Global Impact Insights: How to Protect Yourself and Your Organization During These Uncertain Times
A Letter from our CEO:
What You Need to Know about the Russian invasion of Ukraine
The Russian government’s military and espionage capabilities in cyber are significant. Over the past decade, Russia’s Sandworm hacking team, a cyber unit of their GRU, was responsible for damaging power utilities in Ukraine in 2015 and 2016. In 2017, the group launched the NotPetya malicious software or malware.
NotPetya was designed to look like a ransomware attack that organizations had become accustomed to recognizing, however the malware was much more destructive. Instead of encrypting data to be released upon payment, NotPetya destroyed data without the potential of recovering it with the payment of a ransom.
Before their physical invasion of Ukraine, the Russian government launched cyber attacks at the Ukraine military and financial sector, including slowing down Internet services which prevented users from accessing essential services.
Russia also deployed malicious software similar to NotPetya that rendered infected Ukrainian computers and devices useless. Organizations that were targeted include government systems, IT companies and non-profit organizations.
Massive email-based phishing campaigns have also been targeted at Ukrainian military, government and citizens with the aim to capture email and social media credentials to be used to hijack those accounts to spread disinformation and continue to phish other people.
Russia has a sophisticated social media powered disinformation and misinformation system that has been used to produce propaganda about the conflict in Ukraine as well as to create social upheaval in Western countries around other politically charged subjects. These campaigns play on people’s emotions of fear, anger and frustration among others with the objective of causing confusion and dysfunction.
My Perspective on the Threat Environment
My current assessment is that official Russian state-backed cyber operations intentionally targeting Western countries and/or private sector organizations with destructive malware or launching major attacks on critical infrastructure or using denial-of-service attacks is LOW.
I believe the risk of unintentional impacts from Russian-based cyberattacks is MODERATE. This is similar to what happened in 2017 and previous government use of malware targeting specific countries, such as the American use of the Stuxnet malware against Iranian nuclear facilities saw the spread of malware outside the targeted country.
There is a HIGH risk to governments and private sector organizations directly involved in Europe in providing logistical support to Ukraine with reports of compromised Ukrainian email addresses being used in phishing campaigns to target these organizations.
The risk of Russian-affiliated cybercriminal activity including ransomware is HIGH. A Canadian defense and IT company was hit by the Conti ransomware gang last week. I believe that another key target for criminal groups will be cryptocurrency exchanges. These targets have been popular with other highly sanctioned regimes such as North Korea as a way to generate money for their country.
What Organizations and Individuals Can Do
1. If your organization has not yet deployed multi-factor authentication (MFA) for 100% of its members and all its critical applications, now is the time to do so. Also monitor any logins from unusual locations even with MFA enabled. While MFA reduces risks of certain attacks by 99.9%, some criminal groups have found ways to trick users to authorize logins.
2. Use strong, unique passwords for every online site you use, including social media accounts. We encourage that organizations and individuals use a password manager application to ease the burden of creating and remembering numerous login credentials.
3. Conduct regular phishing simulation tests, at least at a monthly cadence. Ensure you have an easy way for team members to report suspicious emails and provide feedback to help them recognize and report future phishes.
4. Patch your devices and systems as well as keeping anti-virus software up-to-date. Major ransomware attacks occur via social media and unpatched Internet-facing devices. Educating your team and patching your devices can reduce this risk.
5. Designate an incident response team. Practice your plan with your team based on scenarios such as what you would do in the event of a ransomware attack.
You can stay informed by reviewing information provided by government agencies such as the Canadian Cyber Centre and the US Critical Infrastructure Security Agency. We will provide regular updates on the situation and updates to our risk evaluation as the situation evolves.
Helpful Resources
Here is a list of resources to help keep folks in the loop and up-to-date with the latest developments in ransomware, cyber attacks and other cyber news:
American Sources:
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
https://www.cisa.gov/uscert/ncas/alerts/aa22-011a
https://www.cisa.gov/stopransomware
Canadian Sources:
https://cyber.gc.ca/en/alerts/disruptive-activity-against-ukrainian-organizations
Keeping in the Loop
During this uncertain time, it’s important to stay focused on the tasks that are within your own control. Talk to your team, many will be struggling with what this conflict means, find ways to support initiatives where you can.
We have a variety of free courses available, if you’d like more information, please feel free to reach out.
Stay safe.
David Shipley
CEO, Beauceron Security Inc.
Renseignements sur les impacts d’événements mondiaux : comment vous protéger et protéger votre organisation en ces temps incertains
Une lettre de notre PDG :
Ce que vous devez savoir sur l’invasion russe de l’Ukraine
Le gouvernement russe possède d’importantes capacités militaires et d’espionnage dans le cyberespace. Au cours de la dernière décennie, l’équipe russe de piratage de Sandworm, une unité cybernétique de la direction générale des renseignements russe (GRU), a été responsable des dommages causés aux services publics d’électricité en Ukraine en 2015 et 2016. En 2017, le groupe a lancé le logiciel malveillant, ou maliciel, NotPetya.
NotPetya a été conçu pour ressembler à une attaque au rançongiciel que les organisations s’étaient habituées à reconnaître, mais le maliciel était en réalité beaucoup plus destructeur. Au lieu de crypter les données à publier lors du paiement, NotPetya détruisait les données sans donner la possibilité de les récupérer avec le paiement d’une rançon.
Avant son invasion physique de l’Ukraine, le gouvernement russe a lancé des cyberattaques contre les secteurs militaire et financier de l’Ukraine, notamment en ralentissant les services Internet qui empêchaient les utilisateurs d’accéder aux services essentiels.
La Russie a également déployé des logiciels malveillants similaires à NotPetya qui ont rendu les ordinateurs et les appareils ukrainiens infectés inopérants. Les organisations ciblées comprennent des systèmes gouvernementaux, des entreprises de TI et des organismes à but non lucratif.
Des campagnes massives d’hameçonnage par courriel ont également ciblé l’armée, le gouvernement et les citoyens ukrainiens dans le but de capturer les informations d’identification des courriels et des médias sociaux, pour ensuite utiliser ces informations pour détourner ces comptes afin de répandre de la désinformation et de continuer à obtenir les renseignements d’autres personnes par hameçonnage.
La Russie dispose d’un système sophistiqué de désinformation et de mésinformation alimenté par les médias sociaux qui a été utilisé pour produire de la propagande sur le conflit en Ukraine ainsi que pour créer des bouleversements sociaux dans les pays occidentaux autour d’autres sujets politiquement chargés. Ces campagnes jouent entre autres sur les émotions de peur, de colère et de frustration des gens, dans le but de causer de la confusion et des dysfonctionnements.
Mon point de vue sur le contexte de la menace
Mon évaluation actuelle est que les opérations officielles soutenues par l’État russe dans le cyberespace ciblant intentionnellement les pays occidentaux et les organisations du secteur privé avec des logiciels malveillants destructeurs, en lançant des attaques majeures sur les infrastructures critiques ou en utilisant des attaques par déni de service impliquent un risque FAIBLE.
Je crois que le risque d’impacts involontaires des cyberattaques menées depuis la Russie est MODÉRÉ. La situation est similaire à ce qui s’est passé en 2017 et à l’utilisation par le gouvernement précédent de logiciels malveillants ciblant des pays spécifiques, tel que l’utilisation américaine du logiciel malveillant Stuxnet contre les installations nucléaires iraniennes a vu la propagation de logiciels malveillants en dehors du pays ciblé.
Il existe un risque ÉLEVÉ pour les gouvernements et les organisations du secteur privé directement impliqués en Europe dans la fourniture d’un soutien logistique à l’Ukraine avec des rapports d’adresses courriel ukrainiennes compromises utilisées dans des campagnes d’hameçonnage pour cibler ces organisations.
Le risque d’activité cybercriminel affiliée à la Russie, y compris les rançongiciels, est ÉLEVÉ. Une entreprise canadienne de défense et de TI a été frappée par le groupe organisé de rançongiciel Conti la semaine dernière. Je crois qu’une autre cible clé pour les groupes criminels sera les échanges de cryptomonnaies. Ces cibles ont été populaires auprès d’autres régimes hautement sanctionnés tels que la Corée du Nord comme un moyen de générer de l’argent pour leur pays.
Ce que les organisations et les individus peuvent faire
1. Si votre organisation n’a pas encore déployé l’authentification multifactorielle (AMF) pour 100 % de ses membres et sur toutes ses applications essentielles, le moment est venu de le faire. Surveillez également toutes les connexions à partir d’emplacements inhabituels, et ce même si l’AMF est activée. Alors que l’AMF réduit les risques de certaines attaques de 99,9 %, certains groupes criminels ont trouvé des moyens d’inciter les utilisateurs à autoriser les connexions.
2. Utilisez des mots de passe forts et uniques pour chaque site en ligne que vous utilisez, y compris vos comptes de médias sociaux. Nous encourageons les organisations et les particuliers à utiliser une application de gestion des mots de passe pour alléger le fardeau de la création et de la mémorisation de nombreux identifiants de connexion.
3. Effectuer régulièrement des tests de simulation d’hameçonnage, au moins à une cadence mensuelle. Assurez-vous d’avoir un moyen facile pour les membres de l’équipe de signaler les courriels suspects et de fournir des commentaires pour les aider à reconnaître et à signaler les tentatives d’hameçonnage futures.
4. Installez tous les derniers correctifs sur vos appareils et systèmes et maintenez les logiciels antivirus à jour. Les attaques majeures au rançongiciel se produisent via les médias sociaux et les appareils connectés à l’Internet qui n’ont pas été mis à jour. Informer votre équipe et installer les correctifs sur vos appareils vous permet de réduire ce risque.
5. Désignez une équipe d’intervention en cas d’incident. Pratiquez votre plan avec votre équipe en fonction de scénarios tels que ce que vous feriez en cas d’attaque au rançongiciel.
Vous pouvez rester informé en examinant l’information fournie par des organismes gouvernementaux comme le Centre canadien de cybersécurité et la Critical Infrastructure Security Agency des États-Unis. Nous fournirons des mises à jour régulières sur la situation et des mises à jour de notre évaluation des risques à mesure que la situation évolue.
Ressources utiles
Voici une liste de ressources pour aider à tenir les gens au courant des derniers développements en matière de rançongiciels, de cyberattaques et d’autres nouvelles cybernétiques :
Sources américaines (en anglais) :
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
https://www.cisa.gov/uscert/ncas/alerts/aa22-011a
https://www.cisa.gov/stopransomware
Sources canadiennes :
https://cyber.gc.ca/fr/avis/activites-perturbatrices-contre-des-organisations-ukrainiennes
Se tenir au courant
Pendant cette période d’incertitude, il est important de rester concentré sur les tâches qui sont sous votre propre contrôle. Parlez aux membres de votre équipe, car plusieurs d’entre eux seront touchés par ce que ce conflit signifie, et trouvez des moyens de soutenir les initiatives lorsque vous le pouvez.
Nous offrons une variété de cours gratuits. N’hésitez pas à communiquer avec nous si vous désirez obtenir plus d’information.
Restez en sécurité.
David Shipley
PDG, Beauceron Security Inc.
Global Impact Insights: Cómo protegerse a sí mismo y a su organización durante estos tiempos inciertos
Una carta de nuestro CEO:
Lo que necesitas saber sobre la invasión rusa de Ucrania
Las capacidades militares y de espionaje del gobierno ruso en el ciberespacio son significativas. Durante la última década, el equipo ruso de piratería Sandworm, una unidad cibernética de su GRU, fue responsable de dañar servicios eléctricos en Ucrania en 2015 y 2016. En 2017, el grupo lanzó el software malicioso o malware NotPetya.
NotPetya se diseñó para parecerse a un ataque de ransomware que las organizaciones se habían acostumbrado a reconocer, sin embargo, el malware era mucho más destructivo. En lugar de cifrar los datos que se liberarían tras el pago, NotPetya destruyó los datos sin posibilidad alguna de recuperarlos con el pago de un rescate.
Antes de su invasión física a Ucrania, el gobierno ruso lanzó ataques cibernéticos contra el sector militar y financiero de Ucrania, incluida la desaceleración de los servicios de Internet que impedían a los usuarios acceder a los servicios esenciales.
Rusia también desplegó software malicioso similar a NotPetya que hizo que las computadoras y dispositivos ucranianos infectados perdieran toda funcionalidad. Las organizaciones a las que se dirigieron incluyen sistemas gubernamentales, empresas de TI y organizaciones sin fines de lucro.
Las campañas masivas de phishing basado en correo electrónico también se dirigieron al ejército, el gobierno y los ciudadanos ucranianos con el objetivo de capturar credenciales de correo electrónico y redes sociales para secuestrar esas cuentas y difundir información falsa y continuar suplantando a otras personas.
Rusia tiene un sofisticado sistema de desinformación e información falsa impulsado por las redes sociales que se ha utilizado para generar propaganda sobre el conflicto en Ucrania, así como para crear agitación social en los países occidentales en torno a otros temas con fuerte carga política. Estas campañas juegan con las emociones de miedo, ira y frustración de las personas, entre otras, con el objetivo de causar confusión y anomalías.
Mi perspectiva sobre el ambiente amenazante
Mi evaluación actual es que las operaciones cibernéticas oficiales respaldadas por el estado ruso dirigidas intencionalmente a países occidentales u organizaciones del sector privado con malware destructivo o lanzando ataques importantes a infraestructura crítica o utilizando ataques de denegación de servicio son BAJAS.
Creo que el riesgo de impactos involuntarios de los ciberataques con sede en Rusia es MODERADO. Esto es similar a lo que sucedió en 2017 y el uso gubernamental de malware dirigido a países específicos, como el uso estadounidense del malware Stuxnet contra instalaciones nucleares iraníes que vio la propagación de malware fuera del país objetivo.
Existe un riesgo ELEVADO para los gobiernos y las organizaciones del sector privado directamente involucradas en Europa en la prestación de apoyo logístico a Ucrania con informes de direcciones de correo electrónico ucranianas comprometidas que se utilizan en campañas de phishing para atacar a estas organizaciones.
El riesgo de actividad cibercriminal afiliada a Rusia, incluido el ransomware, es ELEVADO. Una compañía canadiense de defensa y TI fue golpeada por la banda de ransomware, Conti la semana pasada. Creo que otro objetivo clave para los grupos criminales serán los intercambios de criptomonedas. Estos objetivos han sido populares en otros regímenes altamente sancionados, como Corea del Norte, como una forma de generar dinero para su país.
Lo que las organizaciones y los individuos pueden hacer
1. Si tu organización aún no ha implementado la autenticación multifactor (MFA) para el 100% de sus miembros y todas sus aplicaciones críticas, ahora es el momento de hacerlo. También debes supervisar los inicios de sesión desde ubicaciones inusuales, incluso con MFA habilitado. Si bien MFA reduce los riesgos de ciertos ataques en un 99.9%, algunos grupos criminales han encontrado formas de engañar a los usuarios para que autoricen los inicios de sesión.
2. Usa contraseñas seguras y únicas para cada sitio en línea que utilices, incluidas las cuentas de redes sociales. Alentamos a las organizaciones e individuos a utilizar una aplicación de administrador de contraseñas para aliviar la carga de crear y recordar numerosas credenciales de inicio de sesión.
3. Realiza pruebas regulares de simulación de phishing, al menos con una cadencia mensual. Asegúrate de tener una manera fácil para que los miembros del equipo denuncien correos electrónicos sospechosos y proporcionen comentarios para ayudar a que reconozcan y denuncien futuros intentos de phishing.
4. Parchea tus dispositivos y sistemas, y mantén actualizado el software antivirus. Los principales ataques de ransomware ocurren a través de las redes sociales y dispositivos orientados a Internet sin parches. Educar a tu equipo y parchar sus dispositivos puede reducir este riesgo.
5. Designa un equipo de respuesta a incidentes. Practica el plan con tu equipo en función de situaciones hipotéticas como lo que harías en caso de un ataque de ransomware.
Puedes mantenerte informado revisando la información proporcionada por agencias gubernamentales como el Canadian Cyber Centre y la Critical Infrastructure Security Agency de los Estados Unidos. Proporcionaremos actualizaciones periódicas sobre la situación y actualizaciones de nuestra evaluación de riesgos a medida que evolucione la situación.
Recursos útiles
Aquí te dejamos una lista de recursos para ayudar a mantener a las personas al tanto y actualizadas con los últimos desarrollos en ransomware, ataques cibernéticos y otras noticias cibernéticas:
Recursos estadounidenses:
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
https://www.cisa.gov/uscert/ncas/alerts/aa22-011a
https://www.cisa.gov/stopransomware
Recursos canadienses:
https://cyber.gc.ca/en/alerts/disruptive-activity-against-ukrainian-organizations
Mantenerse al tanto
Durante estos tiempos de incertidumbre, es importante mantenerte enfocado en las tareas que están bajo tu control. Habla con tu equipo, a muchos se les estará complicando entender lo que significa este conflicto, encuentra formas de apoyar las iniciativas donde puedas.
Tenemos una variedad de cursos gratuitos disponibles, si quieres más información, no dudes en comunicarte con nosotros.
Mantente a salvo.
David Shipley
CEO, Beauceron Security Inc.