Tous les articles par admin

Passionner l'informatique, nous travaillons dans la sécurité informatique afin de proposer des conseils à nos lecteurs pour qu'ils évitent de se faire pirater leurs comptes et leurs mots de passe.

TrickBot selon AdvIntel

Récemment dans un rapport publié par la société AdvIntel, il a été observé le mouvement d’un nouveau module TrickBot, appelé par les chercheurs « PermaDll32 ».

Ce nom a attiré l’attention des chercheurs car il paraissait être un dérivé de l’expression « permanent », c’est qu’il a fait penser à un module qui pourrait causer des effets de type persistant.

Cet article va aussi vous intéresser : L’UEFI : cible persistante de TrickBot

Selon l’analyse des chercheurs sécurité informatique, ce module avait la fonctionnalité de lire les informations présentes dans le microprogramme BIOS et aussi dans le programme UEFI, lorsqu’il arrivait infecté de machines. « Ce code de bas niveau est stocké dans la puce de mémoire flash SPI de la carte mère d’un ordinateur et est responsable de l’initialisation du matériel pendant le processus de démarrage et de la transmission du contrôle au système d’exploitation. » explique Lucian Constantin, CSO.

La découverte a été faite par les chercheurs de AdvIntel et de Eclypsium, qui est connu possédée une spécialisation dans la sécurité des firmwares. Les deux sociétés se sont associées pour mieux analyser le récent module de TrickBot et déterminer ce à quoi il pourrait bien servir. Selon cette enquête : « le module PermaDll32 déploie un pilote appelé RwDrv.sys » qui vient de RWEverything, un programme gratuit assez populaire ayant la fonctionnalité de permettre à ses utilisateurs de lire et d’écrire dans les micrologiciels des composants matériels, c’est compris le contrôleur SPI présent pour l’UEFI.

« Le module TrickBot utilise cette capacité pour identifier la plateforme matérielle Intel sous-jacente, vérifier si le registre de contrôle du BIOS est déverrouillé, et si la protection en écriture BIOS / UEFI est activée. Pour que la chaîne de démarrage complète soit sécurisée, le micrologiciel UEFI doit être protégé en écriture, mais les fabricants OEM d’ordinateurs ont souvent laissé cela mal configuré dans les systèmes par le passé. » explique Lucian Constantin. Cette fonctionnalité a permis à des groupes des pirates informatiques spécialisés dans le cyber espionnage de déployer les logiciels malveillants furtifs. « Je pense qu’il y a probablement des millions d’appareils vulnérables à ce problème encore sur le terrain », a expliqué à CSO Jesse Michael, chercheur principal pour Eclypsium. « Je n’ai pas le nombre d’appareils visés, mais c’était une chose très courante avant 2017 et même après 2017, nous voyons encore certains appareils sortant d’usine livrés avec cette vulnérabilité. Les fournisseurs de premier plan font ce qu’ils peuvent pour combler ce trou de sécurité », ajoute-il.

Le problème est bien connu. On rappelle qu’une faille semblable avait été exploité dans le passé. Cela a servi à des cybercriminels à déployer des implants UEFI par les pirates informatiques du groupe APT 28 à travers l’attaque LoJax ou encore avec les pirates informatiques de MossaicRegressor.u plus récemment. Pourtant, il demeure de nombreuses failles de sécurité UEFI et plusieurs erreurs de configuration au niveau des matériels qui sont constamment signaler depuis maintenant des années. Des vulnérabilités qui pourraient être exploitées par TrickBot plus tard.

« Les implications pour la sécurité nationale résultant d’une campagne de malware généralisée capable de brancher des appareils sont énormes », avertissent les chercheurs. « Le module TrickBoot cible tous les systèmes Intel produits au cours des cinq dernières années. D’après l’analyse Eclypsium, la plupart de ces systèmes restent vulnérables à l’une des multitudes de vulnérabilités de micrologiciel actuellement connues, avec une plus petite proportion susceptible d’être sensibles au problème de mauvaise configuration ».

La meilleure manière de se protéger contre les attaques des genres et bien sûr de faire constamment les mises à jour du BIOS / UEFI. Au fur et à mesure les vulnérabilités connues sont en train d’être corrigées. Il est important de faire les mises à jour car ce sont des choses qui sont pour la plupart négligées. Une routine simple mais sans savoir pourquoi est difficilement respecté par les entreprises.

« Souvent, les gens se concentrent sur les mises à jour du système d’exploitation et négligent les mises à jour du micrologiciel », note Jesse Michael. « Vous avez donc peut-être une mise à jour du micrologiciel pour votre système que vous pouvez déployer pour résoudre ce problème, mais comme vous ne l’avez pas, parce que vous n’incluez pas les mises à jour du micrologiciel dans vos opérations informatiques normales, vous mettez plus de temps pour les appliquer. A titre préventif vous devez inclure les mises à jour du micrologiciel dans vos processus normaux ».

Il est possible de résoudre ce problème. Cependant, il faudra résoudre d’abord un autre celui du manque de visibilité des problèmes liés au micrologiciel, lors de l’analyse des vulnérabilités.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Cyberattaques 2020 : toujours plus de victimes

Le nombre de victimes d’attaques informatiques ne cesse de croître.

Depuis le début de l’année, le secteur de l’informatique n’a pas cessé d’être alerté et ballotté. Avec la pandémie à coronavirus, les cybercriminels sont passés à la vitesse supérieure. Les demande de rançon se sont multipliées. Les Attaques sont devenues beaucoup plus pertinente qu’avant. Si 2019 avait été désigné comme l’année des rançongiciels, il est clair que 2020 avec tout ce qui se passe l’a nettement détrôné. En effet selon l’agence nationale de sécurité de système d’information, on assiste à une « augmentation sans précédent » de l’utilisation du ransomware.

Cet article va aussi vous intéresser : L’année 2020 compte déjà deux fois plus d’attaques que 2019 selon l’ANSSI

Lors de son échange avec le sénat, Guillaume Poupard, le patron de l’Agence nationale de sécurité des systèmes d’information, a noté que les attaques au rançongiciels en 2020 en France, se multiplient par « trois ou quatre ». Il notait que « C’est quelque chose de particulièrement inquiétant ». Selon ce dernier, il n’y a rien qui permet de dire que ce problème baisser en intensité à court terme. En effet, en observant de plus près on se rencontre que le nombre d’entreprises touchées par les cyberattaques continue de monter en flèche. Chaque semaine une victime nouvelle est signalée.

On compte parmi les victimes en non seulement de grandes entreprises, comme la société Sopra Steria affiliée au secteur de la défense, comme fournisseur de solution numérique (ayant perdu près de 40 à 50 million d’euros suite à une attaque au rançongiciels) où la collectivité territoriale telle que les villes d’Alfortville, de Vincennes où la collectivité de Marseille. Les petites entreprises ne sont pas en marge cette explosion de la cybermalveillance.

Selon la plateforme de prévention gouvernementale contre la cybermalveillance, près de 1 328 victimes ont pu être recenser.

Le mode opératoire des cyberattaquants est purement un classique. La plupart de ces actes de cybermalveillance ont commencé par l’envoi d’un courriel corrompu. Un courriel qui contient bien sur une pièce jointe. « Nous ne sommes plus dans la caricature de l’email mal traduit avec des fautes, c’est désormais suffisamment perfectionné pour qu’une personne qui n’a pas les automatismes se fasse avoir », signifie, Brice Augras, hacker éthique, patron d’une société de conseil brestoise BZHunt. Avec l’ouverture créé par la pièce jointe, les pirates informatiques pourront alors s’introduire dans le système informatique de l’entreprise ciblée. « L’ouverture de la pièce jointe va permettre aux attaquants de s’introduire dans l’informatique de l’entreprise. Les cybercriminels, après avoir fait le tour à distance des ordinateurs, chiffrent les fichiers Excel, les documents PDF ou Word, puis exigent une rançon en cryptomonnaie. Les sommes demandées vont de quelques milliers d’euros à un demi-million d’euros, une somme demandée cette année à une entreprise bretonne », explique Brice Augras.

À ce niveau, il a été observé que les attaques aux programmes de rançon devenaient trop rentables pour ses opérateurs malveillants. Ce qui est de nature à les encourager et les pousser à faire plus et à être plus exigeant.

« Aux premières demandes de rançons qui visaient sans distinction les internautes, il y a quelques années, ont succédé des attaques plus ciblées en direction des entreprises, avec parfois des demandes de rançon ajustées en fonction du chiffre d’affaires des sociétés. Si l’on ignore avec certitude l’identité des criminels derrière ces logiciels, les activités d’informaticiens d’Europe de l’Est sont regardées de près. Parfois à raison. » explique l’hacker éthique. Un exemple pour expliquer cette situation, nous avons le procès qui s’est tenu à la mi-octobre, qui est assez rare en son genre, mais qui mi à nu le cas d’Alexander Vinnik qui avait été suspecté, d’avoir été impliqué dans les agissements de logiciel de rançon Locky. La décision du juge n’a pas encore été rendu et ne saurait tarder apparemment.

La situation continue de s’empirer. Certains spécialistes de la sécurité commencent à craindre pour l’année 2021. Les organisations doivent se préparer à aborder la nouvelle année avec beaucoup de complexité, et de stratégie. Car c’est ce que feront les cybercriminels. Selon plusieurs études, que ce soit au niveau des logiciels de rançon, l’ingénierie sociale et les vulnérabilités affectant les dispositifs liés à l internet des objets, il y aura une certaine évolution de la cybermalveillance.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

L’UEFI : cible persistante de TrickBot

Récemment les chercheurs en sécurité informatique la société AdvIntel ont fait une étonnante découverte.

Un module TrickBot permettant aux logiciels malveillants de persister et continuer à agir quand bien même que le système ciblé a été reformater ou remplacer. Une fonctionnalité qui ne va pas rendre la tâche facile aux responsables de sécurité de système d’information.

Cet article va aussi vous intéresser : Trickbot : Microsoft et les autorités Américaines contre le réseau de zombie le plus important au monde

De façon technique, on notera que TrickBot, utilise une plate-forme qui a la possibilité d’identifier les modules matériels tournant sur Intel mais de façon sous-jacente. Il permet alors de vérifier le registre de contrôle du BIOS, pour s’assurer qu’il est déverrouillé ou l’absence d’une quelconque protection.

Une évolution assez inquiétante du programme TrickBot, qui donnait déjà du fil à retordre aux professionnels. À titre de rappel, il faut noter que TrickBot est un Botnet c’est-à-dire un réseau d’ordinateurs connectés de façon frauduleuse dans le but de générer de la puissance de calcul, servant généralement aux pirates informatiques de passerelle d’accès aux réseaux des entreprises pour injecter des rançongiciels où d’autres programmes malveillants pour les soumettre à leur contrôle. Grâce aux nouveaux modules identifiés par les chercheurs en sécurité, le Botnet peut dorénavant rechercher la configuration UEFI qui présente des failles de sécurité sur des systèmes qu’ils ont précédemment infectés. Ce qui permet alors au cyber attaquants de pouvoir déployer des portes dérobées, de niveau si bas, qu’il est compliqué au les chercheurs de les supprimer.

À titre de précision signifions que l’UEFI pour « Unified Extensible Firmware Interface » est un outil qui permet de s’assurer que sur un système informatique aucun logiciel malveillant du genre rootkit (utilisé par les pirates informatiques pour modifier les systèmes d’exploitation dans le but de cacher des programmes malveillants, de transférer des données ou des portes dérobée), n’est installé. Rappelons de ce fait que Kaspersky annonçait avoir découvert un rootkit du nom de MoazaicRegressor, qui s’attaque à principalement aux disques UEFI.

« Cela marque une étape importante dans l’évolution de TrickBot », ont précisé les chercheurs des sociétés de sécurité informatique Advanced Intelligence (AdvIntel) et Eclypsium dans leur récent rapport publié aujourd’hui. « Les implants de niveau UEFI sont la forme de bootkits la plus profonde, la plus puissante et la plus furtive. Étant donné que le micrologiciel est stocké sur la carte mère par opposition aux lecteurs système, ces menaces peuvent fournir aux attaquants une persistance continue, même si le disque est remplacé. De même, si le micrologiciel est utilisé pour brique un appareil, les scénarios de récupération sont nettement différents et plus difficiles que la récupération à partir du cryptage traditionnel du système de fichiers qu’une campagne de ransomware comme Ryuk, par exemple ». Notent-elles.

Pour en revenir à TrickBot, c’était à la base un programme en malveillant de type cheval de Troie. Il faisait ses armes généralement dans le domaine de la fraude bancaire en ligne et du vol d’identifiant de connexion tels que des mots de passe et de noms d’utilisateurs.

Aujourd’hui, il se présente comme une vaste plateforme de cybercriminalité qui s’étend à plusieurs fonctionnalités et capacités qui prend en compte les analyses RDP, les accès à distance passant par le VNC plus, les exploits à travers les vulnérabilités SMB.

Plusieurs opérateurs ont été observés derrière l’utilisation de TrickBot. Parmi tant d’autres, il y a le célèbre groupe connu dans le secteur de la cybersécurité du nom d’Overdose ou The Trick. Il utilise le programme malveillant pour accéder aux réseaux d’entreprises, pour ensuite mettre à la disposition d’autres groupes des cybercriminels les accès obtenus, en particulier les opérateurs qui sont derrière le rançongiciel Ryuk. Le groupe Lazarus, connu comme un groupe de pirate informatique travaillant pour le compte de l’État Coréen aurait aussi user de TrickBot dans le but de développer des portes dérobées.

Selon les chercheurs en sécurité informatique, les opérateurs du programme TrickBot offrent le plus souvent leur service au groupe de catégorie APT où aux groupes de pirates informatiques de catégorie supérieure.

En octobre dernier, la société de Redmond Microsoft et plusieurs autres organisations se sont réunies pour porter un coup important sur les Infrastructures de commande et de contrôle du programme malveillant TrickBot. Si l’opération a été un succès, il n’en demeure pas moins que le Botnet vit toujours. En novembre, plusieurs compagnes de cybercriminalité en été initié en se fondant sur ce dernier.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Open Source : ces failles de sécurité qui passent inaperçues au détriment de la communauté

Récemment, des spécialistes on mit en évidence un fait qui se présente comme problématique.

C’est le fait que les vulnérabilités qui affectent les applications Open Source passent inaperçues à cause des moyens peu alloués pour leur recherche et leur correction. On parle de près de 4 ans avant que ces failles de sécurité ne soient découverte.

Cet article va aussi vous intéresser : Windows XP : le code source du système d’exploitation de Microsoft disponibles en ligne

C’est le résultat du rapport intitulé « State of the Octoverse » de la plate-forme GitHub, spécialisé dans le développement et l’hébergement de logiciel Open Source.

L’avantage avec le logiciel Open Source, c’est que leurs développeurs permettent la consultation de leur code source par toutes les personnes intéressées par leur travail, contrairement à ceux qui permettent la consultation en échange du versement d’une somme d’argent.

À cause de la non rémunération de l’Open Source, la ressource humaine se fait rare. Il devient alors difficile de travailler sur la détection et la correction des failles de sécurité.

À titre d’exemple, Heartbleed est une vulnérabilité logicielle qui affecte la bibliothèque de cryptographie OpenSSL depuis mars 2012. Cette Faille de sécurité permet aux opérateurs pirates informatiques de prendre connaissance de la mémoire d’un serveur client pour récupérer des données importantes, lors d’une communication avec le protocole TLS (Transport Layer Security).

Une vulnérabilité qui touche plusieurs services Internet depuis longtemps ne fut découverte qu’en 2014, et porté à la connaissance de grand public en Avril. Ce qui veut dire que le pirate informatique a eu 2 ans pour exploiter et étudier de fond en comble la faille de sécurité. Exposant par ce fait des milliers de serveur à travers le monde. C’est grâce à un chercheur bénévole que la vulnérabilité a été découverte. Elle aurait été présente dans le référentiel de OpenSSL lors d’une proposition de correction d’autres failles de sécurité accompagnée d’amélioration de fonctionnalités. En clair, c’est une faille de sécurité qui a été introduite par erreur. Ce genre de faille de sécurité représente littéralement 83 % des vulnérabilités découvertes sur les projets Open Source présente sur la plate-forme GitHub.

Cependant, le rapport de la plateforme de Microsoft, il est précisé aussi que 17 pourcents des failles de sécurité découvertes ont été expressément introduites par des personnes de mauvaises intentions. Un rapport intitulé Risksense publiait récemment que les failles de sécurité des sources étaient croissantes. Et cela se comprend par le fait que beaucoup de projets informatiques de nos jours se fondent sur les recherches Open Source. Ce qui accroît l’intérêt des personnes souvent les d’intention malveillantes.

« Les failles de sécurité des logiciels open source passent parfois sous les radars de la détection pendant 4 ans avant d’être révélées en raison des faiblesses du modèle de financement de la sphère » précise le rapport. « Le modèle de financement de la sphère Open Source est parmi les facteurs les plus susceptibles d’expliquer que les failles de sécurité au sein des logiciels passent sous les radars pendant des périodes aussi importantes. ».

Certaines Initiatives essaient tant bien que mal de soutenir les projets de logiciels libre. Il y a notamment la Core Infrastructure Initiative (CII). Mais bien sûr, ces projets sont assez rares. La Core Infrastructure Initiative est l’un des groupes à avoir alerté et réagit face à la découverte de la vulnérabilité critique Heartbleed dans la bibliothèque OpenSSL, étant utilisé par des millions de sites internet. Le problème avec cette initiative, c’est que sa portée est assez limitée, car il faudra compter sur des apports financiers extérieurs en particulier, venant d’acteurs propriétaires de logiciels, dont Facebook, Microsoft, Oracle, VMWare, Comcast comme les principaux.  Ces mêmes propriétaires de logiciels qui financent aussi la Linux Foundation et d’autres projets similaires. Une aide financière ne saurait se faire sans contrepartie à un certain niveau. Car ils possèdent alors, à cause de leur contribution, des sièges au conseil de décision, étendant ainsi leur contrôle même dans l’univers du logiciel libre. Bryan Lunduke dit à ce propos : « La conséquence immédiate est que les projets open source qui bénéficient de financement sont ceux sur lesquels leurs infrastructures s’appuient en majorité. ». Ce qui met à l’écart celles qui ne sont pas beaucoup utilisées par ces mêmes infrastructures qui financent.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les logiciels malveillants plus innovants en 2021

Dans un rapport fourni par un spécialiste de la sécurité informatique Nuspire, il a été constaté une augmentation assez fulgurante des logiciels malveillants.

Cela dans un contexte où les attaques des cybercriminels deviennent de plus en plus impitoyable. En effet il a été observé aussi dans la même lancée que les pirates informatiques en tendance à s’en prendre aux structures qui se trouvent surcharger en terme de responsabilités à combler. Notamment le secteur de la santé et de l’éducation. Ledit rapport à préciser une en croissance si on peut le dire ainsi de 128 pourcents au 3e trimestre de 2020 par rapport au second trimestre. Une augmentation qui constitue plus de 43 000 logiciels malveillants différents qui furent détectés par jour.

Le rapport des montres aussi, que les acteurs de la cybercriminalité sont devenus de plus en plus impitoyables quant à leur choix de cibles. « Tout au long du troisième trimestre, les pirates informatiques ont déplacé leur attention des réseaux domestiques vers des entités publiques surchargées, dont le secteur de l’éducation. », explique le rapport de Nuspire.

Cet article va aussi vous intéresser : La pandémie à coronavirus et les stratégies de sécurité dans une entreprise

Dans les prévisions fournies par la société allemande d’édition de logiciels informatiques pour la sécurité G DATA CyberDefense, en 2021, les logiciels malveillants utilisés pour cibler les mobiles seront de plus en plus innovant. Ce sont des malwares qui se présenteront comme des mises à jour de logiciels beaucoup utilisés par les utilisateurs dans mobile. « Dans ce cas, les applications se présentent initialement comme des applications légitimes, ce qui explique pourquoi elles sont souvent qualifiées de légitimes par certaines solutions de sécurité. Ce n’est qu’après un certain nombre de mises à jour que les logiciels malveillants s’installent sur le système sans être remarqués, avec toutes les conséquences que cela entraîne. » précisant la société allemande de cybersecurité.

Pour ce qui concerne en l’ingénierie sociale, la pratique va aussi s’améliorer comme les autres.

Dans une étude fournie par Bromium, une société spécialisée dans la virtualisation, et commenté par le maître de conférence en criminologie à l’université de Surrey, docteur Mike McGuire, il a été observé plusieurs tactiques utilisées par les cybermalveillants pour attirer l’attention des internautes. Les réseaux sociaux étant leurs en leur champ de prédilection. Le même rapport explique que les cybercriminels arrivent à générer plus de 3 milliards de dollars en utilisant seulement l’ingénierie sociale. Bien que cela soit dans un contexte assez nouveau, il a possible pour les cybercriminels de gagner plus de 1500 milliards de dollars comme revenu chaque année. « Il s’agit d’une estimation prudente, basée uniquement sur des données tirées de cinq des variétés les plus en vue et les plus lucratives de cybercrimes générant des revenus. » note le rapport.

Selon G DATA CyberDefense, au regard de l’amélioration du secteur de la cybersecurité, les pirates informatiques cherche à améliorer leur approche de l’ingénierie sociale dans le but de la rendre plus performante.

C’est pour cela que les organisations sont invités à prendre les mesures idoines pour se protéger et protéger leur système informatique ainsi que leurs collaborateurs.

Du côté des objets connectés, la tendance de la cybercriminalité connaîtra aussi une évolution. En effet, avec la croissance de l’internet des objets dans tous les secteurs d’activité, les organisations seront obligées d’améliorer leur sécurité informatique et pour cause, les activités de cybermalveillance dans ce secteur se sont répandu beaucoup plus rapidement que dans les autres domaines. Il faut reconnaître que l’Internet des objets ne s’est jamais présenté comme un espace assez sécuritaire pour ce qui est de la sécurité bien sûr. Et depuis le tout début, les attaques informatiques ont toujours l’avantage sur les utilisateurs. « Si un appareil n’est pas surveillé en permanence et n’est pas considéré comme faisant partie de l’infrastructure du réseau, il faut y remédier », mettait en garde de la société de sécurité allemande. En clair il faudra observer une augmentation notoire des attaques visant les dispositifs IdO. « La convergence des technologies de l’information et des technologies opérationnelles rend les environnements plus vulnérables. Ces environnements fonctionnent souvent sur des systèmes existants pour lesquels il n’existe pas de correctifs ou qui ne sont tout simplement pas installés. Les organisations qui utilisent l’IdO seraient également bien avisées d’élaborer une feuille de route intégrale sur la cybersécurité et de procéder à des audits de sécurité réguliers », recommande alors G DATA CyberDefense.

Selon G DATA CyberDefense, les organisations peuvent mener une vérification pour savoir si elles sont suffisamment organisées préparer pour faire face aux cyberattaques. Au cas où elles peuvent commencer dès maintenant, à prendre les mesures qui s’imposent. « Il est important que le personnel manipule correctement les systèmes IdO et soit conscient des risques. Enfin, la plupart des cyberincidents sont causés par des actions humaines », conclut la société allemande.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage