En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des contenus et services adaptés à vos centres d’intérêts. En savoir plus et gérer ces paramètres. OK X
 
 

 

 

Dossiers

Kaspersky : Attaque REvil sur Apple

Denis Legazo, senior security researcher, Kaspersky

Publication: Avril 2021

Partagez sur
 
Qu’est-ce que REvil ? Le ransomware REvil (également connu sous le nom de Sodin ou Sodinokibi), connu depuis 2019, peut à la fois chiffrer et voler des données. Il est accessible via des forums spécialisés « par abonnement » (ransomware-as-a-service)...
 

Ainsi, deux groupes d’attaquants sont impliqués dans l’attaque : le premier trouve une brèche dans la protection de l’entreprise et y injecte REvil, et le second crée le malware. Après le chiffrement ou le vol de données, une rançon est demandée à la victime. Et en cas de succès, elle est divisée entre ces groupes.

Une caractéristique intéressante de ce logiciel malveillant est qu’il ne démarre pas s’il détecte certaines langues lors de la vérification de la langue du système et des configurations des claviers (il s’agit d’un vaste ensemble de dizaines de dispositions), y compris le russe.

Dans quelle mesure la menace représentée par ces acteurs est-elle importante ?

La menace est réelle et il ne s’agit pas du premier incident notoire utilisant ce logiciel malveillant.

Que doit faire Apple dans cette situation ? Et comment l’entreprise peut-elle se protéger si les sous-traitants sont si facilement piratés ?

Malheureusement, les mesures de protection purement techniques ne suffisent pas le périmètre de protection du contractant est de son ressort. Il ne reste plus aux fabricants qu’à imposer des exigences strictes en matière de sécurité de l’information à leurs fournisseurs, ou encore, par exemple, à imposer des sanctions juridiques en cas de violations de ce type.

Comment les services de sécurité de l’information peuvent-ils aider dans de telles situations ? Est-ce leur rôle de prévenir ce type d’attaques ?

Leur principale mission est de prévenir l’apparition de telles attaques à l’avenir. Suite à des attaques de ce type, il est essentiel de mener des enquêtes exhaustives sur l’incident, de tirer les conclusions adéquates sur les vulnérabilités actuelles et de les corriger (supprimer l’utilisation excessive du protocole RDP, en particulier sans VPN, et réduire la surface d’attaque). Nous pensons qu’il est également important de mettre en place une surveillance efficace et d’établir un plan d’action au cas où de telles attaques se produiraient.

Cette attaque est-elle particulièrement unique ? Comment peut-elle affecter le monde de la sécurité ?

Les attaques de ransomware ciblées visant des multinationales sont devenues monnaie courante, notamment ces dernières années. Une attaque spécifique comme celle-ci ciblant une entreprise connue dans le monde entier ne changera pas la façon dont les choses fonctionnent. Cependant, nous espérons que la réaction à cette tendance sera une plus grande vigilance de la part des entreprises via une surveillance accrue des événements de sécurité, la mise en place de systèmes de cybersécurité complexes incluant la détection proactive des attaques, sans oublier une formation renforcée des salariés aux règles de cybersécurité à observer.

https://www.kaspersky.com/

Suivez MtoM Mag sur le Web

 

Newsletter

Inscrivez-vous a la newsletter d'MtoM Mag pour recevoir, régulièrement, des nouvelles du site par courrier électronique.

Email: