ESET et Microsoft aident Europol à démanteler le botnet Andromeda / Gamarue

Communication corporate: ESET                          decembre 2017

ESET et Microsoft aident Europol à démanteler le botnet Andromeda / Gamarue

 

Suite à une collaboration étroite entre ESET® et Microsoft®, les services du FBI, Interpol et Europol ont mis fin à l'activité du botnet Gamarue également nommé Andromeda.

 

Actif depuis 2011, Gamarue infectait plus de 1,1 million de systèmes par jour. Les chercheurs ESET et Microsoft ont partagé avec les forces de l’ordre leurs analyses techniques, des données statistiques et les domaines des serveurs C&C (commande et contrôle) utilisés par ce réseau de botnets. ESET a également fourni l’ensemble de ses recherches sur Gamarue / Andromeda.

« Compte tenu de l’ampleur et de la persistance de cette menace, lorsque Microsoft a sollicité notre aide pour mettre fin à ce réseau de botnets, nous n’avons pas hésité une seconde », déclare Jean-Ian Boutin, Senior Malware Researcher chez ESET.

Vendu comme un cyber-crime-kit sur les forums clandestins du dark net, cet hyper-diffuseur de codes malveillants s'implantait grâce à un code "discret" qui échappait à certains mécanismes de contrôle et de détection. Fort de cette discrétion, Gamarue / Andromeda serait à l'origine de la diffusion de plus de 80 familles de malwares comprenant des ransomwares, des chevaux de Troie, des outils de fraude et autres codes nécessaires aux auteurs d'attaques DDoS.

Les échantillons analysés par les chercheurs d'ESET ont montré que le malware était distribué dans le monde entier via les réseaux sociaux, la messagerie instantanée, des supports amovibles, des campagnes de spam ou encore des kits d'exploitation de menaces.

« En s'appuyant sur la plateforme d'analyse et de corrélation ESET Threat Intelligence, les chercheurs d'ESET ont élaboré un serveur "robot" dédié à la détection de l’ensemble des cybermenaces émises par le serveur C&C », déclare Benoît Grunemwald, Cybersecurity Leader chez ESET France et Afrique francophone.

Selon le dernier rapport de Fortinet*,

nombre d'organisations sont

réinfectées par un même botnet, et ce,
à plusieurs reprises, ce constat étant particulièrement

inquiétant. Il se peut que 
l'organisation victime n'ait pas saisi le danger

dans sa totalité et que le botnet soit 
resté furtif jusqu'à se réveiller lors d'un

retour à la normale des opérations métiers. 
Autre explication possible : l'origine du premier

incident de sécurité n'a jamais été
identifiée, ce qui a permis au malware de

réinfecter l'organisation.

Des malwares omniprésents et furtifs : les

principales familles de malwares utilisent
essentiellement les techniques de

téléchargement (download et upload) et

d'injection pour infecter les systèmes. Ces processus

permettent de packager les éléments 
malveillants pour les introduire en contournant

les outils de défense existants. De plus,
les malwares qui établissent des connexions

d'accès distant sont capables de recueillir
des données utilisateurs et des informations systèmes.

De telles techniques sont 
devenues la norme, comme le souligne le

rapport qui pointe la nature plus intelligente
et automatisée des malwares actuels.

· Le ransomware toujours d'actualité : après une

pause au premier trimestre
de l'année, le ransomware Locky est réapparu

à grande échelle au travers de trois
nouvelles campagnes.

Environ 10% des entreprises l'ont signalé.

De plus, 22% des
organisations ont détecté un ransomware au

cours du trimestre.

· Les cybercriminels s'en prennent aux organisations

de toutes tailles : les moyennes entreprises présentent

un taux plus important d'infection par ransomware,

démontrant qu'elles sont lourdement impactées par

les problématiques de sécurité. Les cybercriminels
considèrent souvent les organisations de taille

intermédiaire comme des proies plus faciles
: elles ne disposent pas des mêmes ressources

et technologies de sécurité que leurs
homologues plus grandes, mais leurs données

restent de grande valeur. D'autre part, 
la surface d'attaque des moyennes entreprises

s'élargit rapidement avec 
l'adoption massive de services cloud.

 

BONUS:

https://www.welivesecurity.com/2017/12/04/eset-takes-part-global-operation-disrupt-gamarue/

https://blog.fortinet.com/2017/11/28/fortinet-quarterly-threat-landscape-report-the-battle-against-cybercrime-continues-to-escalate

 

@cyberisques sur RMC pour la vie numérique

@RMCinfo: Cybersécurité 11 novembre 2017

 

 

#Cybersécurité #malware #RGPD #GDPR sur #RMC

avec @cyberisques @jpbichard

Podcast: http://bit.ly/2zEHPYl

 

NSA-surveillance-702-hearings-1488574901-article-header

 

 

Last event Cyberisques News partner:   http://bit.ly/2yDBC0l 

http://www.cyberisques.com

 C5amMvcWQAAp7jG GF GF GF

#DPO_News #cyberisques #GDPR #AMRAE2017 LLOYD'S "une police CYBER séparée des autres offres"

#DPO_News  #cyberisques #GDPR #AMRAE2017

Entretien Cyberisques News et @DPO_NEWS

 

Guy-Antoine de La Rochefoucauld

Directeur Administratif, Financier & Commercial LLOYD'S

 

« En 2016, 77 des Syndicats du LLOYD'S souscrivent des risques cyber, contre 22 il y a trois ans. Notre dernière étude réalisée auprès des entreprises européennes fin 2016 auprès de 346 dirigeants d'entreprises faisant plus de 250 millions de dollars de chiffre d'affaires fait état de plus de 92 % d'entre elles qui auraient été victimes d'une cyberattaque au cours des cinq dernières années. Les conséquences en termes d'impacts financiers ne sont pas neutres. De ce fait les problématiques propres à la cyber-sécurité se trouvent désormais de plus en plus traitées au niveau du COMDEX dans plus de 54 % des cas.

La plateforme que nous offrons avec le LLOYD'S couvre une garantie de risques intégrant les innovations, une démarche pionnière et un engagement via une identification forte. C'est de cela dont ont besoin aujourd'hui les dirigeants en matière de cyberisques lorsqu'ils sont évoqués avec des professionnels du risques. Rendez-vous compte que notre étude met en relief qu’après indemnisation suite à une cyberattaque de grande envergure, les pertes de PIB pour une ville telle que Paris dépasseraient les 9 milliards d'euros. Pour le LLOYD'S assureur mondialement réputé nous devons comprendre ces mécanismes et les rendre compréhensibles auprès des COMEX avec les Risk Managers et DPO notamment dans le cadre du règlement européen GDPR.

Pour le LLOYD'S l'impact de ce règlement GDPR peut être considérable notamment en termes de sensibilité y compris au niveau des start up qui manipulent et traitent beaucoup de données personnelles ainsi qu'au niveau du rôle des courtiers et dans les textes de garanties notamment en matière de frais de reconstruction. Le GDPR applicable en 2018 dans tous les pays de l'Union notifie aux entreprises de reporter à l'autorité – la CNIL en France - les cyber-incidents dans les 72 heures.

En tant que professionnel de l'Assurance nous intervenons pour indemniser des frais de notification, communication de crise, juridiques mais aussi au plan de la perte de notoriété. Les problèmes d'évaluation des pertes se posent avec plus de profondeur car nous sommes passés en quelques années d'un univers stables, matériels à un monde dématérialisé plus difficile a appréhender ne serait ce que pour définir la valeur d'une donnée. Il en va de même dans un monde plus ouvert ou les échanges numériques s'intensifient en termes de « business ». Des impacts secondaires apparaissent désormais pour les partenaires et clients suite a une cyberattaque sur un des fournisseurs. Nous prenons en compte désormais ces risques « secondaires ». L'une des spécificités du LLOYD'S c'est précisément son engagement via une police Cyber volontairement séparée des autres polices. Cette approche nous laisse bon espoir de renforcer via le GDPR notre position de leader avec 25% de part de marché sur le marché cyber à l'échelle du monde. Aux Etats-Unis les aménagements réglementaires proches de ceux actuellement effectués en Europe ont fait progresser le marché de la cyberassurance. En France la LLOYD'S a réalisé une progression de plus de 10% en 2016 comparé à 2015 avec un CA de 550 millions d'euros. »

Propos recueillis par @JPBICHARD

 

 

Encadré :

Le marché de la cyber-assurance totalise aujourd'hui environ 2 milliards de dollars de primes, au US et pres d'un milliards en Europe. Un autre acteur, Munich Ré, réassureur allemand, estime que le volume de primes pourrait atteindre 8 à 10 milliards de dollars d'ici à 2020 à l'échelle mondiale. 

 

 

DPO News-2017

 

@DPO_NEWS

 

Histo-GDPR-DPO NEWS-2017 

 

Suites de sécurité AV: 29 sur 32 buggées selon le dernier rapport d'AV Test repris par ESET

Corporate Communication: ESET

 

29 suites de sécurité sur 32 ne sont pas correctement protégées

 

 

AV-Test publie l’analyse de 32 suites de sécurité visant à mesurer leur capacité à s’autoprotéger. Seuls trois éditeurs, dont ESET, ont réussi le test.

 

De la même façon que les utilisateurs protègent leurs équipements, les logiciels doivent disposer de mesures de sécurité pour s’autoprotéger en cas d’attaque. Plusieurs techniques existent comme l’ASLR et la DEP.

« Pour offrir une protection exceptionnelle en matière de cybersécurité, les éditeurs doivent fournir une protection reposant sur un noyau parfaitement protégé », déclare Andreas Marx, PDG d’AV-TEST GmbH. Lors de la publication du premier test d’autoprotection en 2014, 2 produits seulement (dont ESET) utilisaient en continu la technique de l’ASLR et de la DEP. Une prise de conscience s’est alors emparée des autres éditeurs, mais cela ne suffit pas.

Autre mesure de sécurité, l’utilisation de signatures et de certificats de fichiers. Ceci est important, car elle permet de vérifier l’authenticité et l’intégrité des fichiers. AV-Test analyse donc dans son test un certificat et sa validité concernant les fichiers PE en mode  utilisateur pour 32 et 64 bits. Là encore, certains éditeurs de sécurité ont jusqu’à 40 fichiers non sécurisés sur leur produit, soit 16% de la totalité des fichiers.

« Certains fabricants n’ont toujours pas compris qu’une suite de sécurité doit être cohérente dans son ensemble : elle doit offrir la meilleure protection à l’utilisateur tout en étant parfaitement sûre elle-même, à commencer par le téléchargement de la version d’essai sur un serveur protégé » ajoute Andreas Marx. 

AV-Test étudie également le protocole de transfert utilisé. En théorie, les logiciels de sécurité doivent passer par le protocole HTTPS. Il garantit la sécurité de leur site Internet. Sans cette protection, des attaques peuvent avoir lieu à l’insu de l’utilisateur. Bien qu’il n’y ait pas de téléchargements directs pour les solutions réservées aux entreprises, de nombreux éditeurs proposent une version d’essai gratuite aux particuliers. AV-Test dresse alors un constat effrayant : sur les 19 fabricants, 13 d’entre eux ne disposent pas d’un protocole HTTP sécurisé. Seuls 6 éditeurs, dont ESET, ont recours au protocole HTTPS.

 

BONUS:

 

 rapport AV-Test, cliquez ici

 

« Identifier la cyber-menace comme un Pokemon »

Raphael Bousquet, vice-president pour la région Europe du Sud et
Arnaud Kopp 
Cyber-Security Expert chez Palo Alto Networks 

 

 

« Identifier la cyber-menace comme un Pokemon »

 

 

Quel « business model » defend Palo Alto Networks fin 2016 ?

Nous sommes présents de plus en plus via nos services cloud. Ex : anti-malware souscription de services « Cloud » multi-annuel (3 ans / 5ans). Prés de 50% de notre CA est généré par le cloud.

Threat Intelligence et proactivité, quelle est votre approche ?

Le but pour Palo Alto c'est d’améliorer et d'augmenter l'intelligence après avoir fait progresser l'amélioration des automatismes. L'idée c'est de s’améliorer sur la lutte contre le temps véritable frein face aux cyber-attaques. La proactivité que nous avons mis au point repose sur le principe suivant : trouver n'importe ou la menace en explorant l'ensemble des composants via une cyber-cartographie précise comme la recherche d'un « pokemon ». L'objectif une fois la menace capturée consiste a éviter qu'il y est des conséquences.

Si les cyber-attaques se multiplient notamment via les APT ransomwares.. ; les techniques propres à leur développement restent les mêmes. On en distingue à peine plus d'une vingtaine aujourd'hui. Quelles protections contre ces techniques d'attaques développez-vous ?

C'est vrai. 24 techniques d'attaques sont clairement identifiées. Si on comprend le mécanisme de ces techniques d'attaques on devient un acteur d'une sécurité « positive ». La nouveauté c'est de se dire qu'au delà du réseau éventuellement virtualisé il faut être capable de sécuriser toutes les parties du réseau indépendamment des acteurs-fournisseurs qui traitent souvent qu'une partie du réseau emprunté par les entreprises. Hors, nous devons sécuriser l’ensemble des vecteurs empruntés par les données. Notre problème, c'est de commencer a estimer quel est le niveau de criticité d'une cyber-attaque.

Palo Alto Networks a la dent dure contre les éditeurs de solutions de filtrage issus de la protection anti-virale. Pourquoi ?

Les éditeurs AV ont peut être cessé de se perfectionner il y a quelques années. Maintenir une base installée avec une technologie dépassée c'est le problème majeur pour beaucoup d'entre eux. Ce ne sont plus les anti-virus traditionnels qui peuvent résoudre les problèmes d'infection de fichiers d'autant que le chiffrement et les techniques d'infections « lentes » interviennent de plus en plus sur les données en circulation dans les entreprises.

Quelle position adopte PaloAlto Networks face aux demandes multiples d'autorisation de backdoor sur certains mécanismes de cryptographie ?

C'est un affaiblissement de la totalité d'un système cryptographique. C'est donc le rendre faillible par défaut alors que la directive EU RGPD (GDPR) impose le contraire.

En matière de Certification notamment auprès de l'ANSSI, un acteur tel que Palo Alto Networks se positionne selon quelle stratégie ?

Le problème rarement évoqué c'est le nombre de ligne de codes développées et source d'erreur. La certification permet d'approfondir les lignes de codes sources afin de s'assurer que les bonnes pratiques propres aux SIV (Systèmes d'information Vital) sont respectées. La qualité n'est pas forcement si chère. Elle permet de fournir des systèmes sérieux. Actuellement nous avons donc une démarche volontaire avec l'ANSSI.

Dans votre actualité, vous avez une annonce  sur l'ouverture d'un datacenter pour héberger vos services Cloud WildFire et les données traitées en Europe

Oui, l'ouverture du service s'effectue à Amsterdam (siège Européen de Palo Alto Networks ). En peu de mois notre datacenter a été ouvert. Notre DPO (Data pricavy officer) garantit dans une charte la compatibilité des produits et services avec le RGPD (GDPR reglement EU). Ce service permet aux clients de soumettre des données à une analyse complète à l'intérieur des frontières européennes tout en bénéficiant d'une protection contre les menaces à l'échelle mondiale.

@jpbichard

2016-Cyberisques-NEWS-Ponemon-Palo-Alto-2

 

BONUS :

CP Palo Alto Networks  (Communication corporate)

Palo Alto Networks dévoile son nouveau cloud européen WildFire hébergé aux Pays-Bas

AMSTERDAM, 30 août 2016 /PRNewswire/ -- Palo Alto Networks® (NYSE : PANW), acteur leader dans le domaine de la sécurité d'entreprise, annonce aujourd'hui que ses clients en Europe pourront désormais profiter des puissantes fonctionnalités de prévention et d'analyse des menaces de la solution WildFire™ de Palo Alto Networks dans le cloud, à partir d'un centre de données situé aux Pays-Bas. Dotée d'une résilience intégrée, cette plateforme aide les organisations européennes à répondre à leurs besoins en matière de confidentialité des données via le cloud WildFire EU (Union européenne).

Dans le contexte actuel des menaces, une approche globale et communautaire, dans le cloud, qui permet une analyse complète des menaces, est indispensable pour disposer des meilleurs renseignements possibles et pour assurer une prévention optimale afin de se défendre contre une communauté de pirates qui échangent les informations, méthodes et techniques d'attaques.

De nombreuses organisations dans le monde entier, et plus particulièrement en Europe, sont toutefois préoccupées par la confidentialité des données et peuvent se montrer réticentes à échanger des données avec un cloud mondial et sont également soumises aux obligations réglementaires.

Pour tenir compte des impératifs de confidentialité tout en continuant à tirer profit du partage des données relatives aux menaces à l'échelle mondiale, le cloud WildFire EU permet à des fichiers transmis par un client de rester à l'intérieur des frontières de l'UE tout en offrant les protections fournies par le plus grand outil d'analyse des menaces au monde, utilisé par plus de 10 000 organisations dans le monde, dans le cadre de la plateforme de sécurité de dernière génération de Palo Alto Networks. Cette fonctionnalité de protection mondiale est déterminante pour empêcher des cyber-attaques de se produire à toutes les étapes du cycle de vie d'une attaque.

En outre, avec le cloud WildFire EU, les équipes de sécurité en Europe peuvent accélérer la recherche des menaces, leur analyse et les tentatives de réponse, en recoupant, à l'échelle mondiale, les renseignements provenant de l'ensemble de la communauté WildFire, qui sont accessibles directement à travers le service de renseignements contextuel sur les menaces Palo Alto Networks AutoFocus™

Citations :

« Les atouts d'une analyse des menaces dans le cloud sont clairs lorsqu'il s'agit de prévenir des cyber-attaques réussies mais les problèmes de confidentialité peuvent limiter la capacité à échanger ou transférer des données, particulièrement dans le cas d'organisations en Europe. Avec un cloud européen, les capacités de prévention mondiales sont à notre portée afin que nous puissions mieux contrer des menaces de plus en plus sophistiquées mais en sachant que les fichiers restent dans l'UE ».

 

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires