Publication des échanges montrant que l’agence de voyage américaine CWT, victime d’un rançongiciel, a payé environ 5,3 milliards de wons

 (threadreaderapp.com)
13 points par xguru 2020-08-04 | 6 commentaires | Partager sur WhatsApp

  • Touchée par le rançongiciel Ragnar Locker, l’entreprise a réglé l’affaire en payant 4,5 M$ en bitcoin

  • Ce qui retient l’attention, c’est que la négociation se déroule presque comme une discussion entre partenaires commerciaux

  1. 30 000 appareils auraient été infectés, et les attaquants demandent 10 M$ en échange du déchiffrement et de la suppression, depuis leurs propres serveurs, des données qu’ils ont téléchargées

  2. 10 millions de dollars, c’est peu comparé aux poursuites judiciaires et à l’atteinte à la réputation que vous subiriez si nous publiions ces données~

  3. Ils déchiffrent « gratuitement » quelques fichiers choisis au hasard pour prouver qu’ils en ont la capacité

  4. Ils demandent si 10 M$ est vraiment cher, en proposant un tarif spécial en cas de réponse sous 2 jours

  5. (Ce n’apparaît pas à l’écran, mais ils ont probablement proposé 8 M$ après une remise de 20 %)

  6. 8 M$, c’est impossible à moins de doubler notre chiffre d’affaires. Nous ne pouvons réunir immédiatement que 3,7 M$ en liquidités

  7. Les 20 % représentent déjà une forte remise, et un supplément d’environ 5 % est encore possible, mais ce prix reste difficile… Que diriez-vous d’environ 4 M$ : vous nous donnez d’abord l’outil de déchiffrement, puis nous versons le reste plus tard, pendant que vous supprimez les données que vous détenez sur nous ?

  8. Après le paiement, ils ajoutent des conseils de sécurité du type « pour éviter que cela ne se reproduise, nous vous recommandons ceci »

  • Désactivez les mots de passe locaux.

  • Forcez la fermeture des sessions administrateur.

  • Dans la stratégie de groupe, définissez la valeur WDigest sur 0. Si la valeur UseLogonCredential est à 0, elle n’est pas conservée en mémoire

  • Changez les mots de passe chaque mois.

  • Vérifiez et réduisez les permissions accordées aux utilisateurs afin qu’ils n’accèdent qu’aux applications strictement nécessaires

  • Dans la plupart des cas, Applocker suffit à assurer la protection

  • N’autorisez l’exécution que des applications indispensables

  • Ne comptez pas uniquement sur l’antivirus. Cela peut aider face à une infection ou une attaque de longue durée, mais dans la plupart des cas ce n’est pas très utile

  • Installez un EDR (Endpoint Detection and Response Security) et demandez aux administrateurs IT de l’utiliser

  • Pour les grandes entreprises, ils recommandent au moins 3 administrateurs système travaillant 24h/24, et estiment que 4 administrateurs en rotation sur 3 équipes de 8 heures par jour devraient suffire

  • CWT est une société spécialisée dans la gestion des voyages d’affaires, réunions, incentives et salons pour les entreprises en B2B. Fondée en 1994, elle couvre 145 pays, emploie 18 000 personnes et réalise un chiffre d’affaires annuel d’environ 1,8 billion de wons.

À lire aussi

6 commentaires

 
red123 2020-08-06

Certains trimeraient comme des pigeons pour gagner leur vie

D’autres gagnent de l’argent en le volant, mdr
 
red123 2020-08-06

Une petite pub bien glissée pour un EDR, c'est ça ? mdr
 
sduck4 2020-08-04

Voilà un audit de sécurité sacrément coûteux.
 
ohjongin 2020-08-04

On dirait un conseil de sécurité qui s’applique à Windows…
 
xguru 2020-08-04

La plupart des ransomwares ciblent Windows, donc bon haha
 
xguru 2020-08-04

Il n’y a pas longtemps, Garmin aussi a été victime d’un ransomware, ce qui a provoqué l’arrêt de ses systèmes pendant plusieurs jours avant que l’affaire ne soit réglée en payant quelques millions de dollars. Plus l’entreprise est grande, plus elle devrait prêter attention à la sécurité.

https://engadget.com/garmin-cyber-attack-ransomware-payment-180211805.…