Le groupe Ramsay victime d'un rançongiciel chiffrant

Nous essayerons ici de faire passer un maximum d’alertes de sécurité relatives au SIH, tous les types de cyber attaques
PYB71
Messages : 8
Enregistré le : 31 juil. 2019 16:46
Etablissement : CH William Morey Chalon sur Saône
Fonction : Responsable SI
DPO / DPD : Non

Re: Le groupe Ramsay victime d'un rançongiciel chiffrant

Message par PYB71 » 19 août 2019 11:16

charles a écrit :
19 août 2019 09:51
PYB71 a écrit :
19 août 2019 08:28
Salut,

Merci pour les précisions. Mais je ne comprends pas comment ce genre de cryptovirus pourrait atteindre une base Oracle hébergée sur un serveur Unix par exemple, et en crypter les fichiers db..... :?:. Même une base SQL Server hébergée sur un Windows me paraît compliquée, sauf effectivement à laisser trainer des sessions TSE ouvertes en administrateur, là je peux éventuellement comprendre. Mais des bases présentes sur des serveurs Unix ou Linux, ça me parait très compliqué quand même, je ne vois pas comment un cryptovirus pourrait remonter à elle et aller crypter un FS sur un AIX.....
Salut,

Tu peux trouver plusieurs types de bases de données sur des serveurs Windows : SQLServer, Oracle, MySQL...
Tu sais les mauvaises pratiques ne manquent pas et les incidents ne servent pas toujours de leçon.
Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.

Quant aux rançongiciels chiffrant sur des OS Unix ou Linux, ils sont beaucoup plus rares, mais pas inexistants. Sur ce type d'OS, ce sont les serveurs Web vulnérables qui sont le plus souvent visés.

Le rançongiciel Zenis est un bon exemple : viewforum.php?f=206

Bonne journée,

Charles
Effectivement, dans de tels cas..... En tout cas ce qu'on constate toujours, c'est qu'en règle générale ces virus se propagent presque toujours suite à une négligence : Manque de vigilance d'un utilisateur, failles de sécurité. En tout cas c'est très instructif, car pour moi un cryptovirus ne pouvait se limiter qu'aux fichiers locaux et aux répertoires partagés auxquels l'utilisateur a accès en lecture / écriture (que cela soit du Windows ou effectivement un partage Samba "ouvert"). Mais aller mettre une base de données sur un FS accessible en partage réseau, je ne veux pas dire mais.... :?

Avatar du membre
charles
Administrateur du site
Messages : 4112
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Le groupe Ramsay victime d'un rançongiciel chiffrant

Message par charles » 19 août 2019 16:47

Nous sommes bien d'accord !

J'ai également vu des rançongiciels arriver à chiffrer des fichiers sur un partage smb alors que l'utilisateur exécutant le process n'avait pas les droits d'écriture NTFS sur le répertoire et les fichiers contenus. Pourtant, il s'agissait bien de cet utilisateur qui était le dernier à avoir écrit sur ces fichiers... Les joies des vulnérabilités Windows bien exploitées...

skoizer
Messages : 206
Enregistré le : 24 avr. 2015 11:41
Etablissement : ch villefranche de rouergue
Fonction : Technicien SI
DPO / DPD : Non
Site Internet de l'établissement : http://www.ch-villefranche-rouergue.fr/
Contact :

Re: Le groupe Ramsay victime d'un rançongiciel chiffrant

Message par skoizer » 21 août 2019 13:04

je n'ai pas trouvé le nom du cryptolocker dont le groupe Ramsay a été victime.
Avez vous des informations.
Qu'a-t-il fait ?

PYB71
Messages : 8
Enregistré le : 31 juil. 2019 16:46
Etablissement : CH William Morey Chalon sur Saône
Fonction : Responsable SI
DPO / DPD : Non

Re: Le groupe Ramsay victime d'un rançongiciel chiffrant

Message par PYB71 » 23 août 2019 12:01

skoizer a écrit :
21 août 2019 13:04
je n'ai pas trouvé le nom du cryptolocker dont le groupe Ramsay a été victime.
Avez vous des informations.
Qu'a-t-il fait ?
Ils ont assez peu communiqué dessus ce qui compréhensible d'une certaine manière. Mais de ce qui a filtré, cryptage de pas mal de fichiers qui ont nécessité des restaurations serveurs (" Nous sommes en train de contrôler et réinstaller l’ensemble des serveurs impactés. Tout sera 100% opérationnel à la fin de la semaine") et arrêts du SI pour éviter la propagation.

Répondre

Retourner vers « Alertes de sécurité - Attaques et infections »