La menace particulière : par rapport aux chevaux de Troie précédents, "SODINOKIBI" passe au second plan - souvent discrètement pour les antivirus locaux, espionnant comme "dormeur" les accès, mots de passe et parts dans le réseau local.
Déjà bien avant l'apparition reconnaissable du virus le Troie se trouvait généralement déjà dans votre réseau, ce qui infectait également les sauvegardes importantes et les rendait sans valeur. Les disques de sauvegarde (NAS) sont également affectés. Après cela, les maîtres-chanteurs exigent beaucoup d'argent avec une grande énergie criminelle. Mais il n'y a aucune garantie pour le décryptage.
Cette dynamique rend le cheval de Troie si dangereux et fait actuellement perdre le sommeil à de nombreux fournisseurs de sécurité informatique. Toutes les stratégies de sécurité actuelles font l'objet d'un examen minutieux, de nouvelles structures et de nouveaux processus de surveillance doivent être mis en place.
Tactiques de distribution possibles
- Vulnérabilités critiques de Windows
Selon un communiqué de presse de la BSI (l'autorité nationale allemande chargée de la cybersécurité), Microsoft a publié de graves vulnérabilités dans les services de bureau à distance (RDS) pour son système d'exploitation Windows. Au moins deux d'entre eux sont vermifuges. Ce que cela signifie : les attaquants créent au hasard des combinaisons de noms d'utilisateur et de mots de passe et essaient de trouver le bon accès RDP à votre réseau. → PC CADDIE://online a installé les nouveaux correctifs de Windows pour tous les clients Netwatch pour se protéger, et surveille en même temps les attaques RDP au niveau des installations en Cloud.
Surprenant : le serveur d'un client a reçu 500 tentatives d'attaque RDP au cours des 48 dernières heures. - Campagnes de SPAM et courriels publicitaires
Le cheval de Troie peut également rencontrer des courriels frauduleux, qui sont des messages contenant un code malveillant caché se faisant passer pour des messages importants de clients ou partenaires commerciaux connus. Les courriels sont parfaitement adaptés au groupe cible, par exemple, des demandes aux responsables des ressources humaines ou des rappels aux services comptables. Un mauvais clic, et les attaquants sont dans le système.
Le BSI conseille à tous les utilisateurs de Windows d'installer immédiatement les mises à jour fournies. Les administrateurs informatiques de PC CADDIE://online recommandent à leurs clients, comme mesure de protection, une sauvegarde complète des données sur le Cloud de PC CADDIE://online, en plus de la sauvegarde locale. Pour l'instant, c'est la seule alternative pour accéder aux données après un tel cryptage criminel.
› Bulletin d'informatione de PC CADDIE://online | Menace de la dernière génération de logiciels malveillants cryptographiques
Nous demandons à tous les clubs de golf et à toutes les entreprises de golf qui ont commandé la protection de leurs données par l'intermédiaire de leur propre fournisseur de services informatiques de se renseigner le plus rapidement possible sur la manière de se préparer à de telles attaques.
Veuillez rester vigilants !
Nous sommes à votre disposition pour toute question que vous pourriez avoir à poser à nos administrateurs informatiques ; il vous suffit de nous envoyer un message à support (at) pccaddie-online.de. Nos sources d'information sur la façon de vous protéger :
› https://www.heise.de/security/meldung/Sodinokibi-aka-REvil-der-neue-Shooting-Star-der-Ransomware-Szene-4483691.html (Dernière consultation le 16.08.2019)
› https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2019/DejaBlue-Schwachstelle_140819.html (Dernière consultation le 16.08.2019)
› https://www.heise.de/security/meldung/Emotet-bei-Heise-Fachgespraech-zum-Schutz-vor-Cybercrime-4476253.html (Dernière consultation le 16.08.2019)
› https://www.sueddeutsche.de/digital/ransomware-service-sodinokibi-1.4554518 (Dernière consultation le 16.08.2019)