Archives pour la catégorie Virus

Les virus font toujours autant parler d’eux. Ils sont de plus en plus performant et de plus en plus redoutable. Notre mission est de vous informer et de vous protéger des menaces du Web.

Comprendre les cyberattaques et les logiciels malveillants

Selon une statistique établie anonymement en se fondant sur plusieurs demandes adressées depuis le portail Threat Intelligence de la société Russe de cyberdéfense Kaspersky, environ 72 %, soit les trois quarts des fichiers malveillants qui ont été analysés ces derniers temps se catégorise dans 3 secteurs de la cybermalveillance particuliers que sont :

– Les chevaux de Troie (Trojan)

– Les portes dérobées ou backdoors

– Les injecteurs de programmes malveillants (Dropper)

Grâce à ces statistiques, il a été aussi démontré que les programmes malveillants sur lesquels les spécialistes de la sécurité informatique ont tendance à passer plus de temps sont ceux qui sont les plus répandus.

Comme nous le savons, le point de départ d’une enquête sur une cyberattaque et bien sur la détection d’activité jugée malveillante. Pour être en mesure de déployer les mesures nécessaires pour répondre aux problèmes posés par un incident informatique, les spécialistes de la cybersécurité doivent être en mesure :

– D’identifier la cible visée par l’attaque

– L’origine d’un programme malveillant

– La popularité de ce programme

Ceci permet aux analystes le pouvoir réagir efficacement. Le portail portant sur les menaces informatiques mis à la disposition par Kaspersky aux professionnels la cybersécurité, surtout au niveau de l’analyse des incidents informatique. De ce fait plusieurs demandes sont formulées à la société russe quotidiennement dans le but obtenir de l’aide sur des problèmes d’ordre sécuritaire. Portant régulièrement sur des objets malveillants, dans le traitement semble un peu plus délicat.

Dans la majorité des cas, les incidents qui sont les plus proposés ou soumis à l’appréciation des experts de Kaspersky régulièrement sur :

– Les portes dérobées à hauteur de 24 %

– Les chevaux de Troie dans 25 % des cas

– Les acteurs de programme malveillant pour 23 pourcents des demandes

Ces programmes malveillants sont généralement utilisés par leurs éditeurs pour prendre le contrôle soit des ordinateurs de leur cible à distance comme c’est le cas avec les chevaux de Troie et les portes dérobées, ou de pouvoir installer à l’insu de ce dernier, des objets pirates dans le cas des Droppers.

De plus, les chevaux de Troie généralement perçus par plusieurs d’études comme étant les logiciels malveillants les plus répandus au monde. C’est une catégorie très utilisée et appréciée par les cybercriminels. Sûrement à cause des fonctionnalités qu’ils leurs offrent. Le porte dérobée et les injecteurs de fichiers malveillants sont de leur côté assez peu connus, donc moins répandus. Ils ne constituent respectivement que 3 % des fichiers malveillants généralement bloqués par les antivirus fournis par Kaspersky.

On peut comprendre sur résultat en se référant au fait que généralement les spécialistes on tendance à s’intéresser à la cible finale d’une attaque informatique. Alors que dans une majorité des cas, les logiciels de protection des terminaux ont tendance à les bloquer le plus rapidement possible. Par exemple on sait que le produit de sécurité de façon concrète empêche l’utilisateur d’ouvrir des mails corrompus, ce qui empêche généralement certains programmes malveillants de pouvoir arriver à leurs fins. Du côté des injecteurs de programmes, ils ne sont reconnus que lorsque les chercheurs arrivent à identifier tous les composants qui le composent ce qui n’est pas une tâche mais à réaliser.

En outre, la popularité d’un programme malveillant dépend aussi de l’intérêt porté généralement aux incidents informatique dans lequel il a joué un rôle important et l’obligation qui est souvent imposé aux chercheurs de les analyser de manière plus détaillée. Prenons par exemple le cas du malware Emotet, qui a la suite de plusieurs articles de presse à attiser l’intérêt des chercheurs en cybersécurité. D’un autre côté, suite à plusieurs failles de sécurité portant sur des distributions Linux et Android, les portes dérobées ont été passées plusieurs fois au crible par les spécialistes dans le but de mieux les l’appréhender. Et cela est le cas pour plusieurs failles affectant Microsoft Windows.

« Nous avons remarqué que le nombre de demandes transmises au Kaspersky Threat Intelligence Portal pour vérifier des virus ou des éléments de code qui s’insèrent dans d’autres programmes, est extrêmement faible, à savoir moins de 1 %. Toutefois, c’est traditionnellement l’une des menaces les plus souvent détectées par les solutions de protection, détection et réponse aux incidents (EDR). Ce type de menace se réplique et déploie son code dans d’autres fichiers, ce qui peut entraîner l’apparition d’un grand nombre de fichiers malveillants dans le système infecté. Comme nous l’avons constaté, les virus sont rarement intéressants pour les chercheurs, probablement parce qu’ils manquent d’originalité par rapport aux autres menaces », détaille Denis Parinov, directeur par intérim de la détection heuristique et de la surveillance des menaces chez la firme russe de cybersécurité.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Ransomware : le nombre d’attaque toujours en hausse au Etats Unis

Au premier trimestre de 2020, il a été observé une hausse très significative de 25 % des attaques de logiciels de rançonnage.

Ce résultat a été publié suite à une étude publiée par un fournisseur de services de cybersécurité du nom de Beazley, par son service de sécurité informatique Beazley Breach Response Services. Selon la firme de courtage Aon, il faudrait envisager les Ransomware comme la principale source de problèmes au niveau de l’informatique des entreprises.

Cet article va aussi vous intéresser : Focus sur le rançongiciel qui déjoue les mesures de sécurité

Mais le rapport de la firme canadienne met aussi en évidence l’explosion des escroqueries en ligne, qui exploite au maximum les inquiétudes et doutes créé par la crise sanitaire actuelle. « Les cybercriminels profitent de l’anxiété accrue des gens pendant cette pandémie, les incitant à cliquer et à partager des liens qui volent des informations. Les travailleurs à domicile peuvent aussi avoir une sécurité informatique plus faible que celle offerte par les réseaux des entreprises. Les organisations doivent s’assurer que leurs systèmes et leurs protocoles de sécurité sont à jour, et veiller à ce que leurs collègues qui travaillent à domicile soit extrêmement vigilants », a noté Katherine Keefe, chef du service Beazley Breach Response.

Selon l’unité de cybersécurité de la société canadienne, les 25 pourcents de l’augmentation des actes de cybercriminalité fondés sur le rançongiciel, a le plus touché le secteur manufacturier qui a comptabilisé à lui seul près de 156 % d’augmentation seulement au premier trimestre de 2020 ajouté à celui quatrième trimestre de 2019. Par ailleurs, tous les autres services sont aussi concernés par une augmentation des attaques contre leur système. Entre autres, le secteur des finances et celui de la santé qui ne cessent de voir le nombre d’attaques croître de façon exponentielle. Car si on les combine, ces 2 domaines rassemblent la moitié des cyberattaques fondées sur le phishing, Selon Beazley dans son rapport sur le premier trimestre 2020

L’intérêt des cybercriminels étant beaucoup plus porté sur les rançongiciels, il a été permis d’observer que les attaques portant sur les courriers électroniques commerciaux, encore appelé dans le jargon business email compromise, connais une baisse d’environ 16 % sur les trois premiers mois, en prenant en compte l’évolution de l’année 2019. Selon le rapport de la société canadienne : « Le problème n’est certainement disparu. L’explication de ce déclin peut possiblement être que moins de compromissions de courriel ont été décelés et rapportés, en raison de l’interruption causée par la COVID-19 ».

Alors pour l’année 2020, en se fondant sur les chiffres des 3 premiers mois, les experts prévoient une domination des rançongiciels par rapport aux autres menaces de nature informatique. Ainsi, les réclamations auprès des assurances en cybersécurité seront principalement fondée sur ces incidents selon le courtier en assurance AON. Une analyse qui provient de son étude réalisée en 2019, intitulé U.S. Cyber Insurance Profits and Performance, qui a conservé près de 192 de sociétés américaines spécialisées dans l’assurance, principalement dans le domaine de la cybersécurité.

En autre, les assureurs ont signifié une augmentation de 10 %, à propos de leur perte en 2019, et cela, à cause d’une multiplication assez exceptionnelle des attaques de Ransomwares.  Les réclamations quant à elles ont monté de 35 % à 45 %, en fonction de la persistance des cyberattaques et autres incidents.  « La fréquence moyenne des réclamations de toutes les compagnies analysées s’est établie à 5,6 par mille polices, alors qu’elle était de 4,2 en 2018. Le bond en fréquence des réclamations a effacé l’effet d’une réduction dans la sévérité des réclamations. La taille moyenne d’une réclamation en cyberassurance est passée de 50 401 $US (68 404 $CA) en 2018 à 48 709 $US (66 108 $CA) en 2019. » note le rapport d’Aon.

Par ailleurs, aux États-Unis, il a été observé une nette augmentation (de 11 % selon et rapport) des primes de souscription des assurances en matière de cybersécurité. Et cela par rapport à 2018. On évalue à hauteur de 2,26 milliards de dollars américains (3,7 milliards de dollars canadiens). 69 % des primes souscrites l’ont été par les 10 plus grandes sociétés d’assurances américaines. Le reste du marché est partagé entre les petits assureurs. Sur les 192 compagnies analysées dans le rapport, 92 d’entre elles ont souscrit à des assurances à près de 1 million de dollar américain. 41 d’entre elles sont allées jusqu’à 5 millions de dollars.

À propos des pertes toutes les entreprises, quelques soit leurs tailles, en ont subi d’une certaine catégorie. Et plus particulièrement les plus petites entreprises.  Selon la société en courtage d’assurance, il faudrait s’attendre à une croissance les secteurs de la cyber assurance en particulier au niveau de ce segment.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Focus sur le rançongiciel qui déjoue les mesures de sécurité

C’est un programme informatique qui fut découvert en début de cette année précisément durant le mois de janvier.

Il se fait appeler Thanos, en hommage au supervilain des films de Marvel. Selon les autorités chargées de lutter contre la cybermalveillance, il aurait été développé par un groupe de cybercriminels du nom de Nosophoros. Sa particularité réside dans le fait qu’il est capable de contourner les mesures de sécurité implantées dans un réseau ou un système informatique, pouvant aller jusqu’à désactiver cette protection. Une capacité très rare reposant sur l’utilisation d’une technique de type RIPlace. Ajouté au fait que Thanos est un programme de rançonnage, les dégâts qu’il peut causer est assez impressionnant.  Du tronc commun du rançongiciel Thanos, il a été développé par les cybercriminels les classes Crypto et Program.

Cet article va aussi vous intéresser : Tycoon, le nouveau rançongiciel qui menace Windows et Linux

Avec une tel pion dans le jeu, la cybercriminalité est devenue comme un jeu du chat et de la souris entre les responsables de la sécurité des systèmes des informations et les hackers malveillants. Et malheureusement pour les responsables de la sécurité, la souris est très difficile à intercepter voire à neutraliser.

Notons par ailleurs que la découverte en janvier 2020 de ce rançongiciel a été faite par Inskit Group, un conglomérat œuvrant dans la cyberdéfense, et l’a porté à la connaissance du monde dans un rapport où il décrit comment fonctionnement ce programme malveillant. Selon Inskit Group, les cybercriminels à l’origine de ce programme malveillant le mettaient en vente sur le dark web, sous la forme d’une version personnalisable, pouvant aller jusqu’à 43 configuration disponible. De sortes à adapter son utilisation aux besoins des cybercriminels qui seraient tentés par ce programme. Le plus impressionnant dans tout ceci, c’est que les pirates informatiques du groupe Nosophoros ne contentent pas tout simplement de vendre le programme informatique, mais vont aussi professionnaliser leur commerce illicite en proposant un service après-vente, d’accès à un modèle de distribution particulier, souvent suivi d’offre de mise à jour permettant d’apporter plus de fonctionnalités au programme malveillant. « Le client Thanos est simple dans sa structure et ses fonctionnalités générales. Il est écrit en C # et est facile à comprendre malgré son offuscation [consistant à rendre un exécutable ou un code source illisible et difficile à comprendre par un être humain ou un dé compilateur, NDLR], et bien qu’il intègre des fonctionnalités plus avancées telles que la technique RIPlace », note Inskit Group.

Notons par ailleurs par ailleurs que Thanos intègre dans son tronc, près de 12 ans à 17 classes comme Program, Crypto, NetworkSpreading, Wake on LAN, permis tant d’autres, et variant selon la demande des clients.

Comme nous l’avons décrit un peu plus haut, grâce à la technique de RIPlace qui est embarqué dans ce rançongiciel, il lui est permis de contourner les systèmes de sécurité mise en place pour protéger les systèmes et même les réseaux. Qu’il s’agisse de pare-feu au même des solutions antivirus, ce programme peut les désactiver pour continuer ce pourquoi il été exécuté. « Avec les meilleures pratiques de sécurité telles que l’interdiction des connexions FTP externes et la mise sur liste noire des outils de sécurité offensifs connus, les risques associés aux deux composants-clés de Thanos – Data Stealer et Lateral Movement (via l’outil SharpExec) – peuvent être évités », souligne Inskit Group.

Des spécialistes de la sécurité informatique Kaspersky Carbon Black ont de leur côté mentionné qu’ils travaillent chacun sur un moyen de corriger la faille de sécurité RIPlace. « Le client Thanos utilise AES-256 en mode CBC pour chiffrer les fichiers utilisateur. La clé utilisée pour le chiffrement AES est dérivée d’un mot de passe et d’un sel qui se fait à travers l’appel de fonction Windows rfc2898DeriveBytes. Une fois que le client Thanos s’est servi de cette clé pour chiffrer tous les fichiers qu’il découvre, il recourt à une clé publique RSA 2048 intégrée pour crypter le mot de passe AES utilisé. La chaîne base64 de ce mot de passe chiffré est ajoutée à la note de rançon, demandant à la victime d’envoyer la chaîne de mot de passe chiffrée aux acteurs de la menace pour déchiffrer leurs fichiers. La clé privée associée à la clé publique utilisée pour chiffrer le mot de passe est nécessaire pour déchiffrer le mot de passe AES. Seul l’opérateur qui a créé le client Thanos doit avoir accès à la clé privée », déclarait par ailleurs en outre Inskit Group.

En outre, si aujourd’hui la technique RIPlace est devenue une vulnérabilité pour le système de défense informatique, c’est parce que depuis le début, elle a été négligée par les éditeurs de solutions de défense et d’autres fournisseurs de logiciels. En effet en fin d’année 2019, Nyotron en faisait objet d’un POC. Certains fournisseurs tel que Microsoft avaient été prévenus. Mais ces derniers ne l’ont pas considéré sur le moment comme une vulnérabilité, à l’exception de Carbon Black et Kaspersky, qui n’ont pas hésité à mettre à niveau leurs solutions de sécurité. Et dès 2020, les cybercriminels se sont rués sur la darkweb pour profiter de l’opportunité.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Tycoon, le nouveau rançongiciel qui menace Windows et Linux

Tycoon est un nouveau programme de type rançongiciel.

Il n’est pas très connu car son fonctionnement reste très inhabituel face aux autres rançongiciels. Il a été identifié durant certaines cyberattaques trop précises et assez efficace, au-delà de tout ceci, il passe inaperçu.

Cet article va aussi vous intéresser : Ragnar Locker, le rançongiciel déguisé en une sorte de machine virtuelle

Le nom du programme Tycoon la référence de son code. Selon les spécialistes, ce rançongiciel serait actif depuis décembre 2019. Il est utilisé généralement contre les systèmes Windows et Linux. Depuis sa découverte, il a été remarqué qu’il est utilisé que dans le cadre de compagnes d’attaques ciblées. Ce qui est dans l’image à ses éditeurs comme étant des pirates informatiques très sélectifs.

Son déploiement est assez spéciale. De sorte à ce qu’il puisse rester caché sur le réseau contaminé le plus longtemps possible. Les secteurs les plus ciblées par les pirates informatiques qui se sert de Tycoon sont l’éducation et celui des logiciels. Il est connu pour exploiter Java.

Sa découverte a été suite à une collaboration entre les chercheurs de sécurité de BlackBerry et les spécialistes de la firme KPMG. Vu qu’il a été codé en Java, sa forme est assez spéciale, sa forme inhabituelle permet à ses éditeurs de déployer comme un simple cheval de Troie, dans un système d’exécution Java. il a possible de le compiler dans une image, ce qui facilite sa dissimulation. « Ces deux méthodes sont uniques. Java est très rarement utilisé pour écrire des logiciels malveillants sur les terminaux car il nécessite l’environnement d’exécution Java pour pouvoir exécuter le code. Les fichiers images sont rarement utilisés pour les attaques de logiciels malveillants.  Les attaquants se tournent vers des langages de programmation peu communs et des formats de données obscurs. Ici, les attaquants n’ont pas eu besoin de dissimuler leur code pour réussir à atteindre leurs objectifs » signifie Eric Milam, le vice-président de la recherche et du renseignement de chez BlackBerry.

Concernant l’attaque proprement dite, la première étape n’a rien n’a rien d’exceptionnel. En effet, il est introduit dans le système, grâce à une faille des serveurs de contrôle RDP sont suffisamment sécurisés. Et bien cette méthode intrusion est assez courante durant des compagnes impliquant des programmes malveillants. Les serveurs les plus vulnérables sont ceux dont les mots de passe au sont faibles où où déjà compromis lors d’une précédente attaque.  Par ailleurs : « Une fois à l’intérieur du réseau, les attaquants se servent des paramètres d’injection IFEO (Image File Execution Options), qui permettent le plus souvent aux développeurs de déboguer les logiciels, pour se maintenir en place. » explique Eric Milam. Par la suite, les pirates informatiques pourront se servir de certains privilèges d’administrateurs pour se débarrasser des solutions anti-malwares, avec l’aide de ProcessHacker, pour accroître leur chance de réussite. Après avoir été exécuté, le rançongiciel procède chiffrement du réseau et des fichiers par ordre d’extensions qui lui sont spécifiques, tel que « .redrum, .grinch et .thanos » et conformément au mode opératoire classique des attaquants au rançongiciel, le hackers exigeront le paiement de la rançon pour libérer le réseau. Le paiement est exigé en bitcoin. La somme exigée varie selon la victime et sa promptitude à prendre contact avec des cybercriminels.

Selon les chercheurs de Blackberry, il est fort probable que « Tycoon pourrait potentiellement être lié à une autre forme de ransomware, Dharma – également connu sous le nom de Crysis – en raison des similitudes dans les adresses e-mail, les noms des fichiers cryptés et le texte de la demande de rançon. ». Et comme les compagnes se fondant sur ce programme sont toujours en cours, il semblerait, selon les probabilités, que les cybercriminels rencontrent du succès.

La bonne nouvelle, c’est qu’il est possible de le stopper à distance. Mais en guise de prévention, il est recommandé de toujours mettre ses équipements à jour, et d’éviter tout ce qui est comme geste susceptible d’exposer un des terminaux connecté au réseau de l’entreprise. Les Experts de Blackberry recommandent : « Les RPD étant un facteur répandu de compromission du réseau, les organisations peuvent s’assurer que seuls les ports qui nécessitent une connexion internet y sont reliés. ». À cet effet les entreprises doivent s’assurer que les comptes utilisés pour accéder à ses ports ne fonctionnent pas avec des identifiants fournis par défaut ou des mots de passe assez faibles pour être deviné par un pirate informatique.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Ransomware : Les entreprises menacées

Le 14 mai dernier, une filiale du groupe Bolloré basée au Congo a été victime d’une cyberattaque au rançongiciel.

Il a été question du ransomware dénommé du groupe. Les cybercriminels à l’origine de cette attaque informatique ont menacé le groupe de divulguer des informations qu’ils auraient dérobé lors de la cyberattaque si ce dernier ne répondait pas favorablement à leur demande. Emmanuel Gras, co-fondateur et CEO d’Alsid, par ailleurs ancien auditeur à l’Agence nationale de la sécurité des systèmes d’information a notifié que ce genre de cyberattaques n’était pas isolées. Cependant, ce dernier observe que : « la cible s’est déplacée dans le secteur de la logistique. Avant Bolloré, le spécialiste australien du secteur, Toll Group, avait subi les affres de Netwalker, appelé aussi Mailto », explique le PDG d’Alsid.

Cet article va aussi vous intéresser : Le groupe Bolloré attaqué par un ransomware

C’est d’ailleurs pour cette raison, que ce spécialiste a mi en avant la sécurité des structures à la fois privé et public, comme un enjeu majeur des 5 prochains années à venir. Il précise que son rôle actuel au sein de son entreprise consiste à « faire un état des lieux dans les entreprises après une attaque et de faire en sorte que les cyber-malfaiteurs ne puissent plus revenir ».

La création de la société spécialisée Alsid répond à l’idée de répondre à un besoin de sécurité qui s’étend de plus en plus. « Nous étions arrivés à la conclusion qu’un schéma se répétait dans toutes les entreprises du monde : les serveurs, les postes et les mobiles sont gérés par un système central, Active Directory, et celui-ci est très attractif pour les cyber- assaillants car, dès lors qu’ils en prennent possession, ils peuvent attaquer toute l’entreprise. Nous avons donc décidé de fonder Alsid pour adresser cette problématique majeure ». C’est d’ailleurs ce genre de plan, qui a été suivi par les pirates informatiques à l’origine du logiciel de rançonnage Netwalker. Cependant, l’expert a remarqué une nette évolution des motivations sur le long terme. « Au départ, les motivations étaient stratégiques. L’on relevait des vols de données dans le cadre de l’espionnage public, entre Etats, industriels, ou autres. De plus en plus, les motivations deviennent financières », indique Emmanuel Gras.  N’oublions pas que les mêmes procédés ont été employés contre un cabinet d’avocat américain du nom de GSMlaw, réputé pour avoir dans sa clientèle de grands nom tel que Donald Trump, Madonna, ou Lady Gaga. De ce côté, les cybercriminels avaient exigé le versement d’une somme de 42 millions de dollars en guise de rançon pour ne pas divulguer les informations confidentielles des clients du cabinet.

Pour la jeune entreprise Alsid, la protection des réseaux des entreprises doit commencer par active Directory. Car en cas d’attaques informatiques, les cybercriminels chercheront en premier lieu à avoir accès et à contrôler le cœur du système c’est-à-dire Active Directory. « Active Directory, rappelle-t-il, est une infrastructure hautement critique qui permet paradoxalement à un cyber-assaillant d’infiltrer l’intégralité d’un réseau très simplement, depuis un seul poste compromis. Véritable trousseau d’accès central, « AD » ère les droits des utilisateurs, les comptes e-mails, l’information liée aux activités ou encore les données financières. Il constitue, dans la majorité des cas, la pierre angulaire de la sécurité en entreprise ». Explique Emmanuel Gras. Il ajoute par ailleurs que le défaut majeur de ce système (Active Directory) n’est nul autre que sa complexité, car, « Plutôt qu’établir une distinction claire entre les administrateurs qui peuvent tout faire et les autres, il attribue plus ou moins des droits parmi des dizaines possibles à chaque utilisateur. Au point que la liste des personnes avec leurs attributions est illisible et que, sans une plateforme comme celle d’Alsid qui monitore les faiblesses de l’AD, il devient impossible pour les équipes de sécurité d’identifier des comportements suspects sur le réseau. ».

L’expert partage une situation vécue dans ce contexte où il a eu l’occasion d’observer de plus près le problème : « Lors d’un audit, nous avons par exemple vu un groupe AD appelé DNSadmin qui attribuait des droits d’accès aux profils en charge du réseau. Parmi eux, la plupart n’étaient pas administrateurs et paraissaient donc inoffensifs. Pourtant, leur groupe leur accordait la possibilité de s’ajouter à d’autres groupes grâce auxquels ils pouvaient cette fois-ci obtenir des droits d’administration sur certains systèmes ». Selon Emmanuel Gras, établir un monitoring de l’activité de utilisateurs c’était pas n’était processus déjà établi. Ce qui signifie, qu’il suffisait qu’un seul fait prendre par une attaque à l’hameçonnage pour que les cybermalveillants puissent accéder à des informations très importantes.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage