Bitdefender se joint à Europol pour désinfecter les machines Windows victimes du réseau criminel, Avalanche

Communication Corporate: 

Bitdefender se joint à Europol pour désinfecter les machines Windows victimes du réseau criminel, Avalanche

A cette occasion, Bitdefender offre un outil gratuit d’analyse approfondie

pour détecter des menaces cachées.

Le 30 novembre, une enquête approfondie a été lancée sous le nom de code “Opération Avalanche“ et s’est concrétisée par un travail de grand nettoyage extrêmement complexe, trans-juridictionnel et interprofessionnel. Ce projet, coordonné par Europol et soutenu par des partenaires éditeurs de solutions de sécurité, a ciblé des familles de malwares qui ont fait des ravages ces dernières années, causant des dommages considérables à leurs victimes, dans le monde.

L'opération Avalanche cible vingt familles de programmes malveillants différents, qui sont d’anciens botnets (toujours en activité) tels que GoznymMarcherDridexMatsnuURLZoneXSWKitPandabanker, mais aussi des menaces plus récentes et plus connues, comme les souches de ransomwares Cerber ou Teslacrypt. Bien que l'ampleur des dommages ne puisse être déterminée avec précision en raison du volume élevé d’opérations traitées par la plateforme Avalanche, ces malwares ont réussi à extorquer plusieurs centaines de millions d'euros dans le monde entier.

Dans le cadre de cette opération, Europol et ses partenaires internationaux ont saisi, neutralisé ou bloqué plus de 800 000 noms de domaines utilisés par les malwares, dans le but de confisquer plus de 30 serveurs et de mettre plus de 220 serveurs hors ligne via des protocoles de notification d'abus.

Tous ces efforts garantissent l’arrêt des mécanismes de commande et de contrôle des botnets ciblés, et les empêchent de recevoir de nouvelles instructions de leurs administrateurs.

En plus des procédures judiciaires en cours, le but de cette mobilisation massive est de procéder à un nettoyage complet des malwares ciblés, afin de garantir leur suppression totale des ordinateurs des victimes, après que les centres de commande et de contrôle (serveurs C&C) aient été bloqués.

Pourquoi le nettoyage est-il nécessaire ?

Une fois les centres de commande et de contrôle rendus inutilisables, les bots sur les ordinateurs infectés ne peuvent généralement plus causer de dommages directs. Cependant, leurs tentatives permanentes de communication avec ces centres pour d'autres instructions conduisent non seulement au gaspillage des cycles CPU précieux, mais génèrent aussi du trafic Internet indésirable. Dans certains cas, ces bots modifient la configuration de base de l’ordinateur, ce qui peut l'empêcher de se connecter à Internet ou d'accéder à des ressources spécifiques. Un exemple bien connu de ce comportement est le malware DNS-Changerqui a rendu impossible l'accès à Internet pour près de 25000 ordinateurs, suite à la fermeture de son centre de commande et de contrôle.

« Le nettoyage est une étape cruciale que les victimes doivent effectuer afin d'assurer l'éradication complète de ces malwares. Même si nos produits ont réussi à détecter ces menaces depuis leur émergence, l'outil de suppression que nous avons mis en place dans le cadre de la coopération avec Europol, permet aux victimes de désinfecter totalement leurs machines et de les nettoyer après le passage du botnet. Cet outil peut très bien être utilisé en parallèle d'autres solutions de sécurité », a déclaré Catalin Cosoi, Directeur de la Stratégie de Sécurité chez Bitdefender.

Si un utilisateur a des doutes sur le fait que son ordinateur soit infecté par l’un de ces botnets ou s’il souhaite lancer une vérification rapide, Bitdefender conseille de télécharger l'outil de suppression gratuit et d'exécuter une analyse complète du système.

Remerciements à l'équipe de recherche antimalware de Bitdefender au bureau d'Iasi qui a travaillé sans relâche pour proposer la suppression et la désinfection gratuites de toutes les familles de malwares qui ont fait l'objet du démantèlement : Dragos Gavrilut – Directeur de la Recherche Antimalware, Dan Anton - Chef de Projet Technique, Razvan Benchea - Chef d'Équipe de la Recherche Malware, Mihai Leonte - Chercheur Antimalware.

ESET priorités aux services et à la protection des IoT «  Internet of Target »

Conférence de presse internationale Bratislava 21 et 22 novembre 2016

 


ESET: priorités aux services et à la protection des IoT «  Internet of Target »

 

« Perfectly balanced security » c'est la baseline retenue par ESET à l'occasion du voyage de presse organisé fin novembre à Bratislava siège mondial de l'éditeur slovaque.

 

A l'image de la présentation du « malware researcher » Jean Ian Boutin faites peu de temps avant à Paris pour le lancement de la V10 ( http://cyberisques.com/fr/mots-cles-5/587-eset-nouvelle-version-tpe-home-market-compatible-rgpd ) les managers d' ESET ont renforcé le message « cybersecurity services » à Bratislava les 21 et 22 novembre dernier lors d'un événement avec la presse internationale. ESET, éditeur européen, collabore depuis de nombreuses années via ses chercheurs et labos internationaux avec différents services dont Interpol. Righard Zwienenberg, ESET senior Research Fellow a démontré à Bratislava la présence d'une double cybermenace. D'une part, les cybermenaces s’amplifient sur les IoT ce qui nécessitent de nouveaux services. D'autre part, de nouveaux cyberisques pèsent sur les utilisateurs via des ransomware ciblés pour des opérations de spearphishing visant des cibles spécifiques (fraude au CEO). Là encore de nouveaux services de type Threat Intelligence seront proposés par ESET.

 

Slide-4


« Demain ce seront les utilisateur d'IoT sous android ou autres systèmes en plus des voitures et des drones qui seront ciblés » affirme t-il. « Personne n'est à l'abri pas plus le constructeur Lenovo dont la home page a été récemment hackée que les grands cabinets d'avocats tels que le montre l'affaire des Panama papers ». Sur le comportement a adopter face aux ransomwares, les experts d'ESET s'accordent comme beaucoup d'autres : ne pas payer. Selon eux, l'alternative est simple au delà des méthodes de chiffrement et de back up. « il faut créer des pots de miel avec des fichiers pratiquement vides » affirme Righard Zwienenberg « pour tromper les cyber-attaquants ». En outre précise le chercheur, "il gaut utiliser de styechnologies fiables et légères pour diminuer l'impact sur les traitements. En fiabilite l'absence de faux positifs comme ESET sait le faire cosntitue une performance de plus en plsu appréciée par les entreprises".  


La véritable inquiétude des chercheurs d'ESET se porte sur les méthodes actuelles de propagation des cyberattaques. Objets connectés ? « ils sont 6,4 milliards aujourd'hui, combien demain et avec quel usage pour les cybercriminels ? » s'interroge Peter Kosinar qui ironise sur l'acronyme IoT « Internet of Target me semble plus d'actualité malheureusement » explique t-il en rappelant l'usage des caméras IP pour la dernière attaque DdoS de grande ampleur ( http://www.cyberisques.com/fr/mots-cles-22/591-iot-du-business-mais-pas-de-securite )

 

Slide-1-ESET-NOV-2016

 

 D'autres codes malveillants cible des communautés particulières rappelle Juraj Malcho Chief Research Officer ESET comme Win32/spy.Odlanor « dédié » aux attaques sur les … les joueurs de poker en ligne. Les cyberattaques à des fins politiques plus discrètes demeurent d'actualité. Qu'il s'agisse de liste de prisonniers ukrainiens ou de militaires exemptés, « certains sites sont connus pour faire l'objet d'attention particulière de la part des cyber-assaillants c est le cas avec Truecrypt Russia par exemple » affirme t-il. 

Au delà des multiples zones d'intervention désormais intégrées à la cybersécurité, d'un point de vue plus pragmatique, l'ensemble des intervenants d'ESET a Bratislava reconnaît que les coûts liés à l'insécurité comme une priorité pour les clients BtoB d'ESET.

Slide-3

 


Proposer des services au delà des plates-formes comme la récente annonce sur la V.10 (http://www.cyberisques.com/fr/mots-cles-5/587-eset-nouvelle-version-tpe-home-market-compatible-rgpd
devient une obligation « business » pour les éditeurs ; ESET a d'ailleurs dévoilé à Bratislava son intention de développer des services de Threat Intelligence ( trier, identifier et traiter les alertes et menaces stratégiques en priorité pour chaque clients BtoB abonné). Il y a en effet urgence si l'on considère les derniers chiffres publiés : le coût moyen pour réparer les dégâts d’un seul incident informatique est estimé à 86 500 dollars pour les PME et à 861 000 dollars pour les grandes entreprises.

@jpbichard

 

 

L’accès à l'intégralité de l’article est réservé à nos abonné(e)s

 


Trois questions à Palo Luka, CTO ESET

Vos équipes de chercheurs savent-elles contourner tous les algorithmes de chiffrement utilisés fin 2016 par les 47 familles de ransomwares et leurs variantes?


Çà dépend des situations et configurations techniques. Dans de nombreux cas, c'est possible. On, a même obtenu une fois la clé de déchiffrement directement en la demandant mais çà reste exceptionnel ; Généralement, il nous faut développer de nouveaux outils pour retrouver ces données. Pour les ransomwares les plus communs, ces outils existent et nos clients en profitent (http://www.welivesecurity.com/2016/11/24/new-decryption-tool-crysis-ransomware/ ) On l'a fait récemment avec Crysis. C'était déjà le cas avec des ransomwares « connus » tels que Petya-Mischa, TeslaCrypt, AutoLocky … ainsi que pour les nombreuses variantes de ces codes malveillants. En revanche, cette approche demeure complexe et certains « chiffrements » résistent.

 

Après les Etats-Unis ou Apple (1) et le FBI se sont opposés sur la confidentialité des données chiffrées, au sein même de l'Union Européenne (2) de nombreuses demandes s'effectuent en faveur de la présence de « backdoors officiels » sur les systèmes de cryptographie afin que certaines « autorités administratives » puissent déchiffrer des informations précises ; Les défenseurs des droits à la vie privée s'y opposent tout comme les communautés techniques expertes en cryptographie. Ces dernières affirment que de telles pratiques affaibliraient les principes de base liés à la cryptographie. Êtes-vous favorable à la présence de backdoors sur les solutions de chiffrement de bout en bout ?


Non absolument pas. Ce serait la fin du chiffrement et de la confiance que l'on place dans les systèmes cryptographiques. En outre rien ne permet d'affirmer que ce sont les services autorisés qui seuls y auraient accès.

 

Le futur du chiffrement passe t-il par les technologies quantiques ?


Bonne question. Je répondrai oui sans hésitation. Nous y croyons et nous y travaillons. Mais avant de parvenir a offrir une solutions intégrant une offre quantique, il faut que les machines, serveurs et calculateurs adoptent cette technologie. Ce ne sera pas avant une bonne dizaine d'années. Pour l'heure en matière d'usage des solutions de chiffrement, je pense que la répartition des clés de chiffrement entre utilisateurs clients et autorité de confiance me parait une bonne solution. Encore faut il s'entendre sur la confiance que l on accorde à ces « Autorités ». Çà prouve que la technologie ne fait pas tout si l on ne tient pas compte des usages et des comportements de tout le monde.

JPB


1 - http://www.telegraph.co.uk/technology/2016/01/21/apples-tim-cook-declares-the-end-of-the-pc-and-hints-at-new-medi/


2 - https://www.gov.uk/government/collections/investigatory-powers-bill

 

Slide-2

 

 

 

Sharon Besser, Vice-Président Products: "Cisco a investit 5 M$ dans Guardicore"

Les Assises 2016 : Guardicore

 

Sharon Besser, Vice-Président Products: "Cisco a investit 5 M$ dans Guardicore"

 

 

L’accès à l'intégralité de l’article est réservé à nos abonné(e)s

 

 

 

1/ Quelle base installée aujourd’hui ?

La base installée est principalement aux Etats Unis, en Israël et sur l’Europe nous avons déjà des clients aux Pays Bas (mission critical cloud). Nous sommes en phase finale avec un large opérateur britannique et avons déployé des POCs en Espagne et Italie. Le ticket d’entrée est de l’ordre de 50 K$ à plusieurs Millions.

 

2/ Quelle stratégie de partenariat ?

Les utilisateurs disposent aujourd’hui de solutions et il est important d’intégrer celles-ci dans notre architecture. Les partenariats avec d’autres fournisseurs de sécurité permettent de valoriser l’existant de nos clients et d’y ajouter la pérennité des investissements précédents. Bien sûr, CheckPoint fut l’un des premiers de par nos origines mais nous avons déjà développé des partenariats avec Cisco, VMware, Citrix. Cisco a investit 5 M$ dans la société. Nous avons aussi travaillé à l’intégration avec d’autres fournisseurs SDN ainsi que sur les plateformes Amazon et Azure.

 

3/ Votre vision à 3 ans du marché et votre positionnement ? 

Nous sommes les seuls à proposer les deux modèles mais nous avons des compétiteurs dans chaque cas. Notre vision nous pousse à devenir le fournisseur de solution globale pour les Datacenters.

 

 

BONUS: 

Les données d’entreprise et processus métiers hébergés dans les Datacenters sont des cibles lucratives pour les cybercriminels. La sécurisation et la gestion d’un data center sont de plus en plus complexe avec des technologies de virtualisation, des clouds privés, publics et Hybrides. Les équipes sécurité ne sont aujourd’hui plus capable de suivre l’activité dans leur data center, avoir la visibilité sur les applications et détecter les process malveillants.

Guardicore propose aujourd’hui une solution composée de 2 modules :
1/ Guardicore Reveal qui permet la visibilité et la définition granulaires de politique de sécurité pour le contrôle des applications et la micro-segmentation sur l’ensemble des charges de travail des Datacenters.
2/ Guardicore Centra qui va sécuriser intérieurement le Datacenter et permettre de détecter, d’analyser et de remédier en temps réel les menaces qui pèsent sur les data-centers.la solution couvre le trafic complet à l’intérieur du Datacenter et s’adapte au fort volume de trafic avec un faible impact sur les performances. La plateforme s’intègre avec les architecture OpenStack, CloudStack et VMware.
Guardicore fournit une visibilité complète de process à process sur l’ensemble du Datacenter et crée un graphe des flux applicatifs entre les actifs (publics ou privés).L’un des atouts de la solution est l’outil de piégeage (deception engine) qui permet de rediriger les connexions infructueuses pour analyse dans un environnement sécurisé.

 

 

L’accès à l'intégralité de l’article est réservé à nos abonné(e)s

 

SentinelOne: analyser l'action plus que les fichiers

Assises de la sécurité 2016 Monaco:

 

Magali Bohn : senior director WW chanels SentinelOne:

"En 2016, on découvre presque 400 000 nouvelles menaces par jour, on ne peut décemment pas produire autant de signature antivirus"  

 

 

L’accès à l'intégralité de l’article est réservé à nos abonné(e)s

 

L’antivirus est-il mort ? Acette question souvent posée aux éditeurs spacialisés, tous reconnaissent une évolution mais pas encore un enterrement de première classe. C'est aussi le cas pour SentinelOne. "Les solutions AV en 2016 ne sont plus efficaces contre toutes les nouvelles menaces. En 2016, on découvre presque 400 000 nouvelles menaces par jour, on ne peut décemment pas produire autant de signature antivirus. Depuis 2005, le Ransomware est en pleine croissance. En 2016, nous avons pu voir la première attaque sur Mac et les couts pour les entreprises ont représenté 1 Milliard de Dollars."

 

av-1

 

La nouvelle génération pour sécuriser le End Point doit permettre de détecter en amont les nouvelles attaques non encore référencées en ssuivant trois pistes: ancienne, l'antivirus plus add ons (HIPS, anti exploit, application control), l'analyse prédictive : plus de signature mais difficultés pour la remédiation et le réglage des algorithmes et dernière piste, la détection basée sur le comportement (EDR).
SentinelOne a choisi une protection multi approches qui prend en charge le cycle de vie d’une attaque. La solution est déjà disponible pour Mac, Windows et Linux (version serveur aussi).L’agent utilise peu de ressources (50 Mo). La console dans le cloud ou sur site peut gérer jusqu’à 20 000 point d’accès.

 

 

Interview Magali Bohn : senior director WW chanels SentinelOne


1/ Quels éléments différenciateurs pour parler de Next Gen security ?


SentinelOne se demarque de la NextGen Endpoint par l’analyse comportementale. Nous allons alerter l’utilisateur grâce à une inspection en profondeur au niveau du kernel. Contrairement à nos compétiteurs, nous analysons l’action plutôt que le fichier et en cas de déviance nous sommes en mesure de rétablir l’état d’origine des données compromises. Le traitement peut être défini automatiquement et nous disposons déjà de la solution sous Linux, Windows et Mac. Chez SentinelOne, nous pouvons proposer la solution dans le cloud ou sur site.

 

2/ Votre répartition business aujourd’hui ?


Geo : 29% des revenus à l’international (principalement Europe) et 71% aux USA. Sur le "Market segment" : Tout secteur est demandeur et si je regarde la commande moyenne, nous avons progressé de 30 K$ à 58K$. Ce qui prouve que nous intéressons des comptes de plus en plus importants.

 

3/ Votre stratégie en Europe sur 2017 ?

Pays en développement "business": Angleterre, Allemagne et France. A Venir Moyen Orient, Benelux et pays Nordiques. Coté partenaires, nous recrutons plutôt des partenaires dans la sécurité mais pas uniquement dans l’antivirus. Nous privilégions le profil à valeur ajoutée comme notre produit d’ailleurs. Nous développons aussi fortement la filière MSSP.

 

Gérald Delplace  Cyberisques News 

 

L’accès à l'intégralité de l’article est réservé à nos abonné(e)s

 

Infosec : du rififi dans l'antivirus ?

Infosec : du rififi dans l'antivirus ? 

Cylance-INFOSEC-2016

 Source: GD / Cylance

 

La 21e édition d’Infosecurity Europe, le plus grand et le plus complet des événements Cyber sécurité en Europe, a regroupé trois fois plus de nouveaux exposants qu'en 2015 et 260 intervenants.

Cette édition 2016 a mis l'accent sur la menace humaine. L'écart grandissant des compétences informatiques continue à laisser des trous dans des rôles de sécurité critiques. Conséquences : les entreprises doivent davantage s'appuyer sur leurs collaborateurs pour protéger leurs actifs les plus critiques. Dans le même temps les cyber-criminels développent des moyens toujours plus sophistiqués et ingénieux pour infiltrer les comptes d'utilisateurs. En réponse, les fournisseurs de cybersécurité continueront à développer les solutions et techniques complexes comme l'analyse comportementale. De leur coté, les organisations tentent de développer davantage de formation et de sensibilisation à la cyber-sécurité.

L’innovation dans la sécurité des systèmes semble complexe. Elle suppose parfois implique une remise en question de la part de fournisseurs historiques.

Dans certains cas, ce bouleversement pourrait ressembler à des modèles comme Uber envers les taxis classiques qui verrait une adoption massive par une vraie solution à un problème et un usage facilité.

Parmi les candidats à l’innovation, nous avons choisi d’en citer deux qui ont retenus notre attention pour leurs aspects « innovant ». L'une d'entre eux a d'ailleurs reçu le prix de l’excellence pour la meilleure innovation technologique au SC Magazine Awards Europe 2016.

Cylance se présente comme étant la seule société à offrir une solution de cyber sécurité préventive qui bloque les menaces et les logiciels malveillants avancés au point le plus vulnérable: le poste de travail. Par une approche qualifiée de « révolutionnaire » par les équipes rencontrées à Londres Cylance propose une solution basée sur l'intelligence artificielle. CylancePROTECT®, analyse l'ADN du code avant son exécution avec comme critère : trouver et prévenir des menaces qui ne sont pas encore connues.

Une croissance soutenue

Cylance connaît la plus forte croissance parmi les fournisseurs d’applications de sécurité depuis les dix dernières années selon Gartner. La société crée en 2012 par Stuart McClure protège aujourd’hui des millions de points terminaux avec une technologie présentée comme pouvant déstabiliser les solutions de filtrage traditionnelles. Elle réinvente la sécurité au niveau du poste de travail (endpoint ou device d'extrémité) en utilisant le « Machine Learning » et l’intelligence artificielle. Notons toutefois que la plupart des acteurs du marche s'appliquent a présenter eux aussi des solutions innovantes au n niveau Endpoint : Sophos notamment, ESET, Symantec, Trend Micro...

Selon le board de Cylance, l’ancien modèle montre ses limites « pour être protégé il faut être infecté » affirment-ils en ajoutant « les modes de fonctionnement des solutions antivirales ne suffisent plus avec des des signatures souvent dépassées face a une mutation des malwares qui est la règle aujourd’hui et non plus l’exception comme hier ».

Ce n’est pas non plus le hasard si Cylance a levé récemment 100 M$ en série D pour soutenir son expansion. Depuis son introduction, elle a multiplié par 10 ses revenus et compte plus de 1000 clients aujourd’hui.

Questions à Evan Davidson, VP vente EMEA :

Cyberisques News : quel développement envisagez-vous sur l’Europe ?

Evan Davidson : Après cette levée de fonds, nous allons accélérer notre plan de développement européen. Notre implantation en Angleterre en en Allemagne va s’étendre dans un futur proche à la France et l’Europe du sud. Nous avons déjà signé des accords de partenariat avec Acensi en France et un certain nombre de grandes entreprises y testent déjà nos solutions.

CR News : Comment vous démarquez-vous sur le marche du filtrage et de la détection de malwares ?

ED : Nous avons choisi de révolutionner l’approche traditionnelle en alliant les technologies de « Machine Learning » et l’intelligence artificielle, ce qui nous permet une détection et une prévention des attaques non encore connues bien supérieur à ce qui existe aujourd’hui. Cette solution a aussi un impact économique car elle supprime les mises à jour régulière de signatures, l’intervention humaine, l’infrastructure sur site et surtout l’exécution de codes malicieux.

Gérald Delplace

 

BONUS: 

 

Menlo Security a annoncé lors d'Infosec 2016 son opération avec qui vient de retenir  Menlo Security Isolation Platform (MSIP) comme composant majeur de son service global de sécurité gérée. MSIP, en renforçant les fonctions de réduction du risque de ce service géré, protège les entreprises contre les attaques en éliminant les logiciels malveillants provenant du Web, des documents et des emails.

 

L’environnement de cyber-sécurité a été transformé par une vague d’attaques dangereuses qui s’en prennent aux entreprises en dérobant, chiffrant ou effaçant des quantités considérables de leurs données. Des logiciels malveillants et des rançongiciels sont souvent injectés via les sites Web, les documents et les emails utilisés par les employés pour réaliser leurs tâches professionnelles.

 

Fujitsu a annoncé récemment des améliorations de ses services globaux de sécurité gérée.

 

Fujitsu associe la technologie de Menlo Security à sa plateforme FUJITSU Digital Business Platform MetaArc et propose des solutions de type passerelle capables d’éliminer automatiquement le risque d’infection par des logiciels malveillants.

 

Nous sommes ravis de collaborer avec Fujitsu dans le cadre de son service global de sécurité gérée. Ensemble, nous allons apporter une réponse aux problèmes de sécurité les plus urgents dans les entreprises : à savoir, l’élimination des logiciels malveillants et la réduction des alertes de sécurité”, explique Amir Ben-Efraim, PDG de Menlo Security. “Ce partenariat nous permet de protéger l’entreprise contre des cyber-attaques coûteuses, grâce à une solution facile à déployer proposée par les services globaux de cloud géré de Fujitsu.”

 

Après avoir étudié plusieurs solutions, nous avons retenu Menlo Security, car selon nous, leur technologie sophistiquée d’isolement constitue une stratégie architecturale inédite pour éliminer les logiciels malveillants propagés via le Web et les emails”, déclare Akihiro Okada, Corporate Executive Officer, directeur de l’unité commerciale Service de gestion de la sécurité chez Fujitsu Limited. “Nous recherchions une solution qui ne nécessitait pas le déploiement ou la maintenance de logiciels de nœuds finaux. Menlo Security était le seul à répondre à ces critères, mais aussi à pouvoir garantir une expérience utilisateur parfaitement fluide, grâce à sa technologie brevetée Adaptive Clientless Rendering.”

 

menlo-1

 

http://www.fujitsu.com/global/about/resources/news/press-releases/2016/0513-01.html

--

 

 

 

 

 

 

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires