Catégories
Rencontrer une femme

Les ransomwares sont une réalité.

Avant de commencer cet article, je vous invite à ajouter « avorax » sur snap. Cette jeune femme de 23 ans est une libertine et elle envoie des nudes chaque jours en story !

Les ransomwares sont une réalité.

Jeudi 9 janvier 2020

Dave a une liste maîtresse de cyberbadness. Joe a quelques drapeaux rouges à portée de main cette saison d'impôt directement de notre bien-aimé IRS. La prise du jour présente une proposition séduisante de quelqu'un qui n'est probablement pas "Sofia". Notre invité est Devon Kerr avec Elastic Security Intelligence and Analytics qui partage ses idées sur les ransomwares.

Liens vers des histoires:

Transcription

Devon Kerr: [00:00:00] Un ransomware existe, et il se retrouve dans ces environnements très vastes, diversifiés et fortement réglementés.

Dave Bittner: [00:00:07] Bonjour à tous et bienvenue dans le podcast "Hacking Humans" de CyberWire, où chaque semaine, nous regardons derrière les escroqueries d'ingénierie sociale, les plans de phishing et les exploits criminels qui font les gros titres et qui pèsent lourd. sur les organisations du monde entier. Je suis Dave Bittner du CyberWire et je suis accompagné de Joe Carrigan du Johns Hopkins University Information Security Institute. Bonjour Joe.

Joe Carrigan: [00:00:26] Salut, Dave.

Dave Bittner: [00:00:26] Nous avons quelques bonnes histoires à partager cette semaine, et plus tard dans la série, nous avons mon interview avec Devon Kerr. Il est le chef d'équipe d'Elastic Security Intelligence and Analytics. Et nous allons discuter de ransomware.

Dave Bittner: [00:00:38] Mais d'abord, un mot de nos sponsors de KnowBe4. Alors qu'est-ce qu'un jeu d'escroquerie? C'est une fraude qui fonctionne en amenant la victime à perdre sa confiance en l'escroc. Dans le monde de la sécurité, nous appelons la confiance des astuces l'ingénierie sociale. Et comme nos sponsors de KnowBe4 peuvent vous le dire, le piratage humain est la façon dont les organisations sont compromises. Quelles sont les façons dont les organisations sont victimes de l'ingénierie sociale? Nous le saurons plus tard dans l'émission.

Dave Bittner: [00:01:10] Et nous sommes de retour. Joe, avant de plonger dans les histoires cette semaine, nous avons reçu un peu de rétroaction d'un auditeur …

Joe Carrigan: [00:01:16] Très bien.

Dave Bittner: [00:01:17] … Une lettre de quelqu'un. Ils ont écrit et ils ont dit, (en lisant) que mon ex-femme venait de refinancer sa maison. Toute l'affaire s'est déroulée chez elle. Après sa première visite au bureau d'affaires de l'entreprise, un endroit qu'elle connaissait parce qu'elle avait déjà financé avec cette entreprise, aucun e-mail n'a été échangé. Le reste du contact, pas qu'il y en avait beaucoup, se faisait par téléphone. Elle connaissait personnellement le gars qui est venu à la maison pour la transaction. J'ai eu l'impression que la raison pour laquelle la société de refinancement l'a fait de cette façon était d'éliminer les possibilités de fraude par e-mail en éliminant essentiellement les e-mails.

Dave Bittner: [00:01:50] Intéressant.

Joe Carrigan: [00:01:51] C'est intéressant.

Dave Bittner: [00:01:52] Ouais. Ouais.

Joe Carrigan: [00:01:53] Cela pourrait très bien être le cas.

Dave Bittner: [00:01:54] Ouais. Sortir de la vieille école, le mettre hors ligne.

Joe Carrigan: [00:01:57] C'est vrai.

Dave Bittner: [00:01:59] (rire) Très bien. Eh bien, merci à notre auditeur d'avoir envoyé ça. Je vais lancer nos histoires cette semaine. J'ai une histoire de Naked Security, les gens de Sophos, et je pense que c'est une belle revue pour commencer en quelque sorte notre année. L'article est intitulé «7 types de virus: un court glossaire de la cyberbadbad contemporaine». La liste ici comprend les enregistreurs de frappe, les voleurs de données, les grattoirs RAM, les bots, les chevaux de Troie bancaires, les RAT et les ransomwares. Examinons-les très rapidement ici. Un enregistreur de frappe – c'est assez évident ce que c'est.

Joe Carrigan: [00:02:25] D'accord.

Dave Bittner: [00:02:25] C'est lorsqu'ils installent quelque chose qui enregistre tout ce que vous tapez dans votre ordinateur, et c'est une sorte de moyen brutal de recueillir des informations.

Joe Carrigan: [00:02:33] Ouais. Et ce qu'il a généralement, c'est une sorte de mécanisme d'exfiltration des données. Sinon, à quoi sert le journal, non?

Dave Bittner: [00:02:38] D'accord. Bon, l'envoyer quelque part.

Joe Carrigan: [00:02:40] Cela permet aux gens de partir. Et généralement, ce qu'ils recherchent, c'est qu'ils recherchent, par exemple, des onglets ou des clics entre deux informations. Il s'agit généralement d'un utilisateur – ou il peut s'agir d'un nom d'utilisateur et d'un mot de passe.

Dave Bittner: [00:02:49] Le deuxième est celui des voleurs de données. Ceci est similaire à un enregistreur de frappe, mais il enracine un peu plus votre système. Et il fait une correspondance de modèles, donc il cherche certaines choses comme les numéros de carte de crédit, les numéros d'identification, les mots de passe, les adresses e-mail – toutes ces sortes de choses – et, encore une fois, les envoie aux méchants. Ce troisième, un grattoir RAM – expliquez-nous ce que c'est, Joe.

Joe Carrigan: [00:03:11] Donc, un grattoir RAM est quelque chose qui regarde la mémoire active de votre PC. Et souvent, dans cette mémoire active, vous pouvez avoir des éléments tels que des clés, des clés de chiffrement symétriques, que vous pourriez utiliser pour effectuer une transaction sécurisée avec un site Web ou vous pourriez avoir des mots de passe.

Dave Bittner: [00:03:24] Donc, en entrant dans la RAM, ce sont des choses qui n'ont pas été écrites sur votre disque dur.

Joe Carrigan: [00:03:28] D'accord.

Dave Bittner: [00:03:28] Il s'agit donc en quelque sorte d'informations éphémères plus temporaires qui ne devraient pas être conservées de façon permanente.

Joe Carrigan: [00:03:36] L'une des grandes avancées de nos ordinateurs ces jours-ci – je veux dire, combien de Go de RAM avez-vous dans votre ordinateur?

Dave Bittner: [00:03:42] Tous (rires).

Joe Carrigan: [00:03:43] J'ai 16 Go de RAM dans mon ordinateur à la maison …

Dave Bittner: [00:03:45] D'accord.

Joe Carrigan: [00:03:45] … Et 32 ou 64 dans celui du bureau.

Dave Bittner: [00:03:48] D'accord.

Joe Carrigan: [00:03:48] Donc, ces grattoirs RAM vont là-dedans après ces données – des tonnes dedans.

Dave Bittner: [00:03:51] Ouais. La catégorie suivante sont les bots. Les bots, c'est quand du code est placé sur votre système et qu'il est ensuite utilisé pour que votre système fasse ce qu'il veut.

Joe Carrigan: [00:04:01] D'accord. C'est généralement une sorte de trousse à outils indépendante. Vous savez, vous avez donc un logiciel en cours d'exécution sur votre ordinateur qui communique avec un système de commande et de contrôle qui pourrait faire quelque chose comme effectuer une attaque DDoS ou exploiter des crypto-monnaies ou quelque chose.

Dave Bittner: [00:04:13] D'accord. Et c'est là que vos périphériques IOT ont tendance à se trouver …

Joe Carrigan: [00:04:16] Oh, oui (rires).

Dave Bittner: [00:04:17] … Lutte contre les robots.

Joe Carrigan: [00:04:18] Parce que …

Dave Bittner: [00:04:18] Vos caméras de sécurité, des choses comme ça.

Joe Carrigan: [00:04:20] Ouais. Dans l'IOT, le S est pour la sécurité.

Dave Bittner: [00:04:23] D'accord. Ca c'est drôle.

0:04:25: (RIRES)

Dave Bittner: [00:04:27] La catégorie suivante est les chevaux de Troie bancaires.

Joe Carrigan: [00:04:29] Oui, des équipements très dangereux. Ils s'en prennent à vous – ciblent spécifiquement vos informations bancaires dans le but de voler l'accès à vos comptes.

Dave Bittner: [00:04:36] Viennent ensuite les RAT, les chevaux de Troie d'accès à distance.

Joe Carrigan: [00:04:39] Ou certaines personnes les appellent des outils d'accès à distance. Mais ce sont quelque chose qui ont une utilité légitime. Pensez à l'appel téléphonique que nous recevons là où c'est le support technique et les réparations à vie de Joe ou Dave, non?

Dave Bittner: [00:04:48] (rire) Oui.

Joe Carrigan: [00:04:49] Et vous ne voulez pas conduire jusqu'à la maison.

Dave Bittner: [00:04:50] Ouais.

Joe Carrigan: [00:04:50] Donc, vous mettez un outil d'administration à distance sur leur système et vous vous connectez et vous pouvez les aider sans avoir à aller là-bas. Mais cette même fonctionnalité peut absolument être utilisée comme vecteur malveillant.

Dave Bittner: [00:05:01] Ouais. Et c'est celui dont nous entendons parler, mais il y avait beaucoup d'escroqueries du support technique.

Joe Carrigan: [00:05:04] Exactement.

Dave Bittner: [00:05:05] Vous appelez …

Joe Carrigan: [00:05:05] C'est la première chose que les escroqueries du support technique font, disent-elles, allez installer cet outil d'accès à distance afin que nous puissions accéder à votre ordinateur .

Dave Bittner: [00:05:11] Ouais. Et s'ils – si vous leur donnez cet accès, ils ont plus ou moins le contrôle total de votre ordinateur.

Joe Carrigan: [00:05:15] Oui, ils le font.

Dave Bittner: [00:05:16] Et puis la dernière catégorie ici – garder le meilleur pour la fin …

Joe Carrigan: [00:05:19] D'accord.

0:05:19: (RIRES)

Dave Bittner: [00:05:19] … Est un ransomware, quelque chose dont nous parlons beaucoup ici. Et c'est là qu'ils mettent la main sur votre ordinateur et qu'ils commencent à crypter les fichiers, et ils vous disent que pour récupérer ces fichiers, vous devez leur payer un peu d'argent.

Joe Carrigan: [00:05:30] Ouais.

Dave Bittner: [00:05:30] Et vous pouvez ou non récupérer ces fichiers.

Joe Carrigan: [00:05:33] C'est vrai. Certains ransomwares ne sont pas des ransomwares; ce ne sont que de faux ransomwares. Il est plus facile d'effacer simplement le disque dur de quelqu'un, puis de lui dire que vous avez chiffré les fichiers.

Dave Bittner: [00:05:41] Ils ont ici de bons conseils pour essayer d'empêcher ce genre de choses – bien sûr, garder vos systèmes à jour. Ils disent patch tôt et patch souvent. C'est un gros problème. Recherchez et agissez sur les panneaux d'avertissement dans vos journaux. Cela s'appliquerait, je suppose, davantage aux gens d'affaires …

Joe Carrigan: [00:05:55] Oui.

Dave Bittner: [00:05:55] … qui surveille ces journaux système. Et puis la défense en profondeur – quelle est l'explication claire en anglais de la défense en profondeur?

Joe Carrigan: [00:06:01] Mon préféré est l'approche ceinture et bretelles, non?

Dave Bittner: [00:06:04] Ah, oui.

Joe Carrigan: [00:06:04] Un faux pas horrible à la mode mais qui empêche vos fesses de se montrer, Dave. Alors …

0:06:08: (RIRES)

Dave Bittner: [00:06:09] Plus important encore, heureusement.

Joe Carrigan: [00:06:11] D'accord. Droite. Donc, pour une défense en profondeur – et plus particulièrement ici dans les ransomwares – vous garderiez plusieurs sauvegardes, non? J'aime citer l'un de mes premiers mentors dans ce domaine, le regretté Jeff Russell, qui m'a dit que la première règle de l'informatique est «sauvegarder, sauvegarder, sauvegarder, sauvegarder et sauvegarder», n'est-ce pas? Et c'est vraiment la meilleure défense contre toute sorte de perte de données. Un excellent exemple de défense en profondeur est l'utilisation d'une authentification à deux facteurs. Ainsi, même s'ils compromettent vos informations d'identification bancaire avec un cheval de Troie bancaire, ils n'entrent pas sans avoir accès à votre téléphone, ce qui est beaucoup plus difficile à obtenir.

Dave Bittner: [00:06:41] D'accord.

Joe Carrigan: [00:06:42] Même si vous n'utilisez que la sécurité par SMS, cela – nous en avons parlé ici, ce n'est pas la plus grande forme d'authentification à deux facteurs ou multifactorielle, mais c'est mieux que rien.

Dave Bittner: [00:06:50] Bien mieux, oui.

Joe Carrigan: [00:06:50] Ouais.

Dave Bittner: [00:06:51] Ouais. D'accord. Eh bien, bon article des gens de Naked Security. Nous aurons un lien vers cela dans les notes de l'émission. Joe, qu'as-tu pour nous cette semaine?

Joe Carrigan: [00:06:58] Eh bien, Dave, c'est la saison des impôts, non?

Dave Bittner: [00:07:00] Déjà?

Joe Carrigan: [00:07:01] Oui.

Dave Bittner: [00:07:01] Ugh. D'ACCORD.

Joe Carrigan: [00:07:02] Chaque mois de janvier, ce genre de montée en puissance. L'IRS a donc un flux Twitter, et bien sûr, parce que c'est la saison des impôts – et nous en avons déjà parlé avec Noël, avec les escrocs après la livraison des colis – maintenant c'est la saison des impôts, ils vont passer à l'impôt escroqueries. L'IRS a donc tweeté quelques drapeaux rouges que vous devriez surveiller lorsque vous recevez des communications de l'IRS et, en fait, pour tout fraudeur, vraiment. Ils vont se faire passer pour une source de confiance. Ils vont essayer d'obtenir ce pouvoir d'autorité derrière ce qu'ils disent. Ils vont vous dire que quelque chose ne va pas avec votre compte. Ils vont prétendre que vous enfreignez la loi, ce qui est important. Cela fait peur à beaucoup de gens.

Dave Bittner: [00:07:34] Oui, bien sûr.

Joe Carrigan: [00:07:35] Ils vont vous dire d'ouvrir un lien ou une pièce jointe …

Dave Bittner: [00:07:37] D'accord.

Joe Carrigan: [00:07:38] … Ce qui, bien sûr, nous disons toujours de ne pas cliquer sur le lien. Et ils vont vous demander de vous connecter à un site Web d'aspect familier mais faux. Et nous avons déjà parlé de la boîte à outils de l'ingénierie sociale.

Dave Bittner: [00:07:46] Ouais.

Joe Carrigan: [00:07:46] Mais cela vous permettra de cloner un site Web simplement en entrant une URL, n'est-ce pas? – puis y apporter quelques modifications. Mais c'est remarquablement bon.

Dave Bittner: [00:07:55] De plus, ils ont quelques conseils ici, de bonnes informations.

Joe Carrigan: [00:07:58] Ils ont un site Web intitulé "Comment savoir que c'est vraiment l'IRS qui appelle ou frappe à votre porte".

Dave Bittner: [00:08:02] (rire).

Joe Carrigan: [00:08:02] Parce qu'ils vont vous appeler.

Dave Bittner: [00:08:04] Ouais.

Joe Carrigan: [00:08:04] Et ils vont frapper à votre porte.

Dave Bittner: [00:08:06] Ouais.

Joe Carrigan: [00:08:06] Ils ont des signes révélateurs. Les agents IRS effectuant des audits peuvent appeler les contribuables pour fixer les rendez-vous ou discuter des éléments de l'audit, non?

Dave Bittner: [00:08:14] Oui.

Joe Carrigan: [00:08:14] Mais ils ne feront pas de demande de paiement pour le moment.

Dave Bittner: [00:08:17] D'accord.

Joe Carrigan: [00:08:17] Ils appellent parce que – un audit ne se terminera pas nécessairement terriblement pour la personne qui est auditée.

Dave Bittner: [00:08:23] Non. En fait, j'ai vécu ça.

Joe Carrigan: [00:08:26] Ouais.

Dave Bittner: [00:08:26] J'ai fait une vérification où ils viennent chez vous et regardent autour de moi.

Joe Carrigan: [00:08:29] Vraiment?

Dave Bittner: [00:08:29] Ouais. Si vous recevez un appel comme celui-ci, ne paniquez pas; ce n'est pas nécessairement la fin du monde.

Joe Carrigan: [00:08:33] D'accord. Ils peuvent se présenter et tenter de recouvrer une dette fiscale, mais ils ne demanderont jamais que vous effectuiez un paiement immédiat à un autre endroit que le Trésor américain. Donc, chaque fois que vous effectuez un paiement à l'IRS, ce sera au Trésor américain. Les enquêteurs criminels peuvent effectivement se présenter, mais ce sont des agents chargés de l'application des lois; ils ne vont pas faire de demande de paiement, OK?

Dave Bittner: [00:08:53] Oh, je vois.

Joe Carrigan: [00:08:54] Il y a donc deux branches différentes. Ils ont une liste sur ce site Web des choses que l'IRS ne fait pas. Ils n'appellent pas pour faire une demande de paiement immédiat par carte cadeau ou par virement bancaire, non?

Dave Bittner: [00:09:05] (rire) C'est vrai.

Joe Carrigan: [00:09:05] Rien de tout cela ne se produit.

Dave Bittner: [00:09:06] D'accord.

Joe Carrigan: [00:09:06] Et le premier contact de l'IRS sera toujours une lettre qui est essentiellement une facture fiscale. Ça ne sortira pas du ciel. C'est vraiment la grande chose à ce sujet, si vous ne vous attendez pas à un appel de l'IRS, si vous n'avez aucune raison de vous attendre à un appel de l'IRS, ce n'est probablement pas l'IRS. Vous sauriez que vous allez recevoir ces appels ou que vous allez recevoir une visite, non?

Dave Bittner: [00:09:26] Ouais. Ouais. Ils recevront d'abord une lettre, et …

Joe Carrigan: [00:09:28] Vous recevrez d'abord une lettre.

Dave Bittner: [00:09:28] … La lettre peut dire, attendez-vous à notre appel.

Joe Carrigan: [00:09:30] D'accord.

Dave Bittner: [00:09:31] Ouais.

Joe Carrigan: [00:09:31] Ouais. Ils ne vous demanderont jamais de payer des impôts sans avoir la possibilité de remettre en question ou de faire appel du montant qu'ils disent que vous devez, non? C'est une procédure régulière, et nous l'avons ici aux États-Unis.

Dave Bittner: [00:09:39] Ouais.

Joe Carrigan: [00:09:40] Et l'IRS est bien soumis à cela. Ils ne menaceront jamais non plus de faire appel à la police locale. Ils ont leur propre agence d'application de la loi, et si cela arrive à ce point, vous allez savoir …

Dave Bittner: [00:09:48] (rire) D'accord.

Joe Carrigan: [00:09:48] … Que c'est arrivé à ce point. Sur ce site Web auquel nous avons un lien, si un représentant de l'IRS vous rend réellement visite, il ou elle fournira deux formes de pouvoirs officiels. Et l'un d'eux est appelé Pocket Commission et l'autre est appelé carte HSPD-12. Maintenant, la carte HSPD-12 est une norme gouvernementale pour les employés et les entrepreneurs fédéraux. Voici quelque chose que je n'aime pas à propos de ce site Web de l'IRS – et j'aimerais que l'IRS change cela. Donc, si vous écoutez IRS, faites ce changement.

Dave Bittner: [00:10:16] (Rires) Joe a reçu quelques demandes.

Joe Carrigan: [00:10:17] J'ai quelques informations ici. Il dit que vous avez le droit de demander ces informations d'identification et que vous avez le droit de les vérifier. Et puis il dit que le représentant vous fournira un numéro de téléphone IRS dédié pour vérifier les informations et confirmer leur identité. C'est inacceptable, IRS. Ce numéro de téléphone doit être sur cette page Web ici.

Dave Bittner: [00:10:35] Oh, oui.

Joe Carrigan: [00:10:36] Parce que si un escroc réussit à reproduire un de ces HSPD-12 avec un niveau convaincant de contrefaçon, alors ils vont probablement déjà avoir un numéro avec l'un de leurs copains, et il est va dire, voici le numéro IRS; appeler et vérifier. Et si vous appelez et vérifiez, le gars va dire, oh, oui, c'est un vrai agent IRS; vous feriez mieux de leur donner les cartes-cadeaux.

Dave Bittner: [00:10:53] D'accord.

Joe Carrigan: [00:10:54] Mais si l'IRS met ce numéro sur cette page, alors un vrai agent IRS pourrait dire, allez sur irs.gov et cliquez sur ce lien et vous obtiendrez le numéro pour vérifier cette information.

Dave Bittner: [00:11:03] Ouais. Ouais.

Joe Carrigan: [00:11:04] C'est beaucoup plus sûr que de demander à l'agent de donner au contribuable le numéro de téléphone.

Dave Bittner: [00:11:09] Je soupçonne également qu'il est probablement dans votre droit – ou vous pouvez certainement faire la demande – que vous vous rendiez à leur bureau pour tenir cette réunion.

Joe Carrigan: [00:11:16] Vous pouvez aussi faire ça, oui. Oui.

Dave Bittner: [00:11:17] Ouais. Et, vous savez, de cette façon, vous savez. (Rires) J'ai cette grande et vieille enseigne sur le côté du bâtiment.

Joe Carrigan: [00:11:22] C'est vrai.

Dave Bittner: [00:11:23] Très bien. Eh bien, ce sont de bonnes informations et certainement quelque chose à surveiller pendant cette période de l'année.

Joe Carrigan: [00:11:27] Oui, gardez simplement votre garde.

Dave Bittner: [00:11:27] Ces escroqueries IRS, elles sont partout

Joe Carrigan: [00:11:30] Ça va être – ça va être épaisse avec eux cette année.

Dave Bittner: [00:11:32] Absolument. D'accord. Eh bien, il est temps de passer à notre prise du jour.

0:11:36: (EXTRAIT DE MOULINET EN LIGNE DE PÊCHE)

Dave Bittner: [00:11:39] Joe, notre prise du jour a été envoyée par un auditeur. Il s'agit d'une escroquerie amoureuse de quelqu'un qui prétend être Sofia. Je vais le lire ici. Mais avant de le faire, je veux décrire l'image qui accompagne cette image. Je dois dire que je ne suis généralement pas un fan des tatouages.

Joe Carrigan: [00:11:56] Ouais.

Dave Bittner: [00:11:56] Mais dans ce cas, je suis prêt à faire une exception.

Joe Carrigan: [00:11:58] (rire).

Dave Bittner: [00:11:59] Voici une charmante jeune femme qui se penche vers la caméra, et toute sa moitié, je dirais, la partie supérieure de son torse …

Joe Carrigan: [00:12:08] Ouaip.

Dave Bittner: [00:12:08] … est un joli tatouage de poulpe. Et c'est un peu – je ne sais pas, un peu séduisant là-bas, Joe. Qu'est-ce que tu penses? Pas ton truc?

Joe Carrigan: [00:12:17] Pas ma – la pieuvre …

Dave Bittner: [00:12:18] (Rires).

Joe Carrigan: [00:12:20] … Ce n'est pas mon truc, non.

Dave Bittner: [00:12:20] D'accord, d'accord – d'accord. J'en ai peut-être trop dit.

Joe Carrigan: [00:12:22] D'accord (rires).

Dave Bittner: [00:12:24] En tout cas, voici le texte.

Dave Bittner: [00:12:26] Bonjour. Je m'appelle Sophia. Comme mon nom d'affichage l'indique, je suis un joli diable (rires). Au moins, j'ai le sens de l'humour. Et vous? Je suis célibataire – pas de petit ami ou de mari qui se cache à ce sujet, je dois cacher mon profil en ligne. Je travaille – et ma propre maison. Je ne vis donc pas dans le sous-sol de mes parents. Au moins, j'ai tant à faire pour moi. Je suppose que ces femmes veulent toujours retourner chez toi, non? Mes photos sont actuelles et je suis en bonne santé. OK, je ne suis pas sexy comme les autres mannequins. Mais je ne suis pas non plus une vieille fille poilue et grosse. Dans mes temps libres, j'aime les voyages en voiture et la photographie. J'adore YouTube et je déteste la télévision. Je sais que c'est un peu la même chose, moins les publicités. Pas un fan de sport en général, mais je peux au moins regarder un match de football de la NFL de temps en temps et le trouver amusant. J'ai trouvé en ligne sortir ensemble une corvée fatigante. Le site ne fait pas exception, pourtant me voilà, séduit par la promesse d'une promiscuité potentielle avec plusieurs partenaires ou un partenaire. Soupir, même les filles les plus intelligentes pensent parfois avec la mauvaise tête, si vous comprenez mon sens. Je suis sûr qu'il y a des hommes vibrants, charmants, intéressants et séduisants. Je ne t'ai pas encore rencontré. Je suppose que tout ce que l'on peut faire est d'essayer d'espérer que nos chemins se croiseront un jour.

Dave Bittner: [00:13:40] Alors, Joe …

Joe Carrigan: [00:13:41] C'est – qu'est-ce que c'est, un profil de rencontres sur un site Web?

Dave Bittner: [00:13:44] Je pense que oui. Eh bien, je pense que c'est l'attrait pour vous faire quitter le site de rencontres …

Joe Carrigan: [00:13:49] Ah, et allez sur la deuxième plate-forme.

Dave Bittner: [00:13:50] … Pour y aller – oui …

Joe Carrigan: [00:13:51] D'accord.

Dave Bittner: [00:13:51] … Pour vous éloigner du coffre-fort …

Joe Carrigan: [00:13:54] Vous savez, Dave, je ne sais pas pourquoi nous n'avons jamais dit cela auparavant, mais, vous savez, il y a un vieil adage quand vous sortez avec un nouveau groupe de personnes.

Dave Bittner: [00:14:01] Ouais.

Joe Carrigan: [00:14:01] Ce n'est jamais aller au deuxième endroit, non?

Dave Bittner: [00:14:03] Oh, c'est vrai.

Joe Carrigan: [00:14:04] Vous savez, si vous êtes dans un bar et que quelqu'un dit, hé, retournons chez moi, et c'est quelqu'un que vous n'avez jamais rencontré, vous dites, non, non. Nous nous connecterons plus tard. Au revoir.

Dave Bittner: [00:14:11] Ouais, ouais.

Joe Carrigan: [00:14:11] D'accord? C'est la même chose avec les sites de rencontres. Quand quelqu'un dit, quittons ce site, allons sur un autre site, qui va à un deuxième emplacement. C'est la même chose que d'aller chez quelqu'un où vous allez vous retrouver dans un tas de pots de cornichons au sous-sol.

Dave Bittner: [00:14:23] (rire) Très bien. Eh bien, c'est notre prise du jour. Prochainement, nous avons mon interview avec Devon Kerr. Il est le chef de l'équipe Elastic Security Intelligence and Analytics. Et nous allons discuter de ransomware.

Dave Bittner: [00:14:35] Mais d'abord, un mot de nos sponsors. Et maintenant, nous revenons à la question de notre sponsor sur les formes d'ingénierie sociale. KnowBe4 vous dira que là où il y a un contact humain, il peut y avoir des jeux frauduleux. Il est important de créer le type de culture de sécurité dans lequel vos employés peuvent prendre des décisions de sécurité intelligentes. Pour ce faire, ils doivent reconnaître les e-mails de phishing, bien sûr, mais ils doivent également comprendre qu'ils peuvent être accrochés par des appels vocaux – c'est ce que l'on appelle le vishing – ou par des SMS, que les gens appellent SMiShing. Découvrez comment votre culture de sécurité se compare au test gratuit de KnowBe4. Obtenez-le sur knowbe4.com/phishtest. C'est knowbe4.com/phishtest.

Dave Bittner: [00:15:28] Et nous sommes de retour. Joe, j'ai récemment eu le plaisir de parler avec Devon Kerr. Il travaille chez Elastic Security Intelligence and Analytics. Il est leur chef d'équipe et nous avons eu une bonne conversation sur les ransomwares. Voici ma conversation avec Devon Kerr.

Devon Kerr: [00:15:41] Je pense que beaucoup de gens dans l'industrie pensaient que les ransomwares diminueraient, car c'était une pratique un peu plus lourde et alarmante que l'extraction de pièces de monnaie, dont vous pourriez discuter à grande échelle est juste aussi lucrative. Mais je pense plutôt que nous assistons à une opérationnalisation de cette approche criminelle. Pour citer un exemple, FIN6, qui est associé à Ryuk et à un certain nombre d'autres types d'intrusions financières, vous savez, ils ont fait leurs armes, menant essentiellement des intrusions dans les processeurs de paiement pour obtenir des données de carte.

Devon Kerr: [00:16:16] Mais je pense qu'ils ont réalisé qu'il n'y avait que trop d'argent dans cette approche. Et soit, ils ont décidé qu'ils pouvaient innover, et ils devraient donc essayer. Et ils ont donc commencé à cibler, vous savez, les environnements client MSP – essentiellement les types d'environnements où un MSP devient essentiel pour les opérations informatiques sont probablement des cibles raisonnables qui auront un taux de réussite élevé. S'il vous arrive de les frapper avec un rançongiciel, il est probable que leur reprise après sinistre ne pourra pas simplement restaurer passivement ces choses. Je pense donc qu'il y a des raisons pour lesquelles cela s'est produit. Et je pense que parce que nous n'avons pas vu cette contraction, quelque chose d'un peu plus actif doit se produire dans l'industrie pour corriger cela.

Dave Bittner: [00:16:55] Oui, il semble que la tendance soit loin de ce genre d'approche de fusil de chasse face aux consommateurs, où quelqu'un enferme l'ordinateur de votre oncle ou tante et demande 50 dollars ou 100 dollars. Et les choses sont beaucoup plus ciblées et aussi des enjeux plus élevés de nos jours.

Devon Kerr: [00:17:12] Ouais. Je veux dire, je pense qu'il y a des preuves que quelques-unes de ces familles de logiciels malveillants qui effectuent des opérations de rançongiciels sur les points finaux recherchent spécifiquement des types de documents d'entreprise. Ils recherchent des archives Outlook qu'ils pourraient détruire. Il y a là absolument un risque d'impact commercial. Et encore une fois, je pense que si j'étais un acteur de la menace qui voulait, vous savez, garantir une certaine quantité de revenus, je couvrirais probablement mes paris dans cette direction – vous savez, encore une fois, les victimes vulnérables, en sous-effectif, vous savez, en comptant sur tiers. Ils vont faire confiance à tout ce que fait ce tiers. Et c'est donc, je pense, une progression naturelle pour cibler les clients de ces tiers.

Dave Bittner: [00:17:50] Qu'en est-il de cette tendance que nous avons constatée à leur encontre des municipalités? Dans vos recherches, je veux dire, est-ce une vraie tendance, ou est-ce autant que lorsqu'une municipalité est touchée, cela attire beaucoup l'attention, il y a beaucoup de presse à ce sujet?

Devon Kerr: [00:18:04] Je crois – et ce que nous avons observé – que ce sont souvent des cibles accessoires. Ils sont essentiellement repris dans des campagnes plus importantes. Vous savez, si nous utilisons un tiers, comme un MSP par exemple, vous savez, les gens derrière FIN6 ne savent pas nécessairement qui sont les clients de ce MSP. Mais une fois qu'ils ont compris cela, ceux-ci deviennent des cibles d'opportunité très précieuses pour la même raison que, vous savez, toute personne utilisant un MSP peut être une cible d'opportunité. Vous savez, encore une fois, les chances qu'ils auront des sauvegardes de toutes leurs données critiques ou même savent où elles se trouvent seront limitées. Leur capacité, vous savez, à mettre le personnel derrière le rétablissement va être limitée.

Devon Kerr: [00:18:40] Et toutes ces choses, je pense, augmentent la pression sur ces organisations vulnérables pour qu'elles paient, ce qui est vraiment, je pense, ce que veulent des groupes comme FIN6, c'est qu'ils veulent monétiser. Et si vous leur fournissez un mécanisme qui leur garantit des revenus, ils le feront absolument à chaque fois. Les municipalités tombent dans ce même seau. Ils comptent sur ces tiers pour suivre le rythme de la technologie, vous le savez. Ils comptent sur ces tiers pour rendre les choses un peu plus utilisables pour leurs employés municipaux. Je pense que toutes ces choses ont des avantages et des inconvénients du point de vue des menaces.

Dave Bittner: [00:19:12] Ouais. Cela me frappe également auprès des municipalités qui, bien souvent, sont tenues par la loi de fournir certains services, ce qui augmente la pression pour remettre ces systèmes en ligne.

Devon Kerr: [00:19:25] Bien sûr. Si vous y réfléchissez du point de vue de ce qu'une municipalité est obligée de fournir à ses citoyens ou aux populations qu'elle dessert, les lois qui régissent ces processus, celles qui ont été créées avant ce phénomène. Ils n'ont donc pas vraiment pris en compte que les ransomwares existent, et cela en fait des environnements très vastes, diversifiés et fortement réglementés. Vous savez, surtout si vous pensez d'où viennent les budgets pour ces fonctions de sécurité et d'opérations informatiques, ceux des contribuables, c'est-à-dire la même population qui est affectée lorsqu'ils perdent le contrôle positif de leur environnement.

Dave Bittner: [00:19:55] Quel genre de choses suivez-vous tous en ce qui concerne la répartition géographique des ransomwares? Je pense aux deux, vous savez, d'où cela vient et qui ils recherchent.

Devon Kerr: [00:20:06] Je pense qu'il y a plusieurs groupes organisés qui sont en grande partie, vous savez, d'Europe centrale qui ont eu beaucoup de succès. Ces types de criminels financiers organisés, vous savez, il se peut que leurs portefeuilles s'étendent pour inclure des choses comme l'extraction de pièces de monnaie et les ransomwares en tant que sources de revenus alternatives aux violations de cartes de paiement traditionnelles, vous savez. Certains de ces mêmes groupes effectuent également, vous le savez, un travail saisonnier. Vous savez, si vous pensez à la saison des impôts aux États-Unis, c'est un grand moment où nous voyons souvent le ciblage des petites entreprises parce que ces petites entreprises ont généralement un manque de temps. Et encore une fois, lorsqu'il y a de la pression, les gens ont tendance à être un peu moins concentrés, à avoir moins de contrôle, ce qui signifie un taux de réussite plus élevé.

Devon Kerr: [00:20:42] Vous voyez généralement des cibles, cependant, dans des environnements où il y a des revenus à avoir. Le marché américain est une très grande surface pour ce type de criminalité financière, mais il n'est pas unique aux États-Unis. Vous savez, je pense que nous avons vu des attaques de type ransomware dans des dizaines de pays, vous savez, toutes sortes de verticales. Donc là – je ne dirais pas qu'il y a, comme, vous savez, un ensemble parfait d'attributs de tempête, mais les victimes qui ont tendance à le ressentir le plus douloureusement sont celles qui n'ont généralement pas investi dans l'une ou l'autre des limites de sécurité comme le réseau segmentation, ou ils sont vraiment en mode de croissance. Those growth businesses are typically thinking about, you know, how do I expand my business, not how do I protect it. And unfortunately, you know, coming back to that too late can oftentimes be a cost that can't recover from.

Dave Bittner: [00:21:30]  Where do we find ourselves when it comes to recommendations in terms of paying the ransom? You know, initially, the notion was don't pay the ransom. But we even see some organizations today that are sort of in this situation where they say, well, we didn't pay the ransom, but we paid someone to pay the ransom (laughter).

Devon Kerr: [00:21:48]  So you brought up two ideas that I think are both worth decomposing a little further. So one is the phenomenon of, like, these, you know, these ransomware retainers. You know, if we do it through a third party, is it less of a business liability than if we paid it directly? And I'm not a lawyer, so I can't really weigh in on the ethical or legal ramifications of that decision. I do think that I've talked with businesses – and I have to approach this sympathetically because in a lot of cases, these businesses, they did not anticipate this outcome. They didn't know that this could happen to them. It was not part of their threat model – if they're even, you know, to a level of maturity where they've come up with a threat model, that they understand their landscape.

Devon Kerr: [00:22:26]  And for that reason, from the business' perspective, a lot of this is like an ambush. It's like, they were just minding their own business, you know, doing the things that was necessary, and then this terrible outcome occurred. I think it's hard for them to appreciate the complexity of decisions that leads there – you know, the money we don't spend on an endpoint control, the money we do spend on maybe go-to-market stuff that raises our visibility and projects a sense that there's, you know, there's something here for an adversary to come get. You know, those things typically are made independent of the threat landscape or that perspective.

Dave Bittner: [00:22:57]  Yeah, it's interesting. You know, it reminds me, I have a friend who's a commercial real estate agent. And he said that – you know, he would often describe to people when trying to plan out their insurance for eventualities, you know, when it came to things like fires, he would say, you know, imagine that you come to work one morning, and what's left is a Wile E. Coyote smoking hole in the ground. And I wonder if ransomware is a similar sort of thing. You know, most of us don't imagine that a fire would be a regular day-to-day part of our operations. And yet, most of us have insurance for fires.

Devon Kerr: [00:23:33]  Oh, absolutely. Not just that, but if you think about office buildings where people work, you know, building management has a series of regulations that they're upholding. They're working with the local municipal government to meet those requirements for building safety. You know, there's all manner of regulations around how employees are made safe. And so in the event of a fire, you know, your building has to have physical structures that enable people to get out in a timely way. And there's definitions for what timely means.

Devon Kerr: [00:24:02]  I feel like in the security industry, a lot of those things are ungoverned right now. And although that's not necessarily, you know, the worst outcome, I think it does give business owners and responsible parties, I think, reason to pause and to ask themselves, well, just because it's not the letter of the law, isn't it still essential that we do? How are we going to develop contingencies if this occurs? And again, just make sure that it's part of an active decision making process, not just some passive, you know, secondary afterthought. Those are the customers I think that get hit the hardest, where for them, it's like, well, we meant to get around to this, and we knew it was going to be bad.

Devon Kerr: [00:24:40]  But so much other stuff came up that we prioritized ahead of this because we just thought it was unlikely. Those are the ones that typically get caught unaware, and it's a much more expensive process. And it's expensive, I think, for a lot of reasons, but one of them is it exposes, you know, some of the ad hoc decision-making that goes into infrastructure. And those things generally have to be fixed, which is, you know, a human cost, either time or dollars.

Dave Bittner: [00:25:05]  Interesting stuff from Devon, yeah?

Joe Carrigan: [00:25:06]  Yeah, indeed. Ransomware is a big problem. And one of the reasons it's still a big problem is because it works. Disaster recovery, particularly IT disaster recovery, is not mature enough on a broad enough scale to prevent ransomware. If everybody had really great, mature disaster recovery programs, ransomware would go away because nobody would make a penny from it because they would say, you pay us the ransom, and people would say, well, we'll just restore from backups… 

Dave Bittner: [00:25:32]  Right 

Joe Carrigan: [00:25:32]  …And be done. But Devon makes a great point about this. And one of the things he said was that organizations that are in growth mode may not be focusing on disaster recovery or ransomware as a threat vector.

Dave Bittner: [00:25:44]  Mmm hmm. Yeah, we'll get around to that (laughter) when things calm down (laughter). Ouais. Ouais.

Joe Carrigan: [00:25:50]  I don't understand how ransomware is not part of people's threat models. He says that in the interview as well. He talks about how it comes as a surprise to most people. And maybe that's because I'm steeped in the cybersecurity culture that this is actually one of the most terrifying things that I think an organization can go through. It can absolutely just destroy your organization if all your data is gone and you haven't made plans for getting it back.

Dave Bittner: [00:26:09]  Yeah. I wonder are we at the point still where it's likely that you don't know someone whose business was affected by this? You know I'm saying?

Joe Carrigan: [00:26:19]  Yeah. I know plenty of businesses that have been affected by it, but I don't know those folks.

Dave Bittner: [00:26:24]  If one of your colleagues has a business that burns down… 

Joe Carrigan: [00:26:27]  Yeah.

Dave Bittner: [00:26:27]  …Chances are you're going to make a call to your insurance agent and say, listen; I just want to check in and make sure I'm good here.

Joe Carrigan: [00:26:33]  Right. And that's – another point you made is the Wile E. Coyote smoking hole in the ground.

Dave Bittner: [00:26:37]  Right.

Joe Carrigan: [00:26:37]  I love that analogy.

Dave Bittner: [00:26:39]  (Laughter).

Joe Carrigan: [00:26:39]  It's one of my favorite things. The mitigation for that kind of physical damage is very similar to the mitigation for a ransomware attack. If I have offsite backups of my data – offsite, offline backups – then a smoking hole in the ground is not a devastating hit to my business in terms of the data.

Dave Bittner: [00:26:54]  Yeah, it's more… 

Joe Carrigan: [00:26:55]  I can get the data back.

Dave Bittner: [00:26:56]  It's a nuisance rather than a business killer.

Joe Carrigan: [00:26:58]  Well, yeah. I mean, it may be a business killer for other reasons. I mean, it may have, like, – like, all my inventory was in there. Now I have just in time inventory needs. And it could be a myriad reasons. But the data recovery portion of it, the recovery is a lot simpler if you have offsite backups. Speaking of nuisance organizations, he talks about coin-mining malware. I think that's a lot bigger than we know. I think that there is huge amounts of that going on, but it's non-destructive and essentially a nuisance, right? So people really don't see what's going on. And sometimes when these guys get in there, what they do is they secure your system.

Dave Bittner: [00:27:30]  Yeah.

Joe Carrigan: [00:27:31]  They don't want their coin miners going offline.

Dave Bittner: [00:27:32]  Right. They kick everybody else out.

Joe Carrigan: [00:27:34]  Right.

Dave Bittner: [00:27:35]  That is a real thing, where they'll… 

Joe Carrigan: [00:27:36]  Yeah.

Dave Bittner: [00:27:37]  A coin miner will come in, and it'll basically disinfect your system of other malware because it wants to be running in a pristine environment.

Joe Carrigan: [00:27:45]  Yeah, it's almost like this symbiotic relationship that companies might have with malware writers who all they ask for is a little bit of electricity, and you pay for it.

Dave Bittner: [00:27:54]  Right.

Joe Carrigan: [00:27:55]  And in return, they keep your machine free of other things because it's in their interest to do so.

Dave Bittner: [00:27:59]  Folks in the security biz thought that we're seeing a shift away from ransomware towards coin mining.

Joe Carrigan: [00:28:06]  Right.

Dave Bittner: [00:28:06]  And it was for that reason, because coin mining can run in the background and not really draw a whole lot of attention to itself. But I think partially because the price of things like bitcoin hasn't gone vertical the way that a lot of people thought it would… 

Joe Carrigan: [00:28:20]  Right.

Dave Bittner: [00:28:21]  …It's made it less profitable. But also, I think, like Devon said, ransomware has become more sophisticated and more business-like as well.

Joe Carrigan: [00:28:28]  Yeah. That is 100% correct. These guys have help desks to help you decrypt your data – some of them do – when they actually infect your system with well-written ransomware. Now these ransomware applications are actually getting better, you know, over time as people learn their mistakes and they develop new applications or new malware that goes in and encrypts your files. But it is in their interest to help you get that data back when they encrypt it.

Dave Bittner: [00:28:51]  Yeah. Well, our thanks to Devon Kerr for joining us. And we want to thank all of you for listening. That is our show.

Dave Bittner: [00:28:59]  Of course, we want to thank our sponsors at KnowBe4. They are the social engineering experts and the pioneers of new-school security awareness training. Be sure to take advantage of their free phishing test, which you can find at knowbe4.com/phishtest. Think of KnowBe4 for your security training. Thanks to the Johns Hopkins University Information Security Institute for their participation. You can learn more at isi.jhu.edu.

Dave Bittner: [00:29:22]  The "Hacking Humans" podcast is probably produced in Maryland at the startup studios of DataTribe, where they're co-building the next generation of cybersecurity teams and technologies. Our coordinating producer is Jennifer Eiben. Our executive editor is Peter Kilpe. I'm Dave Bittner.

Joe Carrigan: [00:29:35]  And I'm Joe Carrigan.

Dave Bittner: [00:29:36]  Thanks for listening.

Copyright © 2019 CyberWire, Inc. All rights reserved. Les transcriptions sont créées par l'équipe éditoriale de CyberWire. La précision peut varier. Les transcriptions peuvent être mises à jour ou révisées à l'avenir. The authoritative record of this program is the audio record.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *