnemental régional. Entre le vendredi 14 et le mercredi 19 février, l’accès à leur messagerie, aux documents ou aux logiciels internes de l’administration, ou encore, au système de badges, n’était plus possible ».

En fin de semaine, la situation revenait progressivement à la normale, mais sans pouvoir envoyer de pièces jointes dans un premier temps. À nos confrères, la région affirme : « a priori, aucune information de façon générale n’a été volée, mais nous restons prudents ». Aucune rançon n’a été payée par la collectivité, qui assure ne pas connaître l’identité des pirates. L’ANSSI est sur le pont.

Commentaires (21)


vizir67 Abonné
Le 24/02/2020 à 09h11





« Toutes les mesures ont été prises pour gérer cette attaque…



en clair…ça signifie quoi ?

(ils ont fait QUOI, pour se protéger ?

p.c.q. : c’est vague–&gt;“Toutes les mesures….” ) <img data-src=" />


Jean_G Abonné
Le 24/02/2020 à 09h14

Mode de propagation : Dridex, souvent via un doc Word piégé cf. numerama. Il suffit d’un clic sur une PJ et hop…


Urtok
Le 24/02/2020 à 09h35

Ce genre d’attaque peut aussi toucher des machines qui n’ont pas les droits d’admins ?


Ler van keeg
Le 24/02/2020 à 09h47







vizir67 a écrit :



« Toutes les mesures ont été prises pour gérer cette attaque…



en clair…ça signifie quoi ?

(ils ont fait QUOI, pour se protéger ?

p.c.q. : c’est vague–&gt;“Toutes les mesures….” ) <img data-src=" />





Ben à part part payer la rançon…



Cronycs Abonné
Le 24/02/2020 à 09h49

Ce type de ransomware ratisse large, si les machines ne sont pas à jour, c’est possible que ça fonctionne via des élévations de privilèges. Mais bon, je parierai que dans ce cas, l’utilisateur qui a ouvert le Word infecté devait être admin de sa machine.


Wosgien Abonné
Le 24/02/2020 à 10h48







Urtok a écrit :



Ce genre d’attaque peut aussi toucher des machines qui n’ont pas les droits d’admins ?





Oui, en général le logiciel va crypter tout ce qu’il trouve accessible à l’utilisateur:





  • les fichiers de l’utilisateurs

  • les fichiers partagés en écriture avec l’utilisateur (par exemple un collègue qui a partagé tous ses fichiers en lecture/écriture à tout son service) (ou ton NAS)



    Si l’utilisateur a des synchros en écriture vers le cloud, les fichiers seront cryptés localement puis le logiciel de synchro enverra tout vers le cloud.



    Si le logiciel n’arrive à rien, il essaie d’aller ailleurs, soit via la messagerie interne et avec l’annuaire local, soit autrement (failles).

    &nbsp;

    De plus, ils testent souvent des failles d’élévation de privilège (notamment les failles SMBv1, les failles des outils tiers genre les panneaux de contrôle Nvidia, AMD, carte son, souvent installés mais jamais mis à jour en entreprise alors qu’ils ont parfois la main sur le système) afin d’aller plus loin. Enfin, ces logiciels vont chercher des charges de travail (des plugins) avec d’autres méthodes d’attaque sur internet…



    D’habitude on les reçoit vers 11h30, 16h30, les veilles de jour fériés ou de pont, pendant les ponts, et aux retours de vacances (plein de courrier à trier –&gt; on ne fait pas attention à tout)



    Le principe est quasi toujours le même: un fichier PDF, un fichier Word ou ZIP vérolé, l’utilisateur ouvre, rien ne se passe ou un message d’erreur apparaît, et l’utilisateur passe à autre chose. En fait, le virus est lancé, se décompresse, va chercher sur internet un contenu à exécuter et l’exécute.



    Le plus radical il y a 2 ans, c’était d’empêcher Windows d’exécuter quoique ce soit depuis les répertoires utilisateurs et depuis c:\Windows\Temp. Mais ça bloque des logiciels tout à fait normaux et la plupart des install.



ArchangeBlandin Abonné
Le 24/02/2020 à 13h16

Tu veux dire, à part recharger les sauvegardes ?


Wosgien Abonné
Le 24/02/2020 à 13h35







Ler van keeg a écrit :



Ben à part part payer la rançon…



Il n’y a aucune garantie que payer la rançon te rendra tes données. Il n’y a pas de moyen de vérifier si les hackers ont la possibilité de fournir un décrypteur et s’il n’y avait pas de bug dans leur virus.&nbsp;



Patch Abonné
Le 24/02/2020 à 13h48







brice.wernet a écrit :



Oui, en général le logiciel va crypter chiffrer



<img data-src=" />







brice.wernet a écrit :



Il n’y a aucune garantie que payer la rançon te rendra tes données. Il n’y a pas de moyen de vérifier si les hackers ont la possibilité de fournir un décrypteur la clé de déchiffrement et s’il n’y avait pas de bug dans leur virus.



<img data-src=" />



gg40 Abonné
Le 24/02/2020 à 13h51







ArchangeBlandin a écrit :



Tu veux dire, à part recharger les sauvegardes ?





Restaurer :) <img data-src=" />



Wosgien Abonné
Le 24/02/2020 à 13h54

Tu es tatillon. Ca me fais “cryer”.


Patch Abonné
Le 24/02/2020 à 13h59







brice.wernet a écrit :



Tu es tatillon. Ca me fais “cryer”.



Je ne suis pas tatillon. On chiffre, si on a la clé on déchiffre, et si on ne l’a pas on décrypte. On ne crypte jamais (pour cela il faudrait chiffrer sans connaître la clé… Ce qui est techniquement assez difficile), et on ne décrypte pas si on a la clé (du moins on pourrait, mais autant déchiffrer directement, c’est plus simple).



Kazer2.0 Abonné
Le 24/02/2020 à 14h28

C’est bien un decrypteur dans cette situation.



Décrypter c’est l’action de déchiffrer sans la clef de chiffrement.



Seul crypter n’existe pas.



Edit : j’ai loupé ton second commentaire expliquant correctement <img data-src=" />


Zerdligham
Le 24/02/2020 à 15h16

Un ransomware qui ne prend pas la peine de conserver la clé comme on en croise des fois, ça compte comme du cryptage ou du chiffrement? <img data-src=" />


Wosgien Abonné
Le 24/02/2020 à 15h16







Patch a écrit :



Je ne suis pas tatillon. On chiffre, si on a la clé on déchiffre, et si on ne l’a pas on décrypte. On ne crypte jamais&nbsp;



<img data-src=" />

Je ferai attention désormais… Surtout que c’est pas la première fois que tu m’épingles sur mes écarts de langage dans le domaine du cryptement/de la chiffro&nbsp;<img data-src=" />



Patch Abonné
Le 24/02/2020 à 18h22







Zerdligham a écrit :



Un ransomware qui ne prend pas la peine de conserver la clé comme on en croise des fois, ça compte comme du cryptage ou du chiffrement? <img data-src=" />



Chiffrement débile, vu que c’est ensuite qu’il perd la clé <img data-src=" />

Mais il y a eu bien mieux : un ransomware où tu n’auras jamais d’aide. Le paiement se fait en bitcoin, sur une adresse perdue, personne n’y ayant accès (et donc les “pirates” n’ayant jamais de paiement, ils ne donnent pas la solution pour déchiffrer) <img data-src=" /> <img data-src=" />







brice.wernet a écrit :



<img data-src=" />

Je ferai attention désormais… Surtout que c’est pas la première fois que tu m’épingles sur mes écarts de langage dans le domaine du cryptement/de la chiffro <img data-src=" />



Ah possible. A ta décharge, j’avoue que je suis un peu comme un grammar nazi quand je vois des trucs comme “crypter”, qui me font bien saigner des yeux <img data-src=" />



Elwyns
Le 24/02/2020 à 18h48

crypte cryptage cryptique cryptactites cryptographie cryptologue cryptide crypter

et le fameux cryptex ! roi des cryptages


Patch Abonné
Le 25/02/2020 à 08h26







Elwyns a écrit :



crypte cryptage cryptique cryptactites cryptographie cryptologue cryptide crypter

et le fameux cryptex ! roi des cryptages



En dehors de cryptage et crypter, tout existe en francais dans ta liste <img data-src=" />



Zerdligham
Le 25/02/2020 à 09h14

Ne pas oublier bien sur le chiffrage des données.


Patch Abonné
Le 25/02/2020 à 09h27







Zerdligham a écrit :



Ne pas oublier bien sur le chiffrage des données.





Là c’est un coup à se faire plumer <img data-src=" />



Fermer