Tous les articles par admin

Passionner l'informatique, nous travaillons dans la sécurité informatique afin de proposer des conseils à nos lecteurs pour qu'ils évitent de se faire pirater leurs comptes et leurs mots de passe.

Quand un programme malveillant copie un autre pour plus d’efficacité

Maze est un célèbre ransomware qui a été impliqué dans beaucoup d’attaques informatiques au cours de l’année dernière et cette année, en particulier celle qui a affecté le géant Français Bouygues.

Mais les éditeurs de ce programme ont décidé de passer à la vitesse supérieure. En effet ce célèbre rançongiciel copie le système de camouflage utilisé par un autre célèbre de son genre, Ragnar Locker. Ce camouflage permet au rançongiciel d’être difficilement détectable sachant qu’il se cache derrière une machine virtuelle. Ce qui empêche les systèmes de détection standard de s’apercevoir de sa présence.

Cet article va aussi vous intéresser : Attaque de Bouygues construction : 3 choses à savoir

Cette nouvelle technique employée par les éditeurs de maze a été découverte par la société britannique de cybersécurité Sophos durant le mois de juillet. Et cela suite à une tentative d’intrusion qui a vite été interceptée. Le groupe de cybercriminel derrière cette tentative n’a pas encore été détecté.

On retiendra alors que les cybercriminels disposent dorénavant de plus de moyens qui leur permet de disséminer plus facilement leur rançongiciel. Du moins, c’est ce qui semble évident avec la découverte de se Sophos. Une découverte qui est survenue 4 mois après l’utilisation de cette technique par Ragnar Locker. La technique permet aux éditeurs de logiciels de rançonnage de dissimuler leur programme malveillant derrière des machines virtuelles. Ce qui empêche les programmes de sécurité que la cible de les détecter plus facilement. Le cas devient alors compliqué lorsqu’on sait à quel point le rançongiciel Maze à été impliqué dans la cyberattaque de plusieurs grosses entreprises à travers le monde à savoir le géant coréen LG, Bouygues construction, Leon Grosse, Canon, Xerox, Cognizant, SK Hynix…

« Lors de l’incident Maze, les acteurs de la menace ont distribué la charge utile de chiffrement de fichier du ransomware sur le disque dur virtuel de la machine virtuelle (un fichier d’image de disque virtuel Virtual Box .vdi), qui a été livré dans un fichier d’installation Windows .msi de plus de 700 Mo en taille », explique la spécialiste de la sécurité Sophos dans un billet de blog. « Les attaquants ont également regroupé une copie épurée, vieille de 11 ans, de l’hyperviseur Virtual Box dans le fichier .msi, qui exécute la VM comme un terminal non déterminé, sans interface utilisateur. » ajoute t’elle. Cependant, cela est différent la tactique qui a été utilisée lors de l’attaque du géant portugais de l’énergie EDP, avec le logiciel Ragnar Locker. Ici, le programme malveillant avait été déployé dans une machine virtuel sur Windows 10.

La société Britannique de sécurité informatique Sophos a expliqué avoir découvert la nouvelle technique le des simulations du rançongiciel Maze lors d’une enquête mini durant le mois de juin après qu’une organisation ait été ciblées par une attaque informatique. Le montant de la rançon exigée par les cybercriminels était à hauteur de 15 millions de dollars. Alors, on peut imaginer que c’est une grosse organisation qui a été attaquée même si Sophos se garde de donner son nom. Les cybercriminels ont tendance à adapter le prix en fonction de leur cible. « L’enquête a également révélé plusieurs scripts d’installation qui ont révélé les tactiques des attaquants et ont révélé qu’ils avaient passé des jours à se préparer à lancer le ransomware en créant des listes d’adresses IP à l’intérieur du réseau de la cible, en utilisant l’un des serveurs de contrôleur de domaine de la cible et en exfiltrant données au fournisseur de stockage cloud Mega.nz », note Sophos.

D’après cette dernière, le pirate informatique a réussi leur coup après avoir réussi plus de 3 fois. Car les deux premières tentatives ont échoué. Ils avaient essayé de lancer des fichiers exécutables de leur programme malveillant en utilisant les tâches planifiées de Windows Update Security Patches et Google Chrome Security Update ou Windows Update Security. Selon les explications de Sophos : « La machine virtuelle a apparemment été configurée à l’avance par quelqu’un qui savait quelque chose sur le réseau de la victime, car son fichier de configuration (« micro.xml ») mappe deux lettres de lecteur qui sont utilisées comme lecteurs réseau partagés dans cette organisation particulière, vraisemblablement ainsi peut crypter les fichiers sur ces partages ainsi que sur la machine locale. Il crée également un dossier dans C: \ SDRSMLINK \ et partage ce dossier avec le reste du réseau ». La société de sécurité informatique explique que : « À un moment donné (on ne sait pas quand et comment, exactement, cela a été accompli), le logiciel malveillant a écrit également un fichier nommé startup_vrun.bat. Nous avons trouvé ce fichier dans c: \ users \ Administrator \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Startup, ce qui signifie qu’il s’agit d’un mécanisme de persistance qui repose sur le redémarrage de l’ordinateur avant que les attaquants ne lancent le malware. ». Le script a permis aux cybercriminels de mettre une commande afin de stopper l’ordinateur immédiatement après avoir copié 3 fois le même fichier, qui se trouvait dans la racine du disque. Les pirates informatiques ont attendu que la machine soit rallumée pour que le script s’exécute et produit les conséquences qui ont suivi.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Un incident informatique entraîne la divulgation par erreur du statut infecté de patients au CoVid-19

L’affaire débute lorsqu’un individu de nationalité française reçoit par erreur un courrier électronique qui à la base ne lui était pas destiné.

Le courrier en question contenait des informations sensibles concernant d’autres personnes. Interrogé sur la question, l’assurance maladie a assuré que cet incident est totalement isolé et sans précédent. L’Agence a mentionné le fait qu’elle développe constamment les outils informatiques pour s’assurer que ce genre de choses n’arrivent pas. Cependant, l’incident a mi en évidence une défaillance notoire du processus de sécurisation des transactions électroniques. Surtout ce qui concerne le suivi et la protection des identités des personnes touchées par le covid-19.

Cet article va aussi vous intéresser : Un outil pour lutter contre les failles de sécurité affectant les robots industriels

On se rappelle que le 14 septembre dernier, un citoyen Français du nom de Antoine signalait une fuite de données assez surprenante. Il reçoit un courrier électronique dans un espace sécurisé un document PDF. Ces documents contenaient les informations de 3 personnes atteintes du CoVid-19.

Le plus embarrassant dans cette histoire, c’est que les documents qu’il reçoit contiennent des informations très détaillé de l’identité des personnes. On parle notamment d’informations telles que les noms et prénoms, des adresses géographiques, des numéros de sécurité sociale. Avec la mention que ces personnes étaient touchées par le covid-19. La question qui se pose légitimement dans ce contexte de savoir qu’est-ce qui est arrivé et comment ces données ont pu atterrir dans l’espace sécurisé de l’individu.

« Le courrier, reçu après avoir été déclaré positif à Covid-19, contient le prénom, le nom, l’adresse et le numéro de sécurité sociale de l’assuré. Antoine en a reçu trois qui ne lui étaient pas destinés » précise le média ligne Numerama. 5 minutes après avoir été prévenu de l’incident, l’institution a automatiquement réagi. L’assurance maladie a signifié avoir même lancé une enquête en interne pour découvrir d’où venait le problème. Elle réagit juste le lendemain à travers un courriel qui note ceci : « L’incident n’est pas dû à une faille de la sécurité informatique du compte Amélie ou du système informatique de l’Assurance Maladie, mais à une manipulation inappropriée d’un agent lors du chargement du courrier destiné à l’assuré. Il ne s’agit en aucun cas d’un problème généralisé ou fréquent. ».  Elle ajoute par la suite qu’elle allait contacter les 3 personnes dont les données ont été divulguée par erreur. Que si elle a tardé avant de les informer du problème, c’est que l’erreur n’aurait pas été vite aperçue. : « Votre signalement nous conduit naturellement à mettre en œuvre l’ensemble des obligations prévues par le Règlement général sur la protection des données dans l’intérêt de la protection des droits des personnes concernées. ». La notification aux personnes victimes des fuites de données est il faut le noter, une exigence prévue par le règlement général des données personnelles européen. Il a aussi exigé de le prévoir auprès de la CNIL

L’erreur puise sa source certainement dans le fait que Antoine, le citoyen qui a reçu les informations, avait aussi passer un test en laboratoire dans le but de connaître son statut face au CoVid-19. Ce dernier ayant été beaucoup en contact avec des personnes testées positives au CoVid-19. Évidemment son test j’ai aussi positif. Alors il reçoit un appel de la part de la brigade CoVid-19, une section de l’Assurance maladie, dans le but est de conseiller sur la conduite à tenir ainsi que de savoir les personnes avec qui il a pu être en contact, les personnes qui l’a côtoyé pendant les 5 jours qui ont précédé son test. 2 jours plus tard dans un courrier de rappel de respect des mesures barrière, l’Assurance maladie commet l’erreur de joindre à ce dernier courrier d’autres documents n’appartenant pas au citoyen. « Vu la sensibilité des données qui sont manipulées, la simple éventualité que l’erreur d’une seule personne puisse aboutir à ce genre d’incident ne devrait pas exister. Ici, un opérateur a probablement oublié d’ouvrir un fichier PDF différent pour chaque courrier, et les a à tort regroupés, sans s’en rendre compte. Cela signifierait que ce processus d’envoi d’email n’est pas automatisé, alors que le document est le même pour tous — il pourrait donc s’agir d’une procédure technique assez simple à mettre en place pour limiter les risques d’une erreur humaine » décrit Numérama.

Cette affaire sera notamment anecdotique. Si elle est grave parce que des données aussi sensibles ont pu être transmises à des individus autres que les véritables titulaires, il n’en demeure pas moins que l’impact a été assez moindre et facilement gérable. Le plus important est de trouver moyen d’éviter que cela n’arrive à nouveau. Pour cela l’assurance maladie assure : « L’éventualité d’un tel incident a déjà été identifiée. Pour y remédier, une solution technique est en cours de développement afin que ce type d’anomalie ne se reproduise plus. ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les utilisateurs de Google Drive exposés à des pirates informatiques par le biais d’une faille de sécurité

L’information est tombée durant la semaine dernière.

Les utilisateurs de service de stockage Cloud de Google, le Google cloud, sont exposés à de potentielles cyberattaques. La raison : une faille de sécurité qui permettrait aux cybercriminels de propager facilement des malwares sur le Drive.

Cet article va aussi vous intéresser : Un virus informatique pour les vols de données sur le Cloud

Comme on le sait, la plateforme de stockage de Google est prisée par bon nombre d’internautes. À cause peut-être de Google Chrome, de Gmail et aussi d’Android, une très grande partie des utilisateurs des solutions numériques utilise sciemment ou inconsciemment Google Drive pour stocker certaines informations. Pourtant, un chercheur en sécurité informatique du nom de A. Nikoci a découvert une vulnérabilité qui touche le service de stockage Cloud de géant américain. Selon les explications de ce dernier, les pirates informatiques en effet pourraient profiter de cette ouverture pour propager des programmes malveillants aux utilisateurs si ces derniers ne font pas suffisamment attention au processus, lorsqu’ils partagent des fichiers à travers la fonction de Google Drive : « partage de fichiers ».

Apparemment, la sécurité de cette fonctionnalité serait assez faible tel que décrit par le chercheur en sécurité informatique lors d’une interview accordée au site The Hacker News. Ce dernier affirme que le géant américain n’a pas installé de système permettant de vérifier que lors des partages de fichiers, ce dernier n’est pas été échanger en cours de transaction. En d’autres termes, lors de transfert de fichier via Google Drive, le système vérifie seulement le lien de partage qui a été créé. Il ne vérifie plus la continuité de la transaction. Ce qui permet à une personne de mauvaise intention, de tout simplement remplacer le fichier qui doit être transmis par un autre vérolé, et cela sans que le lien de partage ne soit changé. La technique est assez parfaite, car il sera simple de faire télécharger un logiciel malveillant en échange ou d’un document légitime. Et cela, ni Google, ni la personne ciblée ne pourra s’en rendre compte, car l’aperçu du fichier ne changera aucunement.

Cependant, il faut mentionner un bémol. Exploiter une telle faille de sécurité et assez faible en terme de potentiel. Surtout s’il s’agit du partage de fichier entre des personnes de confiance. Mais il n’en demeure pas moins que le risque devient assez véritable lorsque le fichier qui doit être partagé se trouvant sur internet. Et peu importe le site, qu’il soit spécialisé, un forum ou même réseau social. Car à tout moment le lien pourra alors être vérolé à l’insu même de la personne concernée.

Ce qui signifie qu’il faudra faire très attention aux différents liens de partage sur Google Drive. En particulier si vous visiter un site tiers dont vous ne n’avez pas suffisamment d’informations ni de connaissances. Google a déjà été averti de la faille de sécurité. Vraisemblablement, un correctif de sécurité ne tardera pas sûrement. Pendant ce temps-là, il est demandé aux utilisateurs de Google cloud de faire plus attention lors des partages de fichiers.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Un groupe de cybercriminels qui serait affilié au gouvernement Iranien est sanctionné par le régime Américain

L’OFAC (Office of Foreign Assets Control), le département du Trésor Américain a déclaré la semaine dernière qu’il impose des sanctions au groupe de cybercriminels APT39.

Selon ce dernier, ces cybercriminels seraient affiliés au gouvernement Iranien, à une société écran et 45 personnes physiques. Dans son récent communiqué on peut lire ceci : « Masqué derrière sa société écran, Rana Intelligence Computing Company (Rana), le gouvernement iranien (GOI) a mené une campagne de logiciels malveillants qui a duré des années qui ciblait des dissidents iraniens, des journalistes et des entreprises internationales du secteur du voyage.

Cet article va aussi vous intéresser : Le département de la sécurité intérieure Américain touché par une vulnérabilité sévère

Parallèlement à l’action de l’OFAC, le Federal Bureau of Investigation (FBI) des États-Unis a publié des informations détaillées sur APT39 dans une alerte de renseignement public ». L’administration américaine ajoute par la suite : « Le régime iranien utilise son ministère du renseignement comme un outil pour cibler des civils et des entreprises innocentes et faire avancer son programme de déstabilisation dans le monde entier », a déclaré le secrétaire au Trésor Steven T. Mnuchin. « Les États-Unis sont déterminés à contrer les cyber-campagnes offensives conçues pour compromettre la sécurité et infliger des dommages au secteur du voyage international. »

Cette décision est saluée par bon nombre de personnalités de la classe politique américaine, à savoir le secrétaire d’État américain, Mike Pompeo. Ce dernier dans un tweet récemment saluait l’initiative de l’Office of Foreign Assets Control : « Aujourd’hui, les États-Unis ont sanctionné 47 personnes et entités iraniennes impliquées dans le réseau mondial de cybermenaces du régime iranien. Nous continuerons à dénoncer le comportement néfaste de l’Iran et nous ne reculerons jamais en protégeant notre patrie et nos alliés contre les pirates iraniens. »

En l’espèce, l’administration américaine du Trésor signifiait dans son communiqué : « Rana fait progresser les objectifs de sécurité nationale iranienne et les objectifs stratégiques du ministère iranien du renseignement et de la sécurité (MOIS) en menant des campagnes d’intrusions informatiques et de logiciels malveillants contre des adversaires présumés, y compris des gouvernements étrangers et d’autres personnes que le MOIS considère comme une menace. APT39 est en cours de désignation conformément à E.O. 13553 pour être détenu ou contrôlé par le MOIS, qui avait été précédemment désigné le 16 février 2012 en vertu des décrets 13224, 13553 et 13572, qui ciblent respectivement les terroristes et les responsables de violations des droits de l’homme en Iran et en Syrie. » par ailleurs : « Les 45 personnes désignées ont occupé diverses fonctions tout en étant employées chez Rana, notamment en tant que gestionnaires, programmeurs et experts en piratage informatique. Ces personnes ont apporté leur soutien aux cyber-intrusions du MOIS visant les réseaux d’entreprises internationales, d’institutions, de transporteurs aériens et d’autres cibles que le MOIS considérait comme une menace » ajoute le Trésor américain.

L’administration notera qu’une intervention de la police fédérale américaine, le FBI, a été nécessaire pour contrer les velléités de ce groupe de cybermalveillants. D’ailleurs, Christopher Wray, le directeur du Fédéral Bureau of investigations (FBI) déclare à cet effet : « Le FBI, par le biais de notre Division Cyber, s’est engagé à enquêter sur les cyber-campagnes malveillantes et à les interrompre, et à collaborer avec nos partenaires du gouvernement américain pour imposer des risques et des conséquences à nos cyber-adversaires.

Aujourd’hui, le FBI publie des indicateurs de compromis attribués au MOIS iranien pour aider les professionnels de la sécurité informatique partout à protéger leurs réseaux contre les actions malveillantes de cet État-nation ». Il a souligné aussi : « Le MOIS iranien, par l’intermédiaire de sa société écran Rana, a recruté des personnes hautement qualifiées et transformé leurs cyber-talents en outils pour exploiter, harceler et réprimer leurs concitoyens et d’autres personnes considérées comme une menace pour le régime. Nous sommes fiers de nous joindre à nos partenaires du Département du Trésor pour dénoncer ces actions. Les sanctions annoncées aujourd’hui tiennent ces 45 personnes pour responsables du vol de données non seulement sur des dizaines de réseaux ici aux États-Unis, mais aussi sur des réseaux dans les pays voisins de l’Iran et dans le monde ».

Selon le département du Trésor américain, le groupe de cybercriminels est camouflé derrière l’entreprise dénommée Rana. L’administration financière affirme que ces derniers ont utilisé durant les derniers mois plusieurs outils de cyber intrusion dans le but de cibler et de surveiller des citoyens Iraniens vivant sur le sol des États-Unis en particulier des journalistes ou des personnes dissidentes. Au regard des actes de cybermalveillance avérés selon elle, l’administration américaine prononce une sanction à l’égard des biens détenus par ces derniers. À ce sujet on pourrait lire dans son communiqué : « tous les biens et intérêts dans la propriété des personnes physiques et morales ci-dessus, et de toute entité qui leur appartient, directement ou indirectement, à 50% ou plus, individuellement ou avec d’autres personnes bloquées, qui se trouvent aux États-Unis ou qui sont en possession ou sous le contrôle de personnes américaines, sont bloquées et doivent être signalées à l’OFAC. Sauf autorisation par une licence générale ou spécifique délivrée par l’OFAC ou autrement exemptée, la réglementation de l’OFAC interdit généralement toutes les transactions par des personnes américaines ou à l’intérieur (ou en transit) des États-Unis qui impliquent des biens ou des intérêts dans la propriété de personnes désignées ou autrement bloquées. Les interdictions comprennent la contribution ou la fourniture de fonds, de biens ou de services par, à ou au profit d’une personne bloquée ou la réception de toute contribution ou fourniture de fonds, biens ou services d’une telle personne. ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Le phishing ou la problématique d’une menace persistante

Aujourd’hui l’hameçonnage reste un classique, en matière d’acte de cybermalveillance.

C’est le piratage informatique et généralement identifié à des actes des infiltrations, on oublie souvent que la majorité des attaques informatiques, ne sauraient aboutir sans au préalable quelques campagnes de phishing à la clé. En effet, cette technique assez simpliste, présente une efficacité redoutable pour ce qui est de récolter des données personnelles. Et cela, sans oublier qui que ce soit, les cybercriminels à travers l’astuce arrive à pousser l’internaute à lui-même donné ses informations.

Cet article va aussi vous intéresser : Adopter une attitude réfléchie face au phishing

Récemment une entreprise spécialisée dans la sécurité des courriers électroniques à produire un rapport sur l’état des pratiques Informatiques à l’épreuve du phishing, le rapport se fonde sur une étude réalisée près de 317 professionnels de l’informatique et de la sécurité aux États-Unis. On retient de ce rapport que :

– La moitié des personnes interrogées en affirmant que leur entreprise a observé une augmentation des campagnes de phishing surtout, depuis que le coronavirus est devenu officiellement une pandémie

– Un tiers de professionnel déclare que les attaques informatiques par le biais de fichier sont devenues plus efficace depuis le mois de janvier

– Dans l’ensemble, sur 187 attaques de phishing par mois, seulement un seul était stoppé ou même constaté, ce qui fait en moyenne 40 par jour

– Les répondants ont estimé que 6 % des attaques de phishing peuvent aboutir à des violations des données ou de système.

L’Entreprise de protection des systèmes de courriers Informatiques GreatHorn note que les ont améliorés grandement leur manière de gérer les campagnes de phishing. Leur temps de réaction s’est significativement amélioré :

– Selon 40 % des répondants, il faudrait moins d’une heure pour traiter une attaque de type hameçonnage pendant que 15 pourcents de répondants ont signifié qu’il faudrait entre un et quatre jours pour répondre efficacement à ce problème

– Selon 38 % des répondants, au moins une personne a été touché par une campagne de phishing dans leur entreprise

– La majorité des répondants ont estimé que l’âge des employés n’a aucun impact sur ce genre d’attaque

– 62 % des professionnels interrogés estimer que quel que soit l’âge de l’internaute ou du collaborateur, les risque d’être touché par une attaque de type phishing est le même.

Contrairement à la croyance populaire selon laquelle l’employé est généralement le maillon faible de la cybersécurité en entreprise, les professionnels interrogés dans le cadre de l’étude, en majorité ont reconnu que les responsables des entreprises en l’occurrence les PDG sont beaucoup plus susceptibles d’être les points faibles de la sécurité, surtout face à l’hameçonnage. En effet, selon 56 % des professionnels interrogés, les cadres en entreprise sont généralement les principales cibles. Alors que seuls 51 % ont estimé que les employés débutant pourraient être les principaux problèmes.

40 % des professionnels estiment que le blâme pour avoir été victime d’une attaque par phishing avec une mauvaise répercussion sur l’employé. Ces derniers estiment que cela : « rejaillissait mal sur l’employé ». À ce propos, 29 % affirme que les équipes de sécurité doivent être considéré comme coupable en partie lorsque survient une attaque de ce genre.

Pour ce qui concerne généralement les sensibilisations ainsi que leur impact dans la lutte contre la cybercriminalité, 75 % des professionnels interrogés ont estimé que leur organisation organisait régulièrement des sessions de formation. Cependant, ces sessions ne semblent pas suffire car elle manque de récurrence. Un tiers des organisations le ferai une fois par an, et 30 % seulement le ferait à chaque semestre. Alors leur efficacité peut être mise en cause pour une si faible fréquence. Selon 36 pourcents de personnes interrogées, il n’est pas sûr que leurs collègues soient en mesure de repérer et de se débarrasser d’un courriel des phishing.

Par ailleurs malgré l’augmentation des attaques basée sur le phishing, 51 % des professionnels en destiny que leur budget de sécurité n’a pas été revu à la hausse même durant la pandémie à coronavirus. Certains même ont mentionné une réduction.

« Avec une part aussi importante de ces attaques qui aboutissent, le temps perdu pour y remédier peut avoir un impact négatif sur la productivité et la rentabilité. À l’heure actuelle, il est plus important que jamais que les entreprises fournissent à leurs employés les connaissances et les outils nécessaires pour reconnaître et repousser les attaques de phishing », a souligné Kevin O’Brien, PDG de GreatHorn.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage