Archives de catégorie : Virus

Les virus font toujours autant parler d’eux. Ils sont de plus en plus performant et de plus en plus redoutable. Notre mission est de vous informer et de vous protéger des menaces du Web.

Chevaux de Troie, Botnet… Quelles sont les menaces les plus imposante en cette fin d’année 2021 ?

Dans une récente étude réalisé par la société de sécurité informatique CheckPoint, il a été mis en évidence un ensemble de menaces informatiques déjà connu qui continue de croître.

Dans son dernier classement qui a été publié durant le mois de novembre 2021, la menaces informatiques la plus dangereuse et persistante à l’heure actuelle n’est rien d’autre que Trickbot. Il serait à l’heure actuelle, la menace informatique la plus répandue à travers le monde. Selon les spécialistes de checkpoint, près de 5 % des organisations dans le monde entier ont été où sont touchés par ce Bot.

Juste derrière, c’est le célébrissime Emotet qui emboîte le talon. Après avoir disparu pendant un certain moment, il a refait son apparition combien de temps l’une des pires nuisances dans le secteur cyber. Il a été observé essentiellement dans le secteur de la santé, de l’enseignement et de la recherche.

Selon la société de sécurité informatique : « malgré les efforts considérables déployés par Europol et de nombreux organismes chargés de faire respecter la loi au début de l’année pour faire tomber Emotet, il a été confirmé que le célèbre botnet avait repris du service en novembre et se classait déjà au septième rang des logiciels malveillants les plus utilisés ». En d’autres termes, ce programme malveillant est à prendre au sérieux et à surveiller de près.

Trickbot quant à lui est en tête de classement depuis 6 ans maintenant. On a déjà observé son développement dans le nouveau variant de Emotet, qui a réussi lui à s’infiltrer dans certaines machines déjà effectué par le premier. C’est des programmes malveillants sont suivi de prépare un autre très dangereux : SmokeLoader.

Que sont exactement ces programmes malveillants ?

1 – Trickbot est un programme malveillant à double fonction. C’est d’abord un botnet dominant. C’est à dire un programme capable d’utiliser la puissance de calcul des terminaux qu’ils effecteurs dans le but de réaliser des actions de cryptage, de décodage ou de minage.

En plus de cela ça aussi un cheval de Troie bancaire qui est constamment mis à jour dans le but de lui accorder beaucoup plus de capacité et de fonction. Ce programme malveillant est très polyvalent et peut-être distribuer de différentes manières. C’est le nec plus ultra dans une certaine manière des programmes malveillants.

2 – Emotet est un cheval de Troie très avancé capable de se propager de façon autonome. Il est utilisé surtout pour cibler les systèmes informatiques bancaires. Même si à plusieurs reprises il a été observé dans plusieurs types de campagne malveillantes.

Les opérateurs derrière se programme informatique utilisent plusieurs types de technique dans le but de continuer à propager leur logiciel mais aussi à l’exploiter le plus finement possible. On sait qu’il est capable de se proposer à travers des courriers électroniques qui ne sont pas forcément utilisées dans le cadre d’hameçonnage.

3 – SmokeLoader est lui aussi un Cheval de Troie. Lorsqu’il est infecté un ordinateur, il donne la possibilité à son opérateur de pouvoir contrôler ce terminal à distance. Le pirate informatique donc la possibilité de pouvoir télécharger des informations à distance, télécharger et installer des logiciels sur cet ordinateur, bien sûr des logiciels malveillants dans le contexte. Il donne aussi la possibilité à son opérateur de déterminer la position géographique sa victime et même de voler des mots de passe de client FTP, de service de messagerie instantanée, de navigateurs, des services de poker en ligne et de client de messagerie électronique.

Ce programme informatique offre aussi à son utilisateur de contourner l’UAC ainsi que plusieurs types de HIPS. Il offre aussi la capacité de désactiver à distance les solutions antivirus. Par ailleurs, il peut se propager à l’instar des deux premiers de plusieurs manières. Par exemple des kits d’exploitation, des campagnes et de spams….

Selon les chercheurs de checkpoint, le secteur d’activité le plus touché par ces programmes malveillants et les secteurs de l’enseignement et de la recherche. Et cela dans le monde entier. Au-delà du secteur de l’enseignement et de la recherche en a plein à observer d’autres domaines tel que ceux qui sont classifiés dans le secteur de service Vitaux qu’est-ce que la télécommunication, l’Internet des objets et le traitement des gaz et de l’eau.

« En outre, Web Servers Malveillant URL Directory Traversal reste la vulnérabilité la plus couramment exploitée : elle a impacté 44 % des organisations dans le monde. Elle est suivie par Web Server Exposed Git Repository Information Disclosure qui affecte 43,7 % des organisations dans le monde. HTTP Remote Code Execution reste à la troisième place dans la liste des vulnérabilités les plus exploitées, avec un impact global de 42 %. », explique CheckPoint.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Blackcat : le nouveau rançongiciel qui s’imposent

Depuis un certain moment, un programme informatique attire l’attention des professionnels de la cybersécurité.

Il s’agit notamment du rançongiciel Blackcat.

Ce nouveau programme de rançon fait automatiquement penser au groupe Blackmatter et REvil qui ont récemment tirer leur révérence (probablement) à cause de la pression mis par les autorités et les forces de l’ordre américaine.

Cet article va aussi vous intéresser : Rançongiciels : pourquoi les forces de l’ordre ont toujours du mal à mesurer l’ampleur du phénomène

En tant que rançongiciels, le mode opératoire est un classique. En effet les opérateurs de Blackcat infectent les systèmes et réseaux informatiques de leur cible, ensuite ils chiffrent les données pour exiger le paiement d’une rançon. Dans la mesure où l’organisation attaquée refuse de céder au chantage, les pirates informatiques menacent de publier les données.

Selon plusieurs observations, les cybercriminels qui sont derrière Blackcat sont en mouvement depuis bien longtemps. S’en prenant à plusieurs organisations dans différents pays.

« Les cybergangs derrière les ransomwares BlackMatter et REvil ont été mis à terre par des actions de police et de justice coordonnées au niveau international. Cela ne signifie pas pour autant que les opérations criminelles œuvrant par le biais de rançongiciels vont stopper. Car malheureusement, d’autres ransomwares pris en main par d’autres opérateurs malveillants prennent la relève, la nature ayant comme toujours horreur du vide. Pour le combler, BlackCat semble en effet bien placé pour prendre la relève. Très bien même, au point de pouvoir être considéré comme le ransomware le plus sophistiqué de l’année doté de capacités de personnalisation étendues. J’ai analysé un autre échantillon il n’y a pas si longtemps, mais je n’ai pas pu en parler en raison de la confidentialité du client… il utilise AES128-CTR et RSA-2048, Filemarker 19 47 B7 4D à EOF, une clé cryptée, JSON avec certains paramètres. Ransomware très sophistiqué », a alerté Michael Gillespie, un consultant en cybersécurité qui le concepteur à l’origine du service ID Ransomware.

Selon le spécialiste en question, le programme malveillant Blackcat a été écrit dans un langage de programmation peu utilisé pour la conception de logiciels malveillants. Il s’agit de langage Rust. Cependant depuis un certain moment, l’utilisation de ce langage de programmation est en pleine montée.  Car selon les spécialistes il est assez fiable et procure beaucoup plus de sécurité. « Rust est un langage multiparadigmes dont un des objectifs principaux est de concilier une ergonomie de haut-niveau avec une gestion fine de la mémoire », précise l’Agence nationale de sécurité des systèmes d’information dans un guide qu’il a publié sur les applications sécurisées conçu grâce au langage Rust

On m’estime déjà que le montant des rançons extorquer par Blackcat peut s’évaluer hauteur de 3 millions de dollars.

La première fois que ce programme malveillant a été détecté, c’était dans les environs de novembre 2021 précisément le 21. Ce sont des chercheurs en cybersécurité de l’organisation MalwareHunterTeam qu’ils ont détecté. Les rançons qui sont exigées vont entre 400000 dollars américains à 3 million de dollars. C’est un programme qui est proposé sur plusieurs forum de pirate informatique dans le contexte du Ransomware as a service. C’est-à-dire, proposé son logiciel malveillant à d’autres opérateurs Informatiques malveillants avec un suivi pour permettre au client de pouvoir l’exploiter dans des actions de cybercriminalité en échange d’une rémunération.

Le rançongiciel BlackCat peut être configuré selon 4 types de chiffrement différents qui sont :

– le chiffrement total ;

– le chiffrement rapide ;

– DotPattern ;

– le chiffre automatique.

« En mode automatique, le logiciel détecte la présence du support matériel AES (existe dans tous les processeurs modernes) et l’utilise. S’il n’y a pas de support AES, le logiciel crypte les fichiers ChaCha20 », exploiter les opérateurs malveillants de Black cat sur un forum du Dark Web. « Chaque exécutable du ransomware ALPHV comprend une configuration JSON qui permet la personnalisation des extensions, les notes de rançon, la façon dont les données seront cryptées, les dossiers/fichiers/extensions exclus et les services et processus à terminer automatiquement », souligne le Bleeping Computer dans ses investigations.

De plus le programme malveillant dispose d’un programme de protection qui permet aussi des criminels de ne pas être tracé lors des transactions avec leurs victimes. Pour cela ils ont développé une commande par Token. « Ce jeton d’accès est utilisé pour créer la clé d’accès nécessaire pour entrer dans un chat de négociation sur le site de paiement Tor du gang de ransomware. Comme ce jeton n’est pas inclus dans l’échantillon de malware, même s’il est téléchargé sur un site d’analyse de malware, les chercheurs ne l’utiliseront pas pour accéder à un site de négociation sans la demande de rançon de l’attaque réelle », décrit Bleeping Computer.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Rançongiciels : DarkSide vaut dorénavant 10 millions de dollars américain

On peut dire clairement qu’aujourd’hui, le ransomware (en anglais) / le rançongiciel (en français) peut être catégorisé dans le cercle des fléaux du 21e siècle non loin du coronavirus.

Cette expression n’est pas une blague dans la mesure où nous continuons de constater une montée en puissance de ce phénomène tout en assistant presque impuissant aux différentes conséquences que cela peut créer ou à déjà créer. En guise de rappel il faut signifier que des attaques de type rançongiciels ont déjà causé la mort de certains individus dans le monde.

Cet article va aussi vous intéresser : BlackMatter, une suite de DarkSide ?

Ces mêmes incidents de sécurité ont entraîné la faillite de plusieurs entreprises et ont mis au chômage des milliers de personnes. Pour cela que nous parlons de fléau. Cependant la résistance s’organise peu et les autorités essaient tant bien que mal de pouvoir trouver une parade. C’est d’ailleurs cet effort que l’on observe du côté des États-Unis.

Si nous associons l’expression DarkSide avec Colonial Pipeline, il est certain que vous allez comprendre automatiquement le concept.

Effectivement, le premier se présente comme étant l’un des groupes opérateurs de rançongiciel les plus populaire du monde. Jusqu’à présent ils ont longtemps été affilié à des hackers d’origine Russe opérant de plus les territoires de Russie. S’ils ont à leur actif plusieurs attaques informatiques du genre, c’est la plus récente qui va faire tout basculer dans le Game. En effet ce groupe de pirate informatique s’en est pris à un géant américain de l’hydrocarbure. Colonial Pipeline. L’attaque informatique a eu un tel impact, que toute la côte ouest américaine à monter de carburant pendant un bon moment. Cela a mis hors de lui le gouvernement américain qui a officiellement déclaré la guerre aux rançongiciels par ricochet au cybercriminels. Dorénavant aux États-Unis, un opérateur de rançongiciel à la qualification de terroriste.

Mais pour revenir à DarkSide, le 4 novembre dernier c’est-à-dire il y a 2 jours de cela, les autorités américaines ont annoncé publiquement une récompense à hauteur de 10 million de dollar américain. Selon la diplomatie américaine « en offrant cette récompense, les Etats-Unis montrent leur engagement à empêcher les victimes des rançongiciels partout dans le monde d’être exploitées par les cyber-criminels ».

Par ailleurs il faut souligner qu’il y a quelques mois de cela, le gouvernement américain avait offert une somme de 5 millions de dollar américains. Une offre qui récompensait toute personne fournira des informations susceptibles de permettre l’arrestation où la mise en examen de membres appartenant à ce groupe de hackers ou tout autre personne ayant collaborer avec eux. Et ce, peu importe le contexte.

Bien évidemment plusieurs experts ont mis en évidence la difficulté que de telles mesures puisse porter leurs fruits. C’est d’ailleurs ce que met en évidence spécialiste de l’entreprise informatique Netenrich : « en l’absence d’un chasseur de primes disposé à se rendre dans la juridiction, à mettre son corps inconscient dans un sac et à le déposer à l’ambassade américaine la plus proche, je doute que cela ait beaucoup d’impact ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Rançongiciels : que savez-vous du Ransomware mobile Koler « Police » ?

Il est aussi connu sous la dénomination « Trojan.AndroidOS.Koler.a. ».

Sa particularité réside dans le fait qu’il y ait un programme de type rançongiciels typiquement conçu pour mobile.

En 2014, il a été observé une vague d’attaques informatiques qui était dirigée vers les appareils Android. Cette vague de piraterie de service Android utiliser un programme malveillant connu sous la dénomination de ransomware mobile Koler « Police ». Cette compagne de cyberattaque avait une partie cachée qui était basée sur le navigateur et un kit d’exploitation.

Cet article va aussi vous intéresser : Ransomwares : 5 choses à savoir absolument

Les opérateurs de rançongiciels dans ce cas de figure ont développé une stratégie inédite pour attendre les objectifs. En effet, la tactique consiste à faire l’analyse des systèmes informatiques de la victime pour ensuite proposer un rançongiciel qui est adapté au type d’appareils. L’appareil peut être mobile ou un ordinateur PC. L’étape suivante consiste à déployer une infrastructure de redirection, lorsque la victime par inadvertance pour par tromperie accède à l’un des site internet pornographiques malveillants qui sont au monde de 48. Ces sites sont utilisés par les pirates informatiques derrière le rançongiciel Koler.

Selon les spécialistes, le fait que les pirates informatiques des sites pornographiques pour répandre leur logiciel de rançon n’est pas du tout une coïncidence. Car une fois infectés et piégés, les victimes n’ont pas généralement le courage de se plaindre car il se sentait aussi coupable d’avoir visité ces sites pornographiques, action qui souvent est assortie d’amende imposée par les autorités

Si l’aspect mobile de la compagne de piratage informatique a été compromise depuis un moment, il n’empêche que certaines personnes sont encore victimes au continues de l’être. Cependant, il a été prouvé par les spécialistes de Kaspersky que les pirates ont déjà envoyé des commandes de désinstallation au mobile Android qui ont été déjà infecté. Ce qui a pour effet de désinstaller le rançongiciel de l’appareil contaminé. Du côté des PC infecté, la commande est toujours pareillement actif.

Pour ce qu’il en est des 48 sites pornographiques dont nous avons parlé, leur objectif est de l’utilisateur vers un homme central. Cette plate-forme utilise un système de répartition du trafic Keitaro pour effectuer des redirections vers une autre plateforme.

Selon les spécialistes qui ont étudié ce cas, ces redirections peuvent aboutir à plusieurs situations différentes :

1 – L’installation du ransomware mobile Koler : dans le cadre de smartphone Android, pour que l’infection et l’installation puisse s’effectuer, on demande à l’utilisateur lui-même de valider un téléchargement et l’installation d’une source apk « animalporn.apk ». Ce programme n’est rien d’autres que le ransomware Koler. Dès que l’installation est effectuée, le smartphone de la victime est automatiquement verrouillé. Le cybercriminel demande alors une rançon qui peut aller de 100 à 300 dollars pour le code de déverrouillage. Pour que cela soit réaliste, afficher sur son écran un message de confirmation de la police.

2- Redirection vers un site Internet du rançongiciel situé dans le navigateur.

Dans ce cas de figure, il est alors procédé à une vérification par le contrôleur de différents points :

* Une vérification portant sur le pays de la victime infectée ;

* Vérification basé sur le système d’exploitation privilégiant les systèmes de type Android ;

* Une vérification du navigateur pour s’assurer que cela ne contient pas d’agent utilisateur, Internet explorer.

Suite à ces vérifications, si les requêtes répondent par l’affirmative, le smartphone de la personne est automatiquement verrouillé. Contrairement au premier cas mentionné plus haut, il n’y a pas de contamination par rançongiciel ici. C’est juste un pop-up qui prend l’allure de modèle de verrouillage. Sur ordinateur, il est facile pour l’utilisateur de contourner ce blocage en appuyant sur les touches Alt + F4.

3 – Redirection vers une plateforme web piégé par le kit d’exploitation Angler.

Dans la mesure où la cible est un utilisateur de Internet explorer, les structures utilisées dans ce contexte pour les procédures de redirection va diriger l’utilisateur vers des sites qui est du le kit d’exploitation Angler. Un outil qui fait tourner des vulnérabilités pour Adobe Flash, Silverlight et Java.

Selon les chercheurs de Kaspersky Lab, le code d’exploitation mentionné plus haut et tu es toujours fonctionnel. Même s’il n’était pas actif pour autant. Ce qui veut dire qu’une possible réutilisation est envisageable.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Rançongiciels : ces programmes malveillants seraient la cause d’une augmentation de décès dans les hôpitaux

Un rapport qui a été publié la semaine dernière a mis en évidence l’impact négatif des attaques de type ransomware sur les hôpitaux.

L’étude a été commandité par une entreprise spécialisée dans la cybersécurité du nom de Censinet. Elle met en évidence une réalité bien sombre. Les attaques au logiciels de rançon augmente le taux de mortalité dans les hôpitaux.

Cet article va aussi vous intéresser : La cybercriminalité et les hôpitaux

Si l’on a toujours cru que les rançongiciels se limitent à attaquer des systèmes informatiques, aujourd’hui on constate que leurs conséquences ne se limitent pas seulement à un cadre purement informatique ou même financier. Elles vont au-delà. Malheureusement des personnes physiques en meurent. Et cela risque de continuer de la sorte si des solutions ne sont pas trouvés pour endiguer ce fléau.

« L’impact des ransomwares sur les soins aux patients est suffisamment important pour être indéniable » a signifié Ed Gaudet, le PDG et fondateur de Censinet. « Nous ne devrions pas avoir peur de regarder ces données, et de continuer à explorer ce sujet », ajoute-t-il.

  • Selon les résultats fournis par l’étude de la société de cybersécurité, le taux de mortalité des hôpitaux sur est en hausse de 22 %. Dans une autre étude réalisée par le cabinet de recherche, le Ponemon Institute, ces chiffres en notamment été confirmés. L’Institut de recherche a recueilli pour son enquête des témoignages de près de 600 organismes de santé à travers les États-Unis composer notamment de centres hospitaliers régionaux de systèmes de santé locaux et des fabricants de matériels médicaux.
  • Selon 40 % des organismes qui ont été approchés durant l’enquête, ils auraient été victimes en d’attaques informatiques de type rançongiciels les 10 dernières années. Par ailleurs, la quasi-totalité de ces organismes ont mentionné le fait que les attaques de type rançongiciels ont d’une manière ou d’une autre bouleversé leur activité. Leur rendant difficile la tâche pour soigner leurs patients convenablement.
  • Selon 70 % des établissements qui ont été touchés par des attaques de type rançongiciels, leurs patients ont dû, à cause de l’incident de sécurité passer de plus long séjour à l’hôpital, car les examens et les opérations ont même été retardés.
  • 36 % des organismes qui ont été interrogés lors de l’étude ont affirmé que ses attaques avaient causé des complications au niveau de plusieurs procédures médicales.
  • Selon 22 %, le taux de mortalité a connu une hausse non négligeable dans leur établissement après les attaques informatiques. Pour le moment les chiffres obtenus doivent être confirmés par d’autres études à l’échelle mondiale.

Bien évidemment sur résultats doit être analysés avec beaucoup de précautions. Car si les organismes ont mentionné que les attaques au type rançongiciels rendaient et difficile leurs procédures médicales, il n’en demeure pas moins que ces derniers n’ont pas précisé la manière dont ils avaient pu tirer ce genre de conclusion. Ils n’ont par exemple pas aussi défini la manière utilisée pour déterminer l’impact du rançongiciel. « Sans davantage de détails, il est important d’interpréter les résultats avec prudence », note Ed Gaudet.

Pourtant, il a été prouvé par plusieurs études que les attaques au logiciel de rançon impactaient négativement l’efficacité des établissements de santé. Plusieurs cas en démontrer que lorsque ces organismes et des cibles et de la sorte, il avait du mal à traiter convenablement leurs patients. Selon l’agence américaine de la cybersécurité et de la sécurité des infrastructures, la CISA, certains hôpitaux dans l’état du Vermont qui avaient été victimes d’attaques par logiciel de rançon durant la pandémie à coronavirus avec un taux de mortalité très élevé par rapport aux établissements qui étaient épargnés par ces attaques informatiques.

Notons par ailleurs que c’est 120 hôpitaux en France qui ont été paralysés en 2019 par des rançongiciels. Ce qui a eu pour conséquence immédiate de me porter plusieurs centaines d’opération à travers le pays. Du côté des États-Unis les autorités gouvernementales ont déjà commencé à déployer des mesures pour lutter contre ce fléau et si que contre les auteurs derrière ces programmes malveillants. Aujourd’hui, au pays de l’Oncle Sam, ils ont la qualification de terroriste. Et cela se comprend lorsqu’on c’est que le pays est constamment ciblé par des pirates de ce genre.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage