La Fibre
Télécom => Réseau => 
Attaques informatiques => Discussion démarrée par: alain_p le 18 août 2024 à 12:03:10
-
L'Université Paris-Saclay, 12eme université dans le classement de Shangaï depuis le 15 Août, et 1ere université française, a annoncé lundi 12 Août sur son compte Twitter avoir été atteinte par un ransomware le dimanche 11 Août. L'information est minimaliste, elle indique simplement être accompagnée par l'ANSSI. L'information a été reprise par l'AFP, et divers sites, dont la Parisien et Le Monde.
https://x.com/UnivParisSaclay/status/1822993151428121078
https://www.lemonde.fr/pixels/article/2024/08/13/l-universite-paris-saclay-victime-d-une-cyberattaque-par-rancongiciel_6279550_4408996.html
L'attaque a en fait été déclenchée dans la nuit de samedi à dimanche. C'était au milieu de ses deux semaines de fermeture. Il ne restait que les personnels en astreinte.
C'est un mode opératoire bien connu. Pour divers hôpitaux touchés par un ransomware, l'attaque a aussi été déclenchée dans la nuit de samedi à dimanche, même si pour certains (hôpital de Versailles par exemple), c'était en Décembre. C'est à dire au moment où il y a le moins de monde possible pour surveiller et intervenir..
Le site web de l'Université, qui était hébergé en interne, est depuis le 15 Août redirigé vers une simple page chez OVH, sur l'IP 54.36.91.62, indiquant que le site est en maintenance, et qu'il y aurait davantage d'informations demain lundi 19 Août, jour de réouverture de l'Université, voir copie d'écran :
https://www.universite-paris-saclay.fr/
-
L'Université Paris-Saclay, 12eme université dans le classement de Shangaï depuis le 15 Août, et 1ere université française, a annoncé lundi 12 Août sur son compte Twitter avoir été atteinte par un ransomware le dimanche 11 Août. L'information est minimaliste, elle indique simplement être accompagnée par l'ANSSI. L'information a été reprise par l'AFP, et divers sites, dont la Parisien et Le Monde.
L'attaque a en fait été déclenchée dans la nuit de samedi à dimanche. C'était au milieu de ses deux semaines de fermeture. Il ne restait que les personnels en astreinte.
C'est un mode opératoire bien connu. Pour divers hôpitaux touchés par un ransomware, l'attaque a aussi été déclenchée dans la nuit de samedi à dimanche, même si pour certains (hôpital de Versailles par exemple), c'était en Décembre. C'est à dire au moment où il y a le moins de monde possible pour surveiller et intervenir..
Le site web de l'Université, qui était hébergé en interne, est depuis le 15 Août redirigé vers une simple page chez OVH, sur l'IP 54.36.91.62, indiquant que le site est en maintenance, et qu'il y aurait davantage d'informations demain lundi 19 Août, jour de réouverture de l'Université, voir copie d'écran :
https://www.universite-paris-saclay.fr/
l'info n'est ni nouvelle (elle a 5 jours):
https://www.francetvinfo.fr/internet/securite-sur-internet/cyberattaques/l-universite-paris-saclay-victime-d-une-attaque-par-rancongiciel_6723279.html
et c'est très très banal, il y en a au moins quelques uns, chaque semaine, d'instituts, entreprises et autres organisations touchées.
c'est comme pour marseille, la france a un abonnement, du fournisseur : lockbit.
-
Là, on ne sait pas s'il s'agit de Lockbit. Et oui, comme je le disais, l'info date de lundi dernier en fait, mais n'avait pas été mentionnée ici, et le fait que l'Université Paris-Saclay soit la 1ere université française, et de l'UE, dans le classement de Shanghai, méritait une information ici.
Pour l'attaque du Grand Palais, et des musées parisiens, elle a été attribuée à un dérivé de Lockbit, un nouveau venu, Brain Cipher :
https://www.lemagit.fr/actualites/366602712/Grand-Palais-RMN-la-cyberattaque-est-imputee-au-groupe-Brain-Cipher
-
Voilà d'ailleurs un site qui recense les dernières attaques dans le monde, avec les attaqueurs, et il n'y a pas que Lockbit :
https://ransomware.live/#/recent
-
Là, on ne sait pas s'il s'agit de Lockbit. Et oui, comme je le disais, l'info date de lundi dernier en fait, mais n'avait pas été mentionnée ici, et le fait que l'Université Paris-Saclay soit la 1ere université française, et de l'UE, dans le classement de Shanghai, méritait une information ici.
Classement qui rappelons-le , ne veut rien dire, et qui est une réelle farce tant les Français ont magouillé au niveau des COMUE pour rassembler les universités, même géographiquement éloignées, pour gagner des places... Artificiellement.
Quand on voit l'état lamentables de bon nombres d'universités Françaises, le manque de moyens criant, il convient franchement de rire de ce classement qui ne veut plus rien dire.
Pour le reste, oui, rien de plus banal.
-
Je suis entièrement d'accord. L'Université Paris Sud, à Orsay, avait 27.000 étudiants en 2010, l'Université Paris-Saclay, son héritière, revendique maintenant 49.000 étudiants, soit deux fois plus. L'Univetsité Paris-Sud était 40eme au classement de Shangai en 2010.
Pour comparer, il faut voir au niveau national. Est-ce que l'on a plus de prix Nobel ou de médailles Fields depuis 10 ans que l'on regroupe les universités, je ne crois pas. Nos deux derniers prix Nobel, Anne L'Huillier et Pierre Agostini, elle a fait ses travaux en Suède, et l'autre après avoir travaillé au CEA Saclay, a émigré aux Etats-Unis. Alain Aspect, prix Nobel 2022, l'a été pour des expériences en 1982, il l'aurait eu Université Paris Saclay ou pas.
-
Josianne qui a cliqué sur un mail pourri ?
-
Personnellement, je pense qu'une personne qui clique sur un mail pourri, cela peut entrainer la propagation d'un virus sur les PCs de son réseau, voire peut-être les serveurs (windows...) auxquels elle accès, mais pas à tous les serveurs de l'université. Je suppose qu'il y a une autre faille...
-
Personnellement, je pense qu'une personne qui clique sur un mail pourri, cela peut entrainer la propagation d'un virus sur les PCs de son réseau, voire peut-être les serveurs (windows...) auxquels elle accès, mais pas à tous les serveurs de l'université. Je suppose qu'il y a une autre faille...
j'ai jamais compris ça :
normalement, un rançongiciel (ou cryptologiciel) ne peut pas agir sans avoir les permissions administrateur.
comment se fait-il...?
-
En piratant un compte admin.
-
Ou par un accès quelconque permettant une élévation de privilège, passer en root par exemple. Il y a eu plein de failles de ce type même récemment (voir faille IPv6).
-
Tiens, je viens de voir d'ailleurs qu'il y avait une nouvelle faille de sécurité avec un bulletin du CERT publié le 8 Août, concernant les téléphones IP SPA 300 et 500,dans l'interface web de gestion des téléphones, permettant l'exécution de commandes arbitraires en root (CVE CVE-2024-20450 et autres) :
Un nouveau bulletin de sécurité publié par Cisco évoque trois failles de sécurité, dont une vulnérabilité critique. Voici les références CVE associées : CVE-2024-20450, CVE-2024-20452, et CVE-2024-20454.
Ce bulletin de sécurité nous apprend qu'en exploitant ces vulnérabilités, un attaquant distant non authentifié d'exécuter des commandes arbitraires sur le système d'exploitation sous-jacent en tant que root.
https://www.it-connect.fr/des-telephones-ip-cisco-vulnerables-a-des-failles-de-securite-aout-2024/
Donc pas forcément besoin de détourner un compte administrateur.
-
normalement, un rançongiciel (ou cryptologiciel) ne peut pas agir sans avoir les permissions administrateur.
Bah pour chiffrer les documents utilisateurs, pas besoin.... Et c'est évidemment la cible principale des rançongiciels (parce que bon, chiffrer les fichiers système, c'est cool, mais un OS ça se réinstalle, alors que les données utilisateurs, c'est toute la connaissance de l'entreprise).
Ensuite il y a l'exploitation de plusieurs failles humaines/IT:
- Le dossier partagé accessible en écriture à tous les utilisateurs du réseau (parce que c'est plus pratique...)
- Les failles OS non patchées (IT: bah ouais j'ai pas installé le fix des failles GPO de Windows car j'ai eu peur de tout casser)
Le second je l'ai vécu chez mon précédent employeur, on est restés 3 semaines sans pratiquement aucun service réseau le temps qu'ils remontent les backups de tous les serveurs "rançonnés" (et heureusement les backups étaient viables).
-
Et dire qu'il y a des DSI qui n'ont jamais vu ce classique racontant une histoire se passant en 1996 qui t'apprend tout tes devoirs (mieux qu'un diplôme d'ingénieur vu le niveau de certains) comme gestionnaire d'un réseau informatique ::)
https://www.youtube.com/watch?v=0YIuiRVpwdI
-
L'Université Paris-Saclay a publié mardi soir sur son site, maintenant hébergé chez OVH, une FAQ 'Piratage', où elle indique que la catastrophe est complète, tous ses serveurs internes ayant été touchés. Elle ne paiera pas la rançon, et les services mettront entre plusieurs semaines et plusieurs mois à être rétablis.
D'autre part, elle dit ne pas connaitre l'identité des pirates. Une messagerie provisoire sera mise en place en fin de semaine prochaine chez Microsoft.
Que s’est-il passé le dimanche 11 août ?
L’Université Paris-Saclay a subi une cyberattaque massive qui a impacté fortement ses services numériques, tous ses serveurs internes étant touchés. Sont notamment indisponibles un certain nombre de services comme la messagerie électronique, l’intranet, les espaces partagés et certaines applications métier.
...
Connait-on l’identité des pirates ? Une plainte a-t-elle été déposée par l’Université Paris-Saclay ?
L’identité des pirates n’est pas connue pour l’heure.
...
Une plainte a été déposée le 20 août auprès de la gendarmerie départementale de Palaiseau afin que des suites judiciaires soient données à cette attaque visant un service public fondamental.
Existe-il un calendrier prévisionnel de rétablissement des outils informatiques de l’Université Paris-Saclay ?
Il est encore trop tôt pour définir un calendrier précis de rétablissement des services numériques de l’Université Paris-Saclay. Néanmoins, ce rétablissement se fera par étapes, qui s’étaleront sur plusieurs semaines à plusieurs mois.
...
Quand pourrai-je disposer à nouveau d’une adresse email @universite-paris-saclay fonctionnelle ?
L’université se fixe comme objectif un rétablissement des adresses email @universite-paris-saclay pour la fin du mois d’août. Le choix a été fait de basculer sur une messagerie électronique Outlook (Microsoft) afin de gagner du temps, le rétablissement d’une messagerie Zimbra étant beaucoup plus long.
....
https://www.universite-paris-saclay.fr/piratage/
NextInpact (devenu Next) a un article sur le sujet, qui reprend la FAQ :
https://next.ink/147248/cyberattaque-contre-luniversite-paris-saclay-les-serveurs-emails-intranet-et-dinscription-touches/
-
Il n'indiquent pas si les données des utilisateurs seront remises en ligne.
On a l'impression que le plan de reprise d'activité n'a pas bien pris en compte ce risque.
-
Oui, ils disent simplement :
Puis-je ou pourrai-je récupérer les données stockées sur des serveurs et espaces partagés ?
Les services de la Direction des systèmes d’information (DSI), accompagnés notamment par l’ANSSI, travaillent actuellement à l’analyse de la situation, afin de déterminer les données stockées sur les serveurs qui pourront être récupérées ou non.
Il aurait fallu une sauvegarde externe, a priori il n'y en avait pas. Mais vu le volume de données, le coût d'une sauvegarde externe aurait probablement été faramineux, sans compter les capacités en bande passante pour sauvegarder en un temps raisonnable. Et il faut aussi qu'elle ne soit pas atteinte par le ransomware.
Pour une administration se pose aussi la question des marchés obligatoires au delà d'un certain montant, et à renouveler tous les 4 ans, qui compliquent sérieusement la gestion.
-
Le ransomware s'est finalement manifesté sur le darkweb le 9 Octobre, soit 2 mois après l'attaque. Il s'agit du groupe Ransomhouse, et affirme avoir exfiltré 1 To de données. Pour authentifier sa revendication, il en a publié un échantillon, qui concerne les données personnelles (copie carte d'identité, CV, relevés de note, diplômes...) de 44 étudiants de master.
Il menace de publier le reste s'il n'est pas payé.
L'Université en a informé sur ses réseaux sociaux, dont Twitter :
https://x.com/UnivParisSaclay/status/1844775496636125518
Selon LeMagIT, le groupe Ransomhouse est apparu en 2022, et il s'était attaqué au fondeur AMD. Au départ, il indiquait ne pas chiffrer les données, et pratiquer seulement l'extorsion, cela a changé depuis. Il utilise désormais la boite à outil White Rabbit.
Selon IT-connect, il aurait développé également début 2024 un outil spécifique pour s'attaquer aux infrastructures de virtualsation Vmware, MrAgent.
LeMagIT :
Université Paris-Saclay : RansomHouse revendique le vol de 1 To de données
L’université avait été victime d’une cyberattaque avec rançongiciel le 11 août dernier. Jusqu’ici, le nom de l’enseigne impliquée n’avait pas été communiqué. Les informations relatives à un éventuel vol de données étaient restées limitées.
par Valéry Rieß-Marchive, Rédacteur en chef - Publié le: 11 oct. 2024
...
Qui se cache derrière RansomHouse ?
L’enseigne de ransomware RansomHouse est apparue en 2022 et s’est rapidement distinguée par la revendication d’une cyberattaque contre le fondeur AMD. Elle a également revendiqué une cyberattaque contre le groupe Charles André (GCA), début 2024.
Initialement, l’enseigne assurait ne pas chiffrer les données de ses victimes et se contenter de les voler, suivant un modèle de simple extorsion. Elle est néanmoins désormais connue pour utiliser un ransomware nommé White Rabbit.
Ce dernier a été observé pour la première fois fin 2021 et pourrait être lié au groupe suivi sous la référence FIN8. Il emprunte des techniques au disparu Egregor. Mais RansomHouse n’est pour autant pas nécessairement un groupe monolithique : des victimes ayant apparu sur sa vitrine ont également été revendiquées sous d’autres bannières.
https://www.lemagit.fr/actualites/366613154/Universite-Paris-Saclay-RansomHouse-revendique-le-vol-de-1-To-de-donnees
IT-Connect :
Le ransomware RansomHouse s’appuie sur l’outil MrAgent pour automatiser les attaques sur VMware ESXi
15/02/2024 - Florian BURNEL
MrAgent, c'est le nom du nouvel outil mis au point par le gang de ransomware RansomHouse ! Son rôle ? Automatiser sa propagation d'un hyperviseur VMware ESXi à un autre pour chiffrer les machines virtuelles. Faisons le point sur cette menace.
Lancé en décembre 2021, RansomHouse est ce que l'on appelle un Ransomware-as-a-Service, et il a été utilisé pour cibler de grandes organisations tout au long de l'année 2023, d'après un rapport de Trellix. Il est capable de s'attaquer aux hyperviseurs VMware ESXi dans le but de chiffrer les machines virtuelles, et c'est loin d'être le seul ransomware à avoir cette capacité.
Et visiblement, les cybercriminels ont décidé de passer à la vitesse supérieure grâce à l'utilisation d'un outil baptisé MrAgent. Il a été découvert par les analystes de Trellix, suite à des investigations menées en réponse à des incidents de sécurité.
MrAgent agit en complément du ransomware et il reçoit des ordres de la part des pirates depuis un serveur C2 qui sert d'intermédiaire. Il a pour objectif d'identifier le système local, de désactiver le pare-feu, et de se propager sur d'autres hyperviseurs VMware ESXi dans le but de faire un maximum de dégâts. En effet, sur chaque hyperviseur où il parvient à se déployer, il va automatiquement chiffrer les machines virtuelles. Il va également surveiller l'activité de l'hyperviseur pour arrêter tous les processus qui pourraient interférer avec l'opération de chiffrement.
Les cybercriminels peuvent configurer MrAgent à distance pour planifier le chiffrement des machines virtuelles, pour ajuster les paramètres de chiffrement ou encore pour modifier le mot de passe de l'hyperviseur VMware.
...
https://www.it-connect.fr/le-ransomware-ransomhouse-sappuie-sur-loutil-mragent-pour-automatiser-les-attaques-sur-vmware-esxi/
-
Salut à tous.
Je viens de regarder (plutôt écouter) la vidéo de XP25 concernant le piratage de la société Omega Engineering. Il est quand même surprenant de retrouver chez le suposé coupable des preuves à charge aussi évidentes que le disque qui devait contenir la sauvegarde mais totalement effacée ainsi que le code ayant servi à confectionner sa "bombe" informatique.
D'un coté, les services secrets essayent de comprendre comment ce piratage a été fait, en fouillant puis analysant le disque que la société Omega leur avait remis. Je ne sais pas trop ce qu'ils ont fait, mais ils ont pu reconstituer la procédure et comprendre la technique utilisée.
De l'autre coté, le coupable idéal est en fait la personne qui a été licenciée peut de temps avant, trois semaines avant le déclenchement de cette "bombe" informatique. Et comme par hasard, tout l'incrimine ! Comment quelqu'un d'aussi brillant pour mettre au point ce piratage, peut être aussi négligeant sur les preuves à charges que l'on retrouve chez lui ? C'est ce point que je n'arrive pas bien à comprendre où cotoit le génie et l'imbécilité.
A priori, la motivation est bien une vengeance à l'encontre de la société Omega suite au licenciement de ce Mr. Timothy Lloyd. Il avait les moyens de créer ce compte "12345" puisqu'il était l'administrateur de la machine. Les enquêteurs ont pu obtenir la preuve de sa présence la veille des tests qui ont comme par hasard, laissé des traces. Et en plus, la veille où devrait exploser sa "bombe "informatique, il se vante auprès d'un recruteur que la société Omega court à sa perte.
Je ne sais pas trop, mais ces pirates ne connaissent ils pas la discrétion quand ils veulent faire un méfait qui aura de graves conséquences ?
Et pourquoi trois semaines après ? Le délai était trop court pour que les preuves sur l'ordinateur s'efface d'elles-mêmes. Et au final, il a eu une amende de deux millions de dollar.
Ma conclusion : ils ne sont pas trop malins ces premiers pirates de l'histoire de l'informatique.